Discussion :

[siccagm]

Bonjour a tous Je m'adresse a vous car je suis dans la detresse. Cela fait quelques années que je fais des codes php et derniérement je n'arrete pas de subir des attaques sur mon site web. Je ne trouve pas de solution j'ai eu beau retourner le code compromis dans tous les sens.vu que ce code est le seul formulaire du site. Aidez moi je vous prie a trouver la faille!

Voici mon code:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
</HEAD>
<body>
 
<?php
 
// configs
$hostname = "xxxxxxxxxx"; 
$database = "xxxxxxxxxxxxx"; 
$user = "xxxxxxxxxxx"; 
$pass = "xxxxxx";
 
 
if(isset($_POST['login']) && isset($_POST['passold']) && isset($_POST['char']) && strlen($_POST['login']) <= 16 && strlen($_POST['passold']) <= 16 && strlen($_POST['char']) <= 16) {
	$connect = mysql_connect($hostname, $user, $pass);
	mysql_select_db($database, $connect);
 
	$logincheck = mysql_real_escape_string($_POST['login']);
 
	$checkaccount = mysql_query("SELECT login FROM accounts WHERE login = '$logincheck'");
 
	$checkexist = mysql_num_rows($checkaccount);
 
 
	if($checkexist==0) 
	{
		echo 'Veuillez bien verifier vos informations (1).<br><br>';//erreur nom de compte
	}
 
	else {
		function l2j_encrypt($password)
		{
			return base64_encode(pack("H*", sha1(utf8_encode($password))));
		}
		$login = mysql_real_escape_string($_POST['login']);
		$passwold = mysql_real_escape_string($_POST['passold']);
 
		$char = mysql_real_escape_string($_POST['char']);
		$passwold = l2j_encrypt($passwold);
		$checkpass = mysql_query("SELECT password FROM accounts WHERE login = '$login'");
 
 
 
		while(list($passcorrect)=mysql_fetch_row($checkpass)) {
			if($passwold!=$passcorrect) {
				echo 'Veuillez verifier vos informations (2)<br><br>';//erreur mot passe
			}
			else {
 
				$descnew = "<html><title>Description Personnage</title><body>".mysql_real_escape_string($_POST['descnew'])."</body></html>";
 
				mysql_query("UPDATE characters SET char_desc = '$descnew' WHERE char_name = '$char'");
 
			}
		}
	}
} elseif (isset($_POST['submit'])) {
	echo 'Vous n\'avez pas rempli tous les champs<br><br>';
} else {
echo 'Repmplissez le formulaire avant de changer de description.<br><br>';
}
 
if (isset($connect))
{
mysql_close($connect);
}
 
?>
 
<center>
<table>
	<form action="" method="POST">
 
		<tr><td><td>Changement de description
		<tr><td>Login: <td><input name="login" type="text" maxlength="16">
		<tr><td>Mot de Passe: <td><input name="passold" type="password" maxlength="16">
		<tr><td>Personnage: <td><input name="char" type="text" maxlength="16">
		<tr><td>Description: <td><textarea name="descnew" type="textarea" rows="10" maxlength="450" id="memoria" cols="40"></textarea>
		<tr><td><script>displaylimit("","memoria",450)</script>
		<tr><td><td><input name="submit" type="submit" value="Valider">
	</form>
</table></center>
 
</body></html>

Merci d'avance!

[comode]

plus d'information sur les "attaques" pourraient nous aider...

Quels sont les conséquences de ces attaques ? modification de BDD ? des exemples ? des logs ?

[FoxLeRenard]

plus d'information sur les "attaques" pourraient nous aider...
Quels sont les conséquences de ces attaques ? modification de BDD ? des
exemples ? des logs ?

En plus de cette question , que je me poses également, j'aimerais avoir ton URL de ce site web , afin de contrôler sa perméabilitée.

D'autre part le FORM est bien en POST mais sans PHP appelé en action ???

peux tu expliquer ?

[siccagm]

Les consequences deux fois la table accounts a ete mise a NULL ce qui m'a cause plus que de la gene , de plus plusieurs crash de mysql sur le dédié.


