Cherche cours de hacking / sécurité sites internet

milkiway · 8 Juillet 2004

Hello,
je code un CMS et j'ai besoin de le sécuriser un maximum (protectino de la partie admin), je cherhce donc un site donnant des cours de hacking de manière intelligent càd qui explique les méthodes et comment les éviter.
Mon CMS n'a pas de base de données donc c'ets vraiment très important (et urgent).
Merci de votre aide

PS : le fait d'avoir des fichiers en chmod 777 représente une faille ?

Thx

Oncle Tom · 9 Juillet 2004

Pourquoi ce choix "non base de données" ?

milkiway · 9 Juillet 2004

Pour des raisons de facilité pour l'utilisateur, pour des raisons de couts (un hébergeur rapide en MySQL n'existe pas en gratuit, ou presque pas), par ce qu'il y a une réelle demande

deweerdt · 9 Juillet 2004

Arf ça m'interresse ça, c'est comment alors si c'est sans base de donnée? XML?

wap · 9 Juillet 2004

deweerdt a dit:
Arf ça m'interresse ça, c'est comment alors si c'est sans base de donnée? XML?

Des fichiers texte, tout simplement.

mahefarivony · 9 Juillet 2004

sans vouloir pinailler, un ensemble de fichiers peut constituer... une base de données ;-) (et ouais, y a pas que mysql dans la vie)

troops · 9 Juillet 2004

Tout dépend comment il sont structuré

Mais avec PHP il y a des libs pour d'autre format de base de données utilisant des fichiers

deweerdt · 10 Juillet 2004

J'étais au courant que ça existait, juste comme ça, mais j'avais jamais aprofondis, ça m'a donné l'idée, je vais utiliser ça pour un de mes prochains sites histoire d'étendre un peu ma "culture informatique"

Madrileño · 10 Juillet 2004

Moi je prend

Si quelqu'un a un site sur les sécurité de php mysql je prend parce que j'attend de me mettre a ce langage du fais de la sécurité à mettre derrière :lol: Beaucoup m'ont dit que le php sa se piratais étant donné que l'on peu écrire sur le server depuis la page web machin truc :cry:
Alors si quelqu'un a des infos sur ses thèmes je prend

milkiway · 10 Juillet 2004

donc personne n'a d'infos ?

avec PHP il y a des libs pour d'autre format de base de données utilisant des fichiers

ah bon ? et ça tourne partout ?

pour le CMS en dev c'est ici http://fohoizey2.free.fr/itseasy/

mahefarivony · 10 Juillet 2004

a mon humble avis, a moins d'aller trainer sur des sites pas tres recommendables (google est ton .. ami ? :twisted: ), tu trouveras pas des sites dit "officiel" sur la question.

imagine un site t'expliquant le ba-ba du comment faire pour hacker, cracker etc des sites internet. Ca craint un peu.

Remi L. · 10 Juillet 2004

En tout cas, bravo pour ton projet de développer un CMS qui n'utilise pas mySql.

Pour la sécurité, je ne sais pas trop à quel niveau tu en es de tes recherches, mais quand on programme en 'register_global =off' et que l'on considère que les 'include $variable' sont à manier avec autant de précautions que du TNT, on a fait un grand bout de chemin.

Voilà par exemple des liens pour débroussailler:
http://thierrylhomme.developpez.com/php/php_secure/
http://www.php.net/manual/fr/security.index.php
http://www.securiteam.com/securityreviews/
mais tu connais peut-être déjà ce genre de choses, et c'est vrai que les plus gros soucis peuvent être dans la partie admin, bien borner le champ d'action.

milkiway · 10 Juillet 2004

Merci Remi je vais me mettre à la lecture

Aucun problème jamais la moindre inclusion avec une variable ce serait de la folie.

Et un lien expliquant clairement tous les chmod possible ça existe ?

niceunef · 12 Juillet 2004

Pour les chmod, c'est pas dur, en fait la commande ce sont 3 chiffres en base 8 (il peut y avoir des problemes de confusion avec la base 10 donc on les voit parfois précédés -pour clarifier- de 0: 0777): le premier pour l'utilisateur, le second pour le groupe (p.ex. autres utilisateurs connectés du meme serveur -peu utile sur le web j'ai l'impression-) et le 3e "tout le monde" (les internautes).
Les 3 chiffres en octal sont en fait sur 3 bits binaires: 4 pour autorisation en lecture (0 sinon)+ 2 pour l'écriture (""), 1 pour l'exécution ("")
Exemples: 644 = lecture et écriture pour toi, lecture seule pour les autres
777= tout le monde peut tout faire
On voit aussi parfois (ex. un "ls -l" sous linux, ou dans les FTP) les autorisations notées en lettres:
-rw-r--r-- equivaut a 644: le premier tiret pour "fichier simple", sinon c'est "d" pour un répertoire -ou "l" pour un lien symbolique, a ne pas confondre avec un lien web-, les autres tirets pour des autorisations non accordées

milkiway · 12 Juillet 2004

merci, par ce que je l'ai tojours fait avec l'outil graphique
il y a une commande pour connaitre le chmod d'un fichier ou dossier sur linux ?

