Discussion :

[kankrelune]

Pour rappel concernant php... les fonctions, procédures suivantes sont à employer sans modération... .. .

• addslashes et mysql_real_escape_string
• (int)$maVar (par ex dans le cas d'un id)
• htmlspecialchars, htmlentities voir même carement strip_tags
• is_file ou file_exists (fameuse faille du include)
• file_get_contents (pour des fichiers autre que php pas besoin d'include)
• initialiser ses variables à vide en début de script ($maVar = ''; )
• error_reporting(0); pour le site en production le mieux étant paralellement de loguer les erreurs php et de n'afficher le mode debug (pour les script qui en ont) qu'aux admin
• chmod 444 pour tous les fichiers de config (le mieux étant de les mettre dans un répertoire à part protégé par un .htaccess en deny from all)
• comme dit précédament donner des noms bizars à tous les fichiers (surtout éviter les admin.php) et répertoires qui n'ont pas à être accédé par les utilisateurs normaux (par exemple utiliser un préfix genre pwet_includes plop_admin)
• évitez les options "connection automatique" et d'une manière générale ne faire que peu confiance aux cookies (sauf pour des options mineurs genre quel theme veut tu utiliser)
• stocker une variable unique à l'utilisateur dans la sessions du membre (genre ip + useragent + language le tout hashé avec md5) et le comparer à chaque début de page pour lutter contre le session hijacking
• comme dit précédament logger les actions des utilisateurs peut être plus qu'instructif
• config php.ini : register_globals à off, allow_url_fopen à off et safe_mode à on c'est pas du luxe non plus
• protéger les répertoires contenant les log avec un .htaccess et d'une manière générale tous les répertoire ou l'utilisateur n'est pas censé accéder via http
• controler la provenance d'un formulaire soit avec la technique captcha (image contenant un code à saisir générée à la volée) ou alors avec la technique du ticket (champs caché du formulaire contenant une id unique générée à la volée)
• concernant l'identification préférer une requete qui renvoie les infos par rapport au login et comparer ensuite le pass plutot que de juste regarder si le membre existe (WHERE login=$login AND pass=$pass)
• hascher le pass avec un grain de sel généré à la volée lors de la soumission pour la connection peut être un plus non négligeable... ça donne du fil en plus à tordre au pseudo pirate...
• temporiser la soumission des infos de connection (genre avec un sleep d'une seconde ou deux) pour eviter les boots et rendre difficil les attaque par brute force...
• bannir la personnes genre une demi heure si elle se plante plus de trois fois de pass... .. .

Voila dans les grandes ligne... la liste est loin d'être exaustive mais, sauf oubli, le plus important est là... .. .

@ tchaOo°

[Garra]

Bonjour à tous

Ce post est super intéressant et à suivre!!!

Mon site est hebergé chez ovh (oui, je sais....) en mutualisé.
je viens de m'appercevoir que les abroutis dont vous parliez ils ont tout simplement crée un index.htm alors que mon site est lancé via un index.php.

Facile non?

Comment éviter qu'on me copie un index.html ou tout simplement obliger mon site à passer toujours par un index.php?

J'ai déjà été hackée et lors de la connexion au site mon antivirus m'annoncait un virus.
Il a suffit de recopier ma racine sur le serveur ovh mais .... bon

Merci de vos conseils

[rouliow]

Pourquoi ne pas utiliser des procédures stockées pour régler le problème du Sql injection ?

C'est efficace, puissant et je vois pas comment quelqu'un pourrait modifier intentionnellement une requette sql sachant qu'on lui donne que des paramètres?

Si on ne fait pas des requettes Sql dynamique il devrait pas y avoir de problème.

Bon après faut quand même vérifier les imputs pour éviter d'insérer n'importe quoi

[caradhras]

Bonjour à tous!

J'ai le même problème que Garra (deux messages plus haut). Comme une démo vaut mieux qu'un bon discours :

1) Allez sur google. Recherchez "golf bordelais" et cliquez sur le premier résultat (à savoir http://www.golf-bordelais.fr). On tombe sur une sorte de blog en anglais sur fond noir.

2) Tapez directement www.golf-bordelais.fr dans la barre d'adresse, ou mieux, sur la page "pirate" selectionnez juste l'adresse et appuyer sur Entrée, et vous tomberez directement sur le bon site...

Quelqu'un a-t-il une idée sur comment remédier à ça?

