Comment savoir si mon site est bien securisé

Signaler
Messages postés
16
Date d'inscription
jeudi 4 mars 2004
Statut
Membre
Dernière intervention
16 septembre 2007
-
Messages postés
32
Date d'inscription
jeudi 28 décembre 2006
Statut
Membre
Dernière intervention
20 mai 2007
-
Bonjour à tous, voila un petit moment que j'ai mont site internet et que je le fais tourné en PHP. ça tourne pas mal j'en suis bien content, par contre ce matin j'ai eu une mauvaise surprise ( ça aurai pu etre pire ), dans les dernières news de mon site un mec s'est amusé a changer les dernière news en disant en gros :
" AVIS au Webmaster il y a une grosse faille de securité dans votre site internet, je n'ai modifié ni supprimer de fichiers , Hacked by 'NOF' "

Donc je souhaiterai savoir comment cette personne a bien pu obtenir des log/pass pour pouboir modifier un champ dans la base de donnée!! et j'aimerai savoir aussi que puisje faire pour etre sur que mon site est bien securisé et que personne ne peut obtenir ces informations.
merci a tous pour vos reponse :D
hé²

13 réponses

Messages postés
10840
Date d'inscription
lundi 24 février 2003
Statut
Modérateur
Dernière intervention
2 mars 2010
21
Hello,



il y a un tas de possibilites...injection SQL notamment, XSS...

Mais sans savoir quel est ton site, ou ton code, on va avoir du mal a t'aider...
Messages postés
16
Date d'inscription
jeudi 4 mars 2004
Statut
Membre
Dernière intervention
16 septembre 2007

Vi pardon voila deja mon site
http://stomweb.free.fr
sinon pour la connection pour obtenir les infos de ma BDD jutilise cette cmmande bien connue : include('../cbdd.php');

hé²
Messages postés
10840
Date d'inscription
lundi 24 février 2003
Statut
Modérateur
Dernière intervention
2 mars 2010
21
Re,



ma foi, je ne suis pas un hacker...et je n'ai pas franchement l'imagination a ca lol.

Ceci dit :

http://www.phpsecure.info/v2/article/InjSql.php

http://www.cgisecurity.com/articles/xss-faq.shtml



articles interessants.



Pour ma part je n'arrive meme pas a acceder a ta page admin lol.

Et n'ai reussi aucune injection, ou xss, mais comme je te l'ai dit, je ne suis pas un specialiste...
Messages postés
16
Date d'inscription
jeudi 4 mars 2004
Statut
Membre
Dernière intervention
16 septembre 2007

merci je vais regarder ça avec attention :D

hé²
Messages postés
10840
Date d'inscription
lundi 24 février 2003
Statut
Modérateur
Dernière intervention
2 mars 2010
21
Re, bonjour :-)



j'ai reflechi, et a mon avis, c'est de l'injection SQL. IL a du
parvenir a ta page d'administration. A partir de la, c'est plutot
simple SI tu n'utilises pas, ou mal, mysql_real_escape_string()

http://de3.php.net/mysql_real_escape_string
Messages postés
16
Date d'inscription
jeudi 4 mars 2004
Statut
Membre
Dernière intervention
16 septembre 2007

resalut !!
J'ai bien reflechi aussi, et ( bien sur jene c tjrs pas comment la personne a fait pour se connecté ) mais je ne pense pas k'il soit passé par mon interface admin, mais k'il a pu passé par l'interface PhpMyAdmin de free !! je me suis rendu compte ke dans mon code j'avais une grosse faille a chaq connection a la Base de donnée, je ne securisai pas les données ( enfin j'avais omis d el afire sur kelk pages .... :(( c bien ma faute ça ) c'est pour ça que j'ai tout remplacé par un include ... je pense k'il a pu recuperer les logs par la !! mais koment !! tel est la question !!!
je pense ke je ne me referai plus avoir, ça ma servie leçon.. mais je suis quand meme curieux de savoir koment a il pu recuperer mes logs ....
Donc maintenant je pense ke c'est quasi securisé ( a l'abri des petit hackers ) ......
Sinon tu a peut-etre raison, mais je reste septique ar depuis l'interface d'admin on ne pe changer la date de la news or il la fait !!! c pour ça ke je pense k'il a du passé par le PhpMyAdmin de Free !!! :(

