Discussion :

[identifiant_bidon]

Bonjour à tous,

J'ai développé un site dont voici l'url : www.weetool.com. Je suis développeur web mais possède quelques lacunes en matière de sécurité.
Aujourd'hui, quelqu'un s'est amusé à me vider ma base de données. La base étant vide, plus moyen de se connecter. Le fichier index.php à la racine du site avait également disparu. Le souci est que je n'ai pas trop d'idées sur la façon dont cette personne s'y est prise. Heureusement, je fais des backup quotidiennement donc tout est revenu à la normale.

Donc mes questions sont les suivantes :
- Quelqu'un voudrait-il bien me donner une piste sur la façon dont quelqu'un aurait pu faire tout ceci.
- Quelles seraient mes priorités si je veux blinder mon site et faire en sorte de combler différentes sortes de failles existantes ?

Merci

[fmdao]

Peut-être faire appel à un professionnel ou suivre une formation ?

[identifiant_bidon]

Je me suis bien creusé la tête et j'ai vu qu'il est possible d'avoir connaissance assez simplement de l'arborescence des fichiers se trouvant sur le serveur.
Sur mon site, il est possible d'uploader des fichiers (pour créer son avatar). La technique consiste à uploader un script php qui va donner la liste des fichiers côté serveur.
Un autre fichier uploadé permet de supprimer les fichiers en passant en GET les fichiers fournis par le précédent script.
C'est moche mais si les tests à l'upload sont correctement effectués, c'est déjà un souci de moins.

Je peux passer à un autre type d'attaque ...