[Phelim]

Au debut, j'avais imaginé l'inclusion d'un fichier javascript.
A premiere vue, ce n'est pas ça. En desactivant le javascript du navigateur, ça marche encore.

Apres, il peut regarder le referer depuis le code php aussi et effectuer une redirection mais sans le code, difficile de voir la difference.

effectue 2 recherches. Une sur cette variable

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$_SERVER['HTTP_REFERER']

Une sur cette fonction dans ton code php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

header()

Ca me parait l'endroit le plus indiqué pour détourner ton site. Ce détournement doit avoir lieux au tout debut de ton script.

*edit*
En faite, apres avoir fait quelques recherches sur le net, ton hacker semble utiliser un htaccess

http://www.phwinfo.com/forum/fr-comp...t-referer.html

Ne me demande pas comment il est rentré, je ne m'y connais pas beaucoup et sans log, c'est carrément la boule de cristale qu'il faut sortir.

[DarkChamallo]

Pourquoi ne pas utiliser des procédures stockées pour régler le problème du Sql injection ?

Hello, déterrage de topic pour dire à ceux qui comme moi ont perdu pas mal de temps sur la piste des procédures stockées pour finir par lire sur le web une contre indication concernant les injections SQL.

A bon entendeur

Sinon merci pour la liste

[pi-2r]

Bonsoir,

certains Hacktivistes, c'est ainsi que l'on nome le pirate qui efface l'index d'un site web pour faire passer un message (du genre: "Hacked By...."), utilisent parfois le moteur de recherche Google afin de réaliser des testes d'intrusions sur un ou des sites ciblés, afin d'obtenir un accès à la base de donnée ou à une page de configuration.

[Baldy]

Bonjour

Concernant les failles de sécurité type injections SQL ou autre, je connaissais quelqu'un qui utilisait le logiciel Wapiti, mais c'est un logiciel destiné à Linux.

Je ne sais pas si Windows connait un logiciel efficace pour détecter ce genre de failles ...

[FoxLeRenard]

Bonjour toutes et tous

Beaucoup de choses fort justes , et sujet bien délicat a traiter,
en attendant, répondant au théme (titre) de ce fil,
Les hackers de sites, comment s'en protéger ?
je dirais, que pour le débutant il faut au minimum, garder le principal en tête,
avec a mon sens deux axes fort différents,

1) celui (le plus complexe) de la responsabilitée de l'hébergeur,
qui doit pour ces clients vérouiller au maximum son serveur.
c 'est un vrais métier, et il est loin d'étre simple. Mais heureusement
cette charge est généralement dans des mains expertes

2) celui du webmaster, et la il suffit d'y voir clair, et n'utiliser et mettre en
oeuvre que le stricte nescessaire en fonction de la destination du site.

Je penses que ce fil s'adresse principalement aux 2em cas, ma façon de voir dans ce domaine, rejoint beaucoup de ce qui a été dit, a savoir maitriser au mieux tout les points qui nous obligent a communiquer avec les visiteurs.

Un site web qui ne ferait qu'afficher des pages et qui n'aurait aucune page de saisies , je veux dire pas de forum, pas de paniers , pas de livres d'or etc .. et dont la rubrique nous joindre seraien un lien avec une simple adresse mail,
n'aurait rien a faire ... toute la sécuritée de son site reposant sur l'hébergeur, voila pourquoi je suis intervenu, car pour bien de ceux qui vous lisent, ils pouraient reculer face aux riques ... Les voila rassurés

[numismatique]

Bonjour,

En parcourant ce sujet, je suis tombé sur votre message. Je suis désolé de faire ressortir un ancien post, mais c'est la premiere fois que je trouve un cas similaire au mien.
J'ai déposé ce message il y a quelques heures sur ce forum
http://www.developpez.net/forums/d70...ion-vers-site/
Pourriez vous me dire comment vous avez résolu votre problème ?
Merci beaucoup !
Eric

Bonjour à tous!

J'ai le même problème que Garra (deux messages plus haut). Comme une démo vaut mieux qu'un bon discours :

1) Allez sur google. Recherchez "golf bordelais" et cliquez sur le premier résultat (à savoir http://www.golf-bordelais.fr). On tombe sur une sorte de blog en anglais sur fond noir.

2) Tapez directement www.golf-bordelais.fr dans la barre d'adresse, ou mieux, sur la page "pirate" selectionnez juste l'adresse et appuyer sur Entrée, et vous tomberez directement sur le bon site...