hé²
Messages postés
10840
Date d'inscription
lundi 24 février 2003
Statut
Modérateur
Dernière intervention
2 mars 2010
21
Ben je pensais a ton interface admin parce que avec une injection sql, c'est assez facile a faire...a moins que tu n'utilises mysql_real_escape_string() donc.
Mais peut-etre oui...!
En tous cas, tu es tombe sur un gentil hacker, c'est deja ca ;-)
Messages postés
461
Date d'inscription
mardi 27 avril 2004
Statut
Membre
Dernière intervention
16 février 2012

Salut,

la securite est aussi un de mes probleme sur mes sites. J ai d assez bonne connaissance en hacking (pour pouvoir mieux les parer je precise) mais pour la securité des sites aucune ou peu.
Malalam tu parle de la commande: mysql_real_escape_string() que je ne connais pas peux tu m expliquer son interet.

merci

<HR>
On ne peut pas savoir tout faire, mais on peut tout apprendre avec du travail. Morpheus262

PS: Besoin d aide pour developper, besoin d un collaborateur pour faire votre site, contacter moi par mail
l
Messages postés
10840
Date d'inscription
lundi 24 février 2003
Statut
Modérateur
Dernière intervention
2 mars 2010
21
=> Morpheus

http://de3.php.net/mysql_real_escape_string



elle echappe les caracteres dangereux pour mysql, un peu comme addslashes().

Elle contrera notamment certaines injections sql.
Messages postés
461
Date d'inscription
mardi 27 avril 2004
Statut
Membre
Dernière intervention
16 février 2012

Oki merci je vais donc rajouter cette commande dans mes requetes SQL. je ne l utilisait pas jusqu a present.
Thanks.

Morpheus


<HR>
On ne peut pas savoir tout faire, mais on peut tout apprendre avec du travail. Morpheus262

PS: Besoin d aide pour developper, besoin d un collaborateur pour faire votre site, contacter moi par mail
l
Messages postés
10840
Date d'inscription
lundi 24 février 2003
Statut
Modérateur
Dernière intervention
2 mars 2010
21
Oui, ca vaut mieux...le principe d'une injection sql :




SELECT * FROM membre pseudo='' or 1=1 # password=''



en voila une.

Cela renverra toujours true, parce que : # indique un commentaire, donc password ne sera pas pris en compte.

pseudo ='' (chaine vide) OR 1=1 cela renvoie forcement true a cause du OR 1=1.

Mysql ne va pas trouver un enregistrement ou le pseudo est vide, MAIS
va renvoyer qquechose quand meme puisque 1=1 est vrai. Dans ce cas, il
renvoie...le 1er tuple de la base.

Sachant que celui-ci est frequemment celui de l'administrateur de la base...



Avec un addslashes(), ou n'importe quoi pour echapper les caracteres dangereux, cette requete va donner :


SELECT * FROM membre pseudo='\' or 1=1 #' password=''

Mysql va alors chercher un pseudo egal a : ' or 1=1 #

Ce qu'il ne va pas trouver...
Messages postés
20
Date d'inscription
mercredi 14 mai 2003
Statut
Membre
Dernière intervention
5 juin 2006

sur ton site t'a 339 vulnirabilité xss

et aussi 8 err sql.



fait une mis a jour de ton n forum et virifie la securiter des script que t'a chopé sur le net.



voila
Messages postés
32
Date d'inscription
jeudi 28 décembre 2006
Statut
Membre
Dernière intervention
20 mai 2007

acunetix est un logiciel qui teste toute les failles ;)