@foxlerenard
la page s'apelle elle meme donc au submit le script php est execute a la recuperation des post dans le prochain affichage

[FoxLeRenard]

Les consequences deux fois la table accounts a ete mise a NULL ce qui m'a cause plus que de la gene , de plus plusieurs crash de mysql sur le dédié.


@foxlerenard
la page s'apelle elle meme donc au submit le script php est execute a la recuperation des post dans le prochain affichage

Merci si tu veux de l'aide, répondre au minimum,
1) Donnes moi l'adresse de cette page (si tu le veux bien)
2) la balise FORM appelle en clair le nom du PHP ?? ou action est vide ??

Tu sais c'est simple de protéger tout ça mais il faut des éléments

[sabotage]

Est ce que tu as des elements qui te permettent de dire que
- l'attaque s'est faite par le biais de PHP ?
- s'est faite par cette page la ?

[FoxLeRenard]

Est ce que tu as des elements qui te permettent de dire que
- l'attaque s'est faite par le biais de PHP ?
- s'est faite par cette page la ?

Salut Sabotage, tu as vu son control ??

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
 
 
<?php
if(isset($_POST['login']) && isset($_POST['passold']) && isset($_POST['char']) && strlen($_POST['login']) <= 16 && strlen($_POST['passold']) <= 16 && strlen($_POST['char']) <= 16) {
	$connect = mysql_connect($hostname, $user, $pass);
	mysql_select_db($database, $connect);
 
	$logincheck = mysql_real_escape_string($_POST['login']);
 
	$checkaccount = mysql_query("SELECT login FROM accounts WHERE login = '$logincheck'");
 
// ETC ...

On rentre la dedans comme dans du beure, seulement l'Ami ne donne pas son URL et peut d'infos

[sabotage]

On rentre la dedans comme dans du beure

Donne lui un exemple de ce qu'a pu faire le malfaiteur.

[FoxLeRenard]

Donne lui un exemple de ce qu'a pu faire le malfaiteur.

Heuuuuu non

Mais deux indices le PHP s'appelle lui même mais son nom n'est pas mentionné,
cela signifie que si j'appelles le PHP depuis un html de mon micro, ayant reproduit le FORM a ma façon ce sera forcément accepté.

autre point les balises sont bien protégées mais pas les echo etc ...
encore moins les signes % et _ = || mais OR

[sabotage]

le FORM a ma façon ce sera forcément accepté

Si tu ne mets pas d'action, le navigateur soumets le formulaire a la meme page, ca donne donc le meme resultat que si tu as indiqué le nom de la page.
Le formulaire est dans tous les cas un element du côté client donc on ne peut rien faire pour empecher qu'il soit falsifié, on ne peut que controler la coherence a la reception.

(en fait il y a quand meme une difference : sans action, le formulaire est renvoyé avec la meme URL donc egalement avec les variables GET qui pouvait exister precedemment)

autre point les balises sont bien protégées mais pas les echo etc ...

A quelle ligne fais-tu référence ?

[keaton7]

Bonjour,

Juste une petite précision, mais peut-etre me trompe-je ^^.

mysql_real_escape_string, selon la doc ne s'utilise pas comme une simple fonction d'échappement, du moins pas comme tu la utilisée (selon la doc entendons nous bien, je ne l'utilise pas). Sa syntaxe exacte se rapproche plus de la logique du C.

Pour comparer :

Ton code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$logincheck = mysql_real_escape_string($_POST['login']);
 
$checkaccount = mysql_query("SELECT login FROM accounts WHERE login = '$logincheck'");

La doc :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
$query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
mysql_real_escape_string($user),
mysql_real_escape_string($password));

Ça vaudrai le coup de vérifier si ça échappe réellement les caractères spéciaux. Si ce n'est pas le cas, ça nous fait déjà une faille ^^

[FoxLeRenard]

Bonjour,
Juste une petite précision, mysql_real_escape_string, selon la doc ne s'utilise pas comme une simple fonction d'échappement, du moins pas comme tu la utilisée

Tout a fait l'Ami, et dommage que siccagm n' était que de passage, j'étais trés curieux d'aller plus loin en connaissant le lien de sa page
de saisie au moins puis le code complet du PHP ...

Je répétes la faiblesse d'un FORM dont action est "" oui ça rappelle bien la page PHP mais ça ouvre une autre bréche !

