Discussion :

[JohnKerry]

Salut a tous,

J'essaye de peaufiner tant bien que mal les normes sécuritaires de mon forum.

Lorsque un nouveau membre s'enregistre, voici ce qui apparait dans la barre d'adresse lorsque ce dernier clique sur son PROFILE

Exemple 1: l'utilisateur MisterBonobo vient de creer son profile .

Voici le lien menant a son profile: http://www........ /forum/index.php?members/misterbonobo.30339/

Exemple 2: l'utilisateur OaklandMaster vient de creer son profile .

Voici le lien menant a son profile: http://www........ /forum/index.php?members/OaklandMaster.30340/

Exemple 3: l'utilisateur guitarhero vient de creer son profile .

Voici le lien menant a son profile: http://www........ /forum/index.php?members/guitarhero.30341/


Auparavant, il suffisait qu'un utilisateur remplace le user_id, ( par exemple le numero 30339 ) par le User_id d'un autre member, par exemple 30450 , SANS MEME AVOIR A CHANGER le nom de ce membre pour avoir access a son profile ( en mode invite bien sur )

Dorenavant, lorsque quelqu'un essaye d'incrementer le user_id sans connaitre le nom de ce membre, il est automatiquement rediriger vers la page d'accueil du forum


Par exemple si via le profile de l'utilisateur MisterBonobo je remplace 30339 par 30340, cela ne fonctionne plus ( et bien heuresement ! )


....oui mes voila, je viens de trouver encre de petit malin qui on reussi a controuner mon systeme et qui arrive JE NE SAIS COMMENT a voir le nom de tous les nouveau membres enregistrer

Commment cela ce fait ?

merci par avance

[Geoffrey74]

Salut,

est-ce que tu vérifie bien que l'user_id soit bien une série de x chiffres avant de lancer ta requête ?

Il arrive a avoir la liste des nouveaux membre, ou voir leur profil un à un ?

[JohnKerry]

Merci pour ta reponse mec.

Qu'entends tu par " est-ce que tu vérifie bien que l'user_id soit bien une série de x chiffres avant de lancer ta requête ? ?

De quelle requete parles tu exactement ?

Chaque utilisateur se definit tel quel: username.30412 / username2.30413

... a savoir, le nom de l'utilisateur suivit par son ID correspondante.

Je dirais que la personne arrive a avoir la liste des nouveau membres enregistrer soit via une faille php ( je ne sais laquelle ) soit en ayant acces a leur profile (ce qui est quasi impossible car il faudrait qu;il connaisse justement le nom des derniers utilisateurs enregistres )

[mathieu]

je suppose que la question de Geoffrey74 est de savoir quel code vous utilisez pour tester si l'URL est exact ou s'il faut faire une redirection ?

[JohnKerry]

Ma question serait plus justement :

Quel moyen / quel type d'injection ( via la barre d'adresse ) ce petit malin utilise t-il afin d'avoir access au profil / nom de nouveaux membres

[Geoffrey74]

A mon avis c'est de l'injection SQL, mais pour être quasi sûre faudrait que tu me réponde

Est ce que, dans la page de visu du profil, tu vérifie que l'ID de l'user (30413 par exemple), soit bien une série de 5 chiffres ? Ou alors passe tu directement la valeur dans ta requête sans la vérifier ?

[JohnKerry]

Merci pour ta reponse Geoffrey.... je galere a comprendre les injections SQL en toute honnetete ! Surtout que maintenant un autre malin a trouver la faille...

Si seulement je pouvais comprendre comment il font, peut etre que je pourrais trouver un solution

" Est ce que, dans la page de visu du profil, tu vérifie que l'ID de l'user (30413 par exemple), soit bien une série de 5 chiffres ? Ou alors passe tu directement la valeur dans ta requête sans la vérifier ? "

Pas sur de comprendre... mais l'ID du user est generer automatiquement... le premier utilisateuravait l'ID 1... et l'ID s'incremente de 1 en 1...

Comment est ce que ces mecs font pour acceder au profil de mes utilisateur ou ne serait ce qu'a leur nom d'utilisateur en ne connaissant que leur USER ID ?