Forum, sécurité absolue

Signaler
Messages postés
573
Date d'inscription
samedi 16 novembre 2002
Statut
Membre
Dernière intervention
9 avril 2008
-
Messages postés
573
Date d'inscription
samedi 16 novembre 2002
Statut
Membre
Dernière intervention
9 avril 2008
-
Salut,

Je dois faire un forum "highly secured".

Les bases de données sont-elles sures ? L'utilisation de fichiers perso n'est-elle pas à privilégier ?

Lorsque je configure un serveur pour qu'il interdise la lecture et l'écriture d'un fichier, y a-t-il moyen pour le hacker d'en récupérer le contenu ?

Est-ce possible pour le hacker d'uploaded des fichiers sur le serveur ou de lister son contenu (toujours malgré les parametres du serveur) ?

Je demande ca car j'ai lu qu'il faut crypter les mots de passes dans les bases de données au cas ou la liste des mots de passe soit téléchargée....

Connaissez-vous les techniques des hackers ?

Bien sur il faut supprimer les balises dans les entrées des utilisateurs, utiliser les sessions...
Quels sont les autres points importants a protéger ?
Comment se prémunir du spamming, du "massive posting", de tout ce qui peut saturer le serveur?

Ou puis-je me renseigner sur comment le serveur interprete les requetes, quels sont les protocoles utilisés, comment le hardware traite et achemine le tout.

Merci

13 réponses

Messages postés
573
Date d'inscription
samedi 16 novembre 2002
Statut
Membre
Dernière intervention
9 avril 2008
1
Les failles d'un site se trouvent surtout du coté du serveur.
Existent-ils des plugins pour mieux protéger les serveurs ?
Quelles sont ces failles et comment les hackers les exploitent ?

Il y a eu un concours de hacking assez recemment et les sites tournant sur serveurs Windows valaient peu de points... pourquoi ? 
Messages postés
855
Date d'inscription
mardi 19 novembre 2002
Statut
Membre
Dernière intervention
28 juillet 2009
1
un seul topic, un seul site, un seul livre ne suffirait pas à donner les réponses que tu désires.

Personnellement, je pars du principe qu'aucun site n'est 100% secured.
Ma philosophie est :
1 - que tout soit mis en place pour essayer de securiser au maximum
2 - que tout soit mis en place pour faire un restaure rapide, propre et complet en cas d'attaque

-------------------------------------

Les ordinateurs, plus on s'en sert moins, moins ça a de chance de mal marcher. [Les Shadoks]
Messages postés
2268
Date d'inscription
mercredi 27 novembre 2002
Statut
Membre
Dernière intervention
13 septembre 2013
3
Salut!
" Les failles d'un site se trouvent surtout du coté du serveur.
Existent-ils des plugins pour mieux protéger les serveurs ?"
Je pense que les failles viennent surtout des codeurs PHP ;)

Si tu es chez un hébergeur convenable, le serveur sera sûrement bien mieux sécurisé que tes scripts...

@++

R@f

www.allpotes.ch: Photos, humour, vidéos, gags, ...
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
Messages postés
573
Date d'inscription
samedi 16 novembre 2002
Statut
Membre
Dernière intervention
9 avril 2008
1
Ok merci.

J'ai un serveur IIS 5.1 (Windows = 1 point), pas d'hébergeur. Il offre pas mal d'options. Chaque fichiers et dossiers peut se voir affecté des droits d'acces. Mais pour parer des attaques sur le serveur meme... je ne peux pas faire grand chose si ce n'est faire des programmes d'écoute de port, des sniffers, des scanners...

Il y a un site de psychopate http://www.hacking-sabotage.com/forum/index.php sur le hacking mais je ne parles pas la langue.
Messages postés
573
Date d'inscription
samedi 16 novembre 2002
Statut
Membre
Dernière intervention
9 avril 2008
1
Comment procede un hacker ?

Est-ce utile de desactiver toutes les permissions possibles a savoir: acces en lecture, en ecriture, acces au code source, indexation des ressources, acces au journal et parcours de dossier, si ca ne nuit pas au site.

Les hackers s'en foutent peut-etre. Il doivent plutot attaquer le systeme d'exploitation plutot que directement le site.
Il lancent certainement des requetes bien précises, analysent les réponses pour déduire l'OS utilisé, les ports ouverts, acceder a des privileges de plus en plus élevés.. je sais pas moi .