Quelqu'un a-t-il une idée sur comment remédier à ça?

[FoxLeRenard]

Bonjour,

En parcourant ce sujet, je suis tombé sur votre message. Je suis désolé de faire ressortir un ancien post, mais c'est la premiere fois que je trouve un cas similaire au mien.
J'ai déposé ce message il y a quelques heures sur ce forum
http://www.developpez.net/forums/d70...ion-vers-site/
Pourriez vous me dire comment vous avez résolu votre problème ?
Merci beaucoup !
Eric

Pfffffffffffff ... NON car chaque cas est différent, toi par exemple il faudrait qu' avec ton FTP tu ailles récupérer
Intégralement ton htaccess ton index.php et Tout les includes de index.php

C' est la que ça semble se passer

Ce qui rend le travail compliqué, est qu'il sagit d'un malware, qui se cache et agit fugitivement, cherchant a vendre un anti malware ...
L'origine chez toi est lvhook.biz ...
d'ou viens l'image http://lvhook.biz/alert_03.gif


Si tu veux tu nous mets ça ici ou dans un zip ...

[0x66656C6978]

Et hop, un petit papier à consommer sans modération (là aussi...) :

http://www.rahimblakblog.fr/securita...-informatique/


Pour wapiti, cay du python, donc utilisable sur Windows... et pour les hacktivistes, ce que la personne avancait n'est pas juste.

Les SK utilisent google pour faire des mass attacks, le plus souvent sur des CMS (d'où l'utilisé de supprimer la signature de son CMS).

Les hacktivistes, sont comme tous les pirates sauf qu'ils sont politisés, il y en a à différents niveaux de compétences et de spécialités (guerre de l'information, instrusion serveurs, intrusions réseaux, intrusions web, lobbing par internet, piratage de BDD, surveillance des comptes mails etc.). Donc ce n'est pas que ces pirates du dimanche qui défigurent des pages web... loin de là.

[pi-2r]

http://www.rahimblakblog.fr/securita...-informatique/

tien ce site j'le connais, ainsi que son auteur

[0x66656C6978]

Il faut par ailleurs prendre en compte les trois sphères d'une bonne sécurité web :

- La sphère serveur :

- Sécurité des applications serveur contre les attaques en local/remote (jail, Selinux, droits etc.)
- Sécurité des connexions (protocoles sécurisés, rêgles firewall)
- Sécurité protocoles d'administration SSH etc.
- Sécurité des données (backups, redondance etc.)
- Sécurité de la base de donnée (droits d'utilisateurs, configuration des accès "web"

- Le site internet :

- Sécurité contre les différentes failles "communes" : SQLi - LDAPi - BSQLi - LFI - RFI - XST - XSS - CSRF - HTTPrs - Upload - Directory Traversal - Log. Injection - Headers Injection - Session Hijacking - Shell XSS - Flash Vulnz - nullbyte etc. (en frontoffice & backoffice)

- Si serveur mutualisé, stocker ses sessions dans un dossier où seul nous avons les droits (et non, dans un dossier où tout le monde peu récupérer les sessions...)

- Sécurité des connexions utilisateurs et du stockage des informations : Chiffrage des passes (en SHA ou MD5 avec salt) et adresses Email (sans parler des informations individuelles.)

- Mise en place d'IDS orientés web permettant la détection des tentatives d'attaques contre votre site internet. (ceci permet d'être alerté même avant l'attaque pendant la prise d'informations du pirate sur le serveur)


- L'environnement utilisateur :

- Protection des comptes mail de l'utilisateur, des différents autres comptes sur Internet, aucun mot de passe similaire entre deux services. Protection de ses messages sur les forums (ne pas montrer certains de ses codes sources orientés serveur).

- Protection des différents autres modérateurs, (pareil, comptes mails etc.)


Voilà (bon, y'a d'autres choses hein, c'est un petit panel de ce qu'il faut établir pour avoir un site avec un semblant de protection.) et dans le meilleur des cas, pour bien se protéger, avoir un hacker de son côté

SI vous avez des questions, je suis là.

[Dania_dania]

salut tout le monde
donc mon but est le même que "netwebzone"; mais je veux planifier mon travail qui consiste à sécuriser un serveur web ;donc pourriez m'aider à organiser ma mission ( le démarche que je devais suivre ):
-sauvegarde des données.
-mod-security
-les fichiers htaccess
-...