[sharrascript]

Bonjour,

Je répétes la faiblesse d'un FORM dont action est "" oui ça rappelle bien la page PHP mais ça ouvre une autre bréche !

Dans ce cas, qu'elle est t elle ? Je serais curieux de le savoir ? Les contrôles doivent se faire au niveau du traitement, mais je ne vois pas en quoi le fait de mettre l'action ou non dans le form ouvre une brèche.

Sinon, pour en revenir au sujet du message, je trouve étrange d'échapper un mot de passe crypté, pas vous ?

[keaton7]

Je t'avoue que je ne saisi pas non plus en quoi cela ouvre une brèche de mettre un action="" ? J'utilise ca dans certains de mes formulaires, c'est pourquoi je suis curieux de comprendre ce que tu en penses.

Litteralement, ca veut dire : envoi tes informations a la page courante.

Parles-tu de ton expérience personnelle ? ou tu supposes qu'il y a une brèche ?

Pas besoin de l'adresse de sa page pour parler securite, ca m'interesse egalement ^^.

Et ceci dit, si j'avais une brèche dans une de mes pages, je ne publierai pas son url sur le net

[keaton7]

Sinon, pour en revenir au sujet du message, je trouve étrange d'échapper un mot de passe crypté, pas vous ?

Oui je dirais que a priori il n'est même pas necessaire d'échapper les caractères du mot de passe puisque il est crypte par la suite, ses caractères spéciaux y compris.

Encore un fois, peut-être me trompe-je, mais serai-ce la une liste de resultats ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
while(list($passcorrect)=mysql_fetch_row($checkpass)) {
			if($passwold!=$passcorrect) {
				echo 'Veuillez verifier vos informations (2)<br><br>';//erreur mot passe
			}
			else {

Si c'est la cas, un login doit etre unique, securiser ca serai d'ajouter un LIMIT dans la requete et d'utiliser mysql_result();

Autre chose, je trouve ca très bizarre de sélectionner un utilisateur sur le cryptage de son mot de passe, pourquoi ne pas vérifier son login de facon plus "conventionnelle" ?

Par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

"select login,password from `ma_table` WHERE login='$login' AND password='$password' LIMIT 1"

Ca me parait moins farfelu

[sabotage]

Je ne vois pas bien quelle difference tu trouves entre la version concatenée et la version sprinf(), enfin pour moi c'est juste une question d'ecriture.

Sinon je suis egalement curieux par ce que veut dire Fox, mais il n'a pas repondu.

[keaton7]

Je ne vois pas bien quelle différence tu trouves entre la version concaténée et la version sprinf(), enfin pour moi c'est juste une question d'écriture.

Je vois une différence de syntaxe, et j'ai bien pris des gants pour préciser que c'était potentiellement peut-être une question de syntaxe. Si tu dis que les deux sont possibles, passons a autre chose .

[jnore]

La discussion m'intéresse. je mimisce donc.

Est-ce vraiment dans cette portion de script que le problème se passe?
Quelle table est concerné par les delete?
Est-ce la table qui contient les login et mot de passe?
Est-ce une autre table?

Y a t-il à un autre moment dans ses script un include qui se fait via l'url en GET?

Autorise t-il des upload?

Quelques indices supplémentaires seraient utiles...

Si siccagm pouvait nous en dire plus.

[adidas40]

Bonsoir,

Voici une correction actuelle de ton code.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
</HEAD>
<body>
<?php
// configs
$hostname = "xxxxxxxxxx"; 
$database = "xxxxxxxxxxxxx"; 
$user = "xxxxxxxxxxx"; 
$pass = "xxxxxx";
 