rituel · 14 Juillet 2004

Bon on t'as survolé le problème, mais la sécurité des sites dynamiques se trouve ailleurs : Inclusion dynamique de page : Execution de code distant, non vérification de l'assignement du type et du contenu des variables : Injection SQL, non filtrage des caractères spéciaux dans les variables : Cross site scripting, Injection SQL, Html injection, Javascript injection ...

J'en passe et des meilleures.

Rituel, webmaster de livraison fleurs

milkiway · 14 Juillet 2004

Merci mais surtout ne laisse pas ton adresse mail à découvert, gare au bots

rituel · 14 Juillet 2004

Je ne l'utilise pas cette e-mail c'est une adresse de messenger

Ps : Si tu as d'autres questions après notre entrevue n'hésites pas.

Juxener · 27 Juillet 2004

Tient donc milkiway qui recherche des cours de hacking

!

Voyez-vous ça, c'est pas toi qui m'a limité insulté d'en avoir créé, que ça ne pouvait que former de nouveaux hackeurs ???
lool, tu vois bien que ça peut être utile :d !

Donc, ce que j'ai fait est basic mais mais peut faire éviter les pires erreurs :
http://www.jsand.net/tutoriel_hacking.wju

lorantino · 27 Juillet 2004

niceunef a dit:
Pour les chmod, c'est pas dur, en fait la commande ce sont 3 chiffres en base 8 (il peut y avoir des problemes de confusion avec la base 10): le premier pour l'utilisateur, le second pour le groupe (p.ex. autres utilisateurs connectés du meme serveur -peu utile sur le web j'ai l'impression-) et le 3e "tout le monde" (les internautes).
Les chiffres sont en fait sur 3 bits binaires: 4 pour autorisation en écriture (0 sinon)+ 2 pour la lecture (""), 1 pour l'exécution ("")
Exemples: 644 = lecture et écriture pour toi, lecture seule pour les autres
777= tout le monde peut tout faire

a ba la c est super je viens de comprendre le chmod, tres clair merci ^^
donc, chmod 333 : lecture et execution for all ??
et dis moi, comment je peux changer le chmod sur mes fichiers via le ftp et sans passer par l assistant windows ?? (en tapant en dur comme les vrais quoi ^^)

sinon juste une petite precision, t as du te gourer en tapant car tu marque "sur 3 bits binaires" ... alors deja un bit, c est forcement binaire et ensuite, la c est 3 chiffres en base 8

++

milkiway · 27 Juillet 2004

Merci Juxener c'est sympa mais j'ai déjà sécurisé mon script

Pour info les chmod sont composés ainsi 0777 et non 777

Sur -http://www.jsand.net/tutoriel_hacking_3.wju il faut bien préciser que ça ne fonctionne qu'avec les register global sur On

drjee · 27 Juillet 2004

en tous les cas ton chmod 777 sur des fichiers est très dangereux... je vous rapelle que le protocole http comporte une commande qui porte le doux nom de DELETE, alors si public à un accès rwx comme c le ca ici, on peut t'effacer tes fichiers via un simple telnet :wink:

yep · 27 Juillet 2004

-http://www.thehackademy.net

niceunef · 27 Juillet 2004

Pour les chmod j'avais mis une erreur

lorantino, chmod 333 : *écriture* et execution for all, pour faire lecture et execution for all: chmod 555
post corrigé et augmenté.

tofm2 · 21 Mars 2010

milkiway a dit:
un site donnant des cours de hacking

:twisted: http://www.hackforums.net :twisted:

Marie-Aude · 21 Mars 2010

quel deterrage ^^

j-mi · 22 Mars 2010

Ma petite contribution ...
Top secret niveau 5 , mais je connais des school hacker ,
il y en a une trés bonne c'est celle de Kevin mitinck ...
Je crois que c'est une des plus hautes écoles ...
Et la selection ressemble a la cour de l'enfer telement c'est séléctioné

Il y a je crois mais pas sur c'est une supposition l'ecole de Dark tangent, mais c'est une supposition
Limite suffit d'aller sur son forum et lui poser la question

Fo aller voir zataz.com et tout ses liens fouiller dans ce site de sécurités
il donne pas mal d'information web francophone
si pas le site de hacker magazine

question school je préfére celle du référencement !
Même si je suis un white hat

tofm2 · 22 Mars 2010

Marie-Aude a dit:
quel deterrage ^^

il a évolué depuis l'époque héroïque