Merci de tester la sécurité de mon site

Discussion dans 'Problèmes de référencement spécifiques à vos sites' créé par ortolojf, 6 Juin 2005.

  1. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 681
    J'aime reçus:
    39
    Bonjour
    Tout est dans le titre.
    Théoriquement, je pense avoir suffisamment sécurisé la prise en compte des paramètres de mes scripts PHP, qui sont en GET. ( Ce n'est pas un secret, c'est visible sur la ligne de commande du navigateur. )

    Pourriez-vous faire des tests, les plus zarbis qui soient, pour déceler un comportement bizarre de mon site, qui est dans mon profil ?

    Merci à tous.

    Jean Francois Ortolo
     
  2. itsme
    itsme WRInaute impliqué
    Inscrit:
    13 Octobre 2004
    Messages:
    609
    J'aime reçus:
    0
    Aller, un p'tit coup d'oeil ;)

    1) il vaut mieux securiser un repertoire que de le mettre dans robots.txt. C'est la premiere chose que l'on regarde pour savoir ou chercher.
    => xw.ortolojf-courses.com/robots.txt

    2) securiser donc les repertoires que tu veux proteger avec htaccess et leur donner un nom moins evident.
    => ww.ortolojf-courses.com/robotstats/

    3) eviter les injectionsSQL : controles les parametres utilises pour tes requettes SQL
    => ww.ortolojf-courses.com/php/courses_nouvelles/stat2_new_courses.php?JOUR=1#

    4) Le systeme de redirection n'est pas top => ww.ortolojf-courses.com/php/redirections/action_index.php?ADRESSE=../../robotstats/

    J'arrete la :p
     
  3. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 681
    J'aime reçus:
    39
    Bonjour itsme

    Le problème, c'est que:

    1- Je suis obligé d'empêcher les moteurs de recherche de scanner certains fichiers...
    2- Le répertoire /robotstats/ est connu par tout le monde, c'est le seul autre répertoire que j'aurais besoin de cacher, mais quelle importance, vu qu'il ne contient que des scripts PHP, qui sont eux-mêmes facilement connaissables, en téléchargeant RobostStats ? Et puis, un hack de RobostStats, celà ne me fait ni chaud ni froid...
    3- Pour les paramètre $_GET de mes scripts, pour ce qui est du script stat2_old/new_courses.php , tous mes paramètres sont vérifiés et sur-vérifiés, et des valeurs fausses n'aurait que très peu d'impact sur le fonctionnement de mon site, seulement des mauvais résultats pour l'utilisateur. D'un autre côté, dans tout mon site, ma base de données n'est utilisée que pour de la lecture avec des SELECT, sans aucune écriture.
    4- Pour la redirection, il se pourrait que d'aucuns mettent d'autres valeurs à la variable adresse, mais il faudrait pour celà, qu'ils sachent quels sont les scripts dans les répertoires de mon site, et à part /robotstats/ , je ne vois pas comment on pourrait deviner les noms des scripts dans les répertoires, à part évidemment ceux qui s'affichent dans la barre des tâches du navigateur.

    Et puis, nonobstant cette redirection... Rien n'empêcherait des hackers de se brancher directement sur ces scripts PHP intermédiaires, je vais examiner tous mes scripts pour étudier les hacks possibles...

    Reste qu'il me faudrait une autre sorte de redirection, en fonction du choix de l'utilisateur... Il me suffira d'utiliser un paramètre de transfert, qui décidera sur quelle adresse codée en dur, se fera la redirection, ce que j'aurais du faire depuis longtemps... Merci beaucoup de ta suggestion, et si tu vois d'autres problèmes, n'hésite pas à me le dire! ;-)

    Amicalement.

    Jean Francois Ortolo
     
  4. itsme
    itsme WRInaute impliqué
    Inscrit:
    13 Octobre 2004
    Messages:
    609
    J'aime reçus:
    0
    un repertoire protege par htacces est aussi protege des moteurs :)

    C'etait cite en exemple

    C'etait aussi un exemple :) l'injection sql permet pas mal de choses. Sans parler de mise a jour, un simple commentaire au milieu d'une requette faisant des jointures sur des grosses tables suffit a provoquer un produit cartesien et donc a planter le serveur

    Il existe des solutions et des logiciels pour retrouver rapidement tes scripts et/ou repertoires (bases sur le principe des dictionnaires) :)

    Tu as des constantes dans tes redirections, passes en parametre un code qui est une partie du script, cela corsera un peu les choses.

    Ne resonnes pas par defaut

    A mon avis, la premiere question a te poser est: y-a-t-il quelque chose de vital sur mon site ?
    Si oui, est-ce normal que cela y soit ?
    Si oui, il faut blinder.
    Dans le cas contraire, un developpement propre et des sauvegardes regulieres suffisent amplement ;)
     
  5. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 681
    J'aime reçus:
    39
    Bof, les seules autres choses que j'aurais besoin de protéger sont des photos...

    Tous mes ordres SQL sont fixés avec seulement des variables calculées ( critères de sélections