Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
attaque force brute et havij
bonjour,
j'ai essayé le logiciel Havij (version free; donc pas accès aux tables ni aux injections sql) sur mon site et il arrive a détecter certains fichiers dans l'arborescence de mon site.
Est-ce que le fichier htaccess permet d'interdire l'accès à l'arborescence à ces logiciels?
Sinon, connaissez-vous un logiciel pour tester une attaque force brute, et un pour les injections sql?
Il est évidant que ce n'est que pour un usage personnel
Pour le être paré contre le bruteforcing tu dois:
- Avoir un mdp d'au moins 8 / 12 caractères.
- Créer un système de tentatives de connexion. Cette solution est idéale.
D'ailleurs tu peux t'inspiré des forums vBulletin (comme developpez.net)
Pour les injections SQL, pour contrer il faut coder correctement ...!!
L'idéal est de préparer toutes tes requêtes en controlant à chaque fois les entrées utilisateur.
Autrement pour ta recherche de softs, sache qu'il n'y en a besoin d'aucun quand on comprend le principe. Donc cherche à comprendre avant l'utilisation d'outils.
Ex basic:
Faillible !
Code : Sélectionner tout - Visualiser dans une fenêtre à part SELECT * FROM users WHERE login ='$_POST["user"]' AND password ='$_POST["user"]';
contre le force brute, j'ai lu plusieurs articles:
ceux qui privilégient 3 test toutes les heures ou toutes les 5 minutes.
et j'ai vu un formulaire qui en fait ajoute un champs texte;
où le texte dit au hazard une couleur, rouge, bleu, jaune....
mais est écrit dans une autre couleur (rouge écrit en bleu)
et il faut écrire la couleur du texte, ce qui a pour but de contrecarer les robots qui lisent le texte.
J'aimerez savoir ce que vous en pensez.
Merci d'avance
Salut,
L'idée des couleurs est très mauvaise : tu exclues de facto les déficients visuels sévères et même léger comme les daltoniens...
Sans compter que j'ai vu certains écrans avoir un rendu des couleurs tellement foireux qu'il était possible de se tromper.
Perso je fais un check du couple ip/login, au bout de 3 tentatives je bloque 5 minutes, une tentative supplémentaire erronée ajoute une minute au compteur à chaque fois (donc 5 tentatives = 18 minutes) renouvelable toutes les 24h
Sinon +1 pour Rawsrc, les couleurs pas terrible un bon système de captcha déjà éprouvé ferait mieux l'affaire.
Bonjour no-war,
Juste pour te préciser que la vérification par adresse IP n'est pas toujours efficiente puisque certaines connexions comme les clés 3G changent régulièrement l'adresse IP d'un utilisateur lors de leur surf sur le web.
A+
Répondre avec citation
Partager