if (isset($_POST['login']) && isset($_POST['passold']) && isset($_POST['char']) && strlen($_POST['login']) <= 16 && strlen($_POST['passold']) <= 16 && strlen($_POST['char']) <= 16) {
  $connect = mysql_connect($hostname, $user, $pass);
  mysql_select_db($database, $connect);
  $logincheck = mysql_real_escape_string($_POST['login']);
  $checkaccount = mysql_query("SELECT login FROM accounts WHERE login = '$logincheck'");
  $checkexist = mysql_num_rows($checkaccount);
  if ($checkexist==0) {
    echo 'Veuillez bien verifier vos informations (1).<br><br>'; //erreur nom de compte
  }
  else {
    function l2j_encrypt($password)
    {
      return base64_encode(pack("H*", sha1(utf8_encode($password))));
    }
    $passwold = mysql_real_escape_string($_POST['passold']);
    $char = mysql_real_escape_string($_POST['char']);
    $passwold = l2j_encrypt($passwold);
    $checkpass = mysql_query("SELECT password FROM accounts WHERE login = '$logincheck'");
    $passcorrect = mysql_fetch_assoc($checkpass['password']);
    if($passwold!=$passcorrect) {
      echo 'Veuillez verifier vos informations (2)<br><br>'; //erreur mot passe
    }
    else {
      $descnew = "<html><title>Description Personnage</title><body>".mysql_real_escape_string($_POST['descnew'])."</body></html>";
      mysql_query("UPDATE characters SET char_desc = '$descnew' WHERE char_name = '$char'");
    }
  }
}
elseif (isset($_POST['submit'])) {
  echo 'Vous n\'avez pas rempli tous les champs<br><br>';
}
else {
  echo 'Remplissez le formulaire avant de changer de description.<br><br>';
}
if (isset($connect)) {
  mysql_close($connect);
}
?>
<center>
<table>
  <form action="" method="POST">
    <tr><td><td>Changement de description
    <tr><td>Login: <td><input name="login" type="text" maxlength="16">
    <tr><td>Mot de Passe: <td><input name="passold" type="password" maxlength="16">
    <tr><td>Personnage: <td><input name="char" type="text" maxlength="16">
    <tr><td>Description: <td><textarea name="descnew" type="textarea" rows="10" maxlength="450" id="memoria" cols="40"></textarea>
    <tr><td><script>displaylimit("","memoria",450)</script>
    <tr><td><td><input name="submit" type="submit" value="Valider">
  </form>
</table></center>
 </body></html>

Cependant je n'ai vu aucune faille.. Donc l'erreur ne vient pas d'ici.
Pour répondre à ce que prétend FoxLeRenard, il est absurde que de dire que l'attribut action ayant aucune valeur ouvre une faille, tout comme de dire qu'on rentre comme dans du beurre dans son code.
Je suis extrêmement curieux de voir comment tu pourrais faire cela! (Bien que je sache que ce n'est pas possible )

[FoxLeRenard]

Je t'avoue que je ne saisi pas non plus en quoi cela ouvre une brèche de mettre un action=""

Je réponds en même temps a sharrascript

L'ennuie quand on parle de sécurité , c'est ce coté prétentieux, "je sais tu sais pas, mais je ne peut t' en dire plus" c 'est pour cela que j'interviens trés rarement sur la sécuritée.

Bon alors au moins ceci; suivez moi ce sera long mais au moins ça c'est concret et applicable

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
 
<form method='post' action='user_registre.php' >

c 'est mieux que rien, car je ne rappelles pas la page elle même
mais une autre page (qui en fait est la même) mais que je la nomme.

Car rappelez vous , vous étes sur votre micro, vous ouvrez internet , allez sur une page de saisie, elle a un form avec un action='' ...

donc dans cet état la, le serveur vous ignore il a mille taches a résoudre et il ne sais même plus que vous existez, en tout cas cette page
"N ' EST PLUS ACTIVE"

partez acheter votre journal etc... revenez et validez votre saisie,
c 'est bien la bonne page qui sera validée, car c'est VOTRE MICRO qui va l'appeler , coté serveur il voit arriver un gus qui attaque une page avec
des valeurs POST valides récupérables et donc injectables dans une base de donnée.

Nous sommes tous OK ??

Quelle différence y aurait'il si je cliques droit sur la page ('afficher la source") en extraire le FORM complet le mettre dans un PHP ou HTML local et faire des tests d'intrusion ... aucune, le serveur ne peut même pas créer une valeur de session donc invisible, qui empécherait cette méthode, car rappelez vous qu'en fait j'agis sur une page a moi alors que mon micro,est toujours en session ouverte sur un autre onglet dans la vrais page HTML envoyée par le serveur ...

Vous percevez la fragilitée de PHP et des pages de saisies