Avez-vous des antécédants de hackers ?
Messages postés
2268
Date d'inscription
mercredi 27 novembre 2002
Statut
Membre
Dernière intervention
13 septembre 2013
3
Oui, moi, mais si je t'en parle, je serai obligé de te tuer... ;)

Plus sérieusement, j'insiste sur quelques points:
- 100% sécurité n'existe pas... J'oserais même dire: plus tu as de sécurité, moins t'en as! Je m'explique: plus tu vas te vanter de faire un forum 100% sécu, plus des hackers vont s'intéresser à ton truc! Et ils vont y arriver!
- les failles sont plutôt sur les scripts
- si vraiment, adresse toi à un professionel

@++

R@f

www.allpotes.ch: Photos, humour, vidéos, gags, ...
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
Messages postés
573
Date d'inscription
samedi 16 novembre 2002
Statut
Membre
Dernière intervention
9 avril 2008
1
Merci ;)

Je viens de lire:
http://www.commentcamarche.net/secu/secumet.php3

Mais il ne donne vraiment aucun indice.
"Ya des failles et elles sont exploitées donc t'es nické POINT"
Messages postés
855
Date d'inscription
mardi 19 novembre 2002
Statut
Membre
Dernière intervention
28 juillet 2009
1
Galimiza: oui ta derniere phrase, qui peut paraitre débile, résume bien la situation:
un site 100% secure: oublie !
et meme si tu penses faire des scripts secured, demain une faille va etre trouvée dans une fonction de base de php et baaam, ton site n'est plus secured.

Bref: securise de maniere raisonable, et mets tout en place pour pouvoir faire un restore efficace en cas d'attaque.

-------------------------------------
 Les ordinateurs, plus on s'en sert moins, moins ça a de chance de mal marcher. [Les Shadoks]
Messages postés
2268
Date d'inscription
mercredi 27 novembre 2002
Statut
Membre
Dernière intervention
13 septembre 2013
3
"faille va etre trouvée dans une fonction de base de php et baaam, ton site n'est plus secured." >> mmh, oui... Mais PHP a relativement peu failles (négligeable par rapport au reste! )

@++

R@f

www.allpotes.ch: Photos, humour, vidéos, gags, ...
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
Messages postés
573
Date d'inscription
samedi 16 novembre 2002
Statut
Membre
Dernière intervention
9 avril 2008
1
Mouais, vous avez raison, je vais configurer le serveur comme je peux, faire des scripts les plus sécurisé possible mais rien faire en ce qui concerne les failles du systeme d'exploitation du serveur.

De toutes facons tout ca n'est pas pour moi  donc voila quoi !

Regardez ca:
http://www.gomor.org/cgi-bin/index.pl?mode=view;page=test_d_intrusion

Les scripts php n'y sont pour rien, seul le serveur est solicité par les attaques quel que soit son contenu.

C'est étonnant de voir que tout peut etre fait a l'aide de logiciels !
Et moi qui croyait qu'il fallait un cerveau pour hacker, nan, pas du tout, juste des softs.
Messages postés
855
Date d'inscription
mardi 19 novembre 2002
Statut
Membre
Dernière intervention
28 juillet 2009
1
Cookiesch, je ne parierai pas la dessus...
si je regarde "betement" sur le site d'exploits que j'ai en favoris, je vois ne serait-ce que pour Aout2006 deux exploits concernant des failles php (buffer overflow).

Mais je te l'accorde, PHP n'en reste pas moins un language robuste, et les petites failles PHP seront bcp moins importantes que les erreurs de programmation du developper du site (inection SQl pour ne citer qu'elles).

-------------------------------------
 Les ordinateurs, plus on s'en sert moins, moins ça a de chance de mal marcher. [Les Shadoks]
Messages postés
2268
Date d'inscription
mercredi 27 novembre 2002
Statut
Membre
Dernière intervention
13 septembre 2013
3
"Et moi qui croyait qu'il fallait un cerveau pour hacker, nan, pas du tout, juste des softs."
>> Bah, le logiciels, y'a bien fallu les coder... Et certains hackers sont des experts en connassance des systèmes d'exploitations, réseaux et autres!

@++

R@f

www.allpotes.ch: Photos, humour, vidéos, gags, ...
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
Messages postés
573
Date d'inscription
samedi 16 novembre 2002
Statut
Membre
Dernière intervention
9 avril 2008
1
Je ne nie pas, mais un gamin qui connait la procedure et rien que la procedure peut entrer dans un systeme fragile s'il a les softs.

Je pensais qu'il fallait enchainer les lignes de codes, forger des paquets IP a la main, les modifier en fonction des réponses, Mc giver quoi.

Maintenant si je croise un hacker (de base bien sur), au lieu de le vénérer, je lui demanderai s'il est satisfait des softs.