Discussion :

[psychoBob]

Bonjour,
Sur mon système de commentaire j'ai une fonction qui filtre les mots grossiers et bloque l'adresse IP du posteur en cas de détection d'un de ces mots dans son message.
Cela utilise les expressions rationnelle, exemple :
'#\bcon\b#i',


Cela fonctionne bien, je veux maintenant m'en servir pour les tentatives de piratage.

Bien sur je filtre déjà les commentaires par htmlspecialchars (la fonction de détection des gros mots agit avant la prévisualisation, et si tout se passe bien, lorsque le gars valide là j'ai mysql_real_escape_string).

Mais je voudrais savoir quelles sont les chaines de caractère à bloquer, non susceptible de se trouver dans un texte classique (sinon tout est supprimé) et qui peuvent servir à pirater : peu importe le type d'attaque, dès qu'il y a une tentative quelle qu'elle soit, l'IP est bloquée 24H, c'est l'intention qui compte.

Exemple : je peux bloquer 'SELECT', mais encore ?

[Mr N.]

Mon frère est très select.

Il y a une erreur sur ta page, il me dit 'Error in SELECT ***'

Please select a category :

Filiale du premier groupe international de travail temporaire spécialisé,
Select On line est membre du réseau TELERESOURCES, créé en janvier 1996, déjà présent dans plus de dix pays...

Bref, tu l'auras compris, tu ne peux filtrer sur une liste noire. 2 raisons à celà :
1. tu risques de filtrer trop (voir au dessus)
2. tu risques d'oublier le petit terme caché que peu ou prou connaissent

[psychoBob]

Oui, c'est vrai ce que tu dis et tu soulèves le risque principal (surtout qu'en cas de caractère interdit, tout est effacé, le gars n'a plus qu'à tout réécrire si il a le courage, si il récidive il est bloqué : sévère mais il ne recommencera pas deux fois. Voir ne reviendra pas deux fois, mais bon... je me passerai de lui).

Ceci dit il y a quand même des caractères qui ne servent presque jamais, donc peut être qu'il est bon de risquer de perdre 1 message tous les 1000 posts si cela permet de mettre out (au moins un peu) le pirate du jour. Pas d'accord ?

Ou alors je peux entrer des morceaux plus compliqués, dans la fonction de vérification des insultes:
Qui va entrer 'SELECT id in table' dans un texte normal par exemple ?


Si c'est valable, quels sont les morceaux de code qui sont inévitablements utilisés pour pirater ?

[Mr N.]

Qui va entrer 'SELECT id in table' dans un texte normal par exemple ?

Quelqu'un qui te dit qu'il y a une erreur sql qui apparait sur ton site quand il fait telle action. (voir message 2 de mon précédent post)

Si c'est valable, quels sont les morceaux de code qui sont inévitablements utilisés pour pirater ?

Mais tout caractère classique est susceptible d'ètre utilisé..
Ex :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

'   or  1 --

tu veux bannir qui pour avoir tapé un de ces caractères ? Pourtant cette chaine est susceptible de compromettre ton système si tu n'es pas blindé.

[Yogui]

Si c'est valable, quels sont les morceaux de code qui sont inévitablements utilisés pour pirater ?

Ça, cher ami, son nous le savions, nous dormirions tous tranquilement la nuit... Ce n'est malheureusement pas toujours le cas !

[psychoBob]

Bon alors vous voulez pas répondre. Vous êtes jaloux? vous voulez me pirater ?

Non je rigole.

psychoBob a écrit:

Si c'est valable, quels sont les morceaux de code qui sont inévitablements utilisés pour pirater ?

Ça, cher ami, son nous le savions, nous dormirions tous tranquilement la nuit... Ce n'est malheureusement pas toujours le cas !

Pas toujours le cas, mais quand même quelques fois...

tu veux bannir qui pour avoir tapé un de ces caractères ? Pourtant cette chaine est susceptible de compromettre ton système si tu n'es pas blindé.