[Flaburgan]

[*]initialiser ses variables à vide en début de script ($maVar = ''; )

Une explication de pourquoi faire ça ? Un truc en rapport avec isset ?

[Clorge]

J'en reste bouche bée...

Ce topic aurais pus aider pas mal de gens, mais c'est du WTF

premièrement, vous dénigrez la communauté hacker (à laquelle j'adhère) en les assimilant à des pirates informatiques --" votre ignorance est sans commune mesure.
Pour vous donner des exemples, voilà le genre de chose que nous faisons entres hackers :
Programmer un soft à plusieurs (et il y a de tout, de l'algorythmie au chiffrement, en passant par des robots)
Réalisations de site avec une faille, et on dis aux autres "Allez trouver la faille", c'est tout à fait légal et cela nous apprend les techniques de sécurisations
Débat sur les nouvelles technologies, et même futures
Analyse de virus afin de lutter contre eux,
Création de système de protection en tout genre.
etc...

Vous trouvez ça illégal ? Voilà ce qu'est un HACKER !!!
Un pirate informatique (ou blackhat) fait des choses similaires (il tente de trouver une faille sur un site... sauf que le propriétaire n'as pas accepté!) il analyse des virus... pour en coder un meilleur!
Vous voyez les différences ?

Donc, je demande à la modération du forum si il serais possible de modifier le titre de ce sujet qui ne fait vraiment pas honneur au glider.

Et autre point très décevant, c'est l'ignorance des gens qui postent sur cette discussion qui est mise en avant.
Les seuls qui ne sont pas visés par cette critique sont ceux de "kankrelune" et "0x66656C6978" dont les interventions remontent à plusieurs années et donc certaines méthodes ne correspondent plusieurs aux systèmes actuels...

Sujet à véritablement revoir, je suis navré de vous le dire.



EDIT : sur le conseil d'un ami et à la relecture, ce qui devrais être un signal d'alarme, pourrais passer aux yeux de certains, comme une attaque gratuite et sans faire avancer les choses, donc je suis en train de rédiger un petit memento sans prétention sur les bonnes pratiques à avoir dans le dévellopement web.

[Flaburgan]

Je ne pense pas que modifier un poste daté de 2004 soit vraiment nécessaire. Les personnes s'intéressant vraiment au sujet savent faire la différence entre whitehat et blackhat, et savent aussi que hacker quelque chose veut simplement dire l'utiliser d'une manière différente de ce pourquoi il a été conçu.

Pour le reste, il est très difficile de faire une présentation des bonnes pratiques de sécurité sans présenter des failles et la manière de les exploiter, ce que nous évitons de faire sur développer.com car, quoiqu'on en dise, il se trouvera toujours quelqu'un pour utiliser ces failles de la mauvaise manière, et nous ne voulons pas que cette personne réussisse grâce à notre site.

Cordialement,

[Progmeur]

Et qu'advient il des failles peu connue voir connue uniquement par un hacker dans tout ça ?

Le seul moyen de te protéger c'est de faire en sorte que le hacker ne trouve aucun intérêt a pénétré ton site. Prend un exemple entre : google , amazon , facebook , les hacker suffisamment doué pour hacker ces site n'on aucun intérêt a le faire même si sa a déjà été fait, même l'exploit ne sert a rien vue que ces sites font empêcher tout diffusion médiatique d'un hack chez eux (s'a leur ferais une mauvaise pub), il y a presque 1 an google plus s'est fait hacker (s'en est suivi des Ddos d'anonymous soit disant), 4 banque du japon se sont fait hacker(en même temps) combien de personne sur 7 milliard le savent ? Pour te prouver que rien n'est protéger a 100%.

Bref, il te faut juste te méfier des apprentis crasher et pour sa fait des recherches sur google, mais étant donné que tout système est exploitable tu pourras juste te prémunir contre quelques personnes. Sinon, t'as vraiment pas a t'inquiéter de te faire hacker.

[Muchos]

Le seul moyen de te protéger c'est de faire en sorte que le hacker ne trouve aucun intérêt a pénétré ton site.

Il me semble qu'il y a toujours un intérêt à cracker un site (vol de données, spamming, injection de code chez le visiteur ou sur d'autres sites (courant dans le cas des hébergement mutualisé)); ne serait-ce que pour dire "LOL I PWND UR SITE".