Bien justement, ce système devrait permettre de rajouter une couche de blindage.
Pour la sécurité j'ai adopté :
Avant la prévisualisation htmlspecialchars

Avant l'insertion dans la base, si le message est validé : htmlentities + mysql_real_escape_string(cf d'autres posts).

ça vous parait blindé ? J'ai lu plein d'astuce de pirate du genre utiliser utf pour coder les messages et passer outre les fonctions ci-dessus, ou pleins de trucs dans le genre.

Vous en pensez quoi vous ? Je veux rajouter encore du béton là.

[Yogui]

Bah, tu peux toujours voir si PHP peut te convertir tout le message en octal ou en hexa, puis tu fais l'inverse dans ta requête... Non ?
j/k

[dj-julio]

kirkis si, dans la requête tu remets la chaine convertie à sa valeur d'origine, c'est comme si tu n'avais rien fais

[Yogui]

Hmmm, je me disais que si MySQL se charge de faire la 2º conversion, ce n'est pas tout à fait pareil : la chaîne envoyée par PHP à MySQL est encodée.

[dj-julio]

ah oaui oki j'avais pas vu ça comme ça

hum peut-être bien alor, mais là aucune idée du comment faire =)

[psychoBob]

Sinon pour en revenir au code pirate :

Vous ne connaissez pas UN elément de code qui soit OBLIGATOIREMENT utilisé dans tout code pirate (requete ou autre) et qu'il suffirait de bloquer pour stopper le pirate ?

Hein ? les systèmes de défense militaire fonctionnent en bloquant tous le même élément et je n'ai qu'à aller leur demander ? Sérieux ?

[dj-julio]

ouai ptetr, contact marshall (alias) pour savoir, je pense qu'il s'y connait un peu :p

[Mr N.]

Hein ? les systèmes de défense militaire fonctionnent en bloquant tous le même élément et je n'ai qu'à aller leur demander ? Sérieux ?

Tu nous donnes la réponse si jamais

[psychoBob]

Bon sinon, comment fait-on pour afficher au visiteur son parcours sur internet avant de venir ?

J'ai vu ça une fois sur un site de sécurité, il m'avait affiché tout mon parcours sur internet avant d'arriver chez eux et il y avait une liste de plusieurs sites si je me souviens bien.

[Yogui]

J'ai peur que ce site de sécurité ait utilisé une techno client pour afficher tes infos mais qu'il est incapable d'en connaître le contenu lui-même.
Je m'abstiendrai de donner des exemples car je ne suis pas assez calé mais l'idée serait de prendre un script ou une applet client (qui a donc accès à ton ordinateur) qui t'affiche le contenu de ton historique. À partir de là, le site dont tu parles n'est pas forcément capable de récupérer ces informations mais il peut très bien te les faire afficher dans sa page Web.

Je ne sais pas si j'ai bien expliqué la nuance...

Sinon, tu peux toujours consulter l'article de Frédéric Bouchery "Souriez, vous êtes traqués".

[psychoBob]

Si si, j'ai bien compris la nuance, je vais jeter un oeil sur l'article dont tu parles (si je le trouve).

Plus simple alors : phpMyVisit permet de savoir d'où proviennent les visiteurs.

Savez-vous quelles fonctions ils utilisent ?

[Mr N.]

HTTP_REFERER, non fiable car envoyé par le client.

[psychoBob]

HTTP_REFERER, non fiable car envoyé par le client.

Comme phpMyVisit alors ?

Pourquoi n'est ce pas fiable ? (pour ma culture générale)

[ePoX]

Parce que cela peut se traffiquer très facilement.

[Yogui]

Tout ce qui est envoyé par le client est personnalisable par le client. Il peut t'envoyer ce qu'il veut, s'il sait comment le faire.
Ton visiteur pourrait par exemple avoir un navigateur fait maison qui n'envoie pas le HTTP_REFERER, ou encore qui envoie autre chose que ce à quoi on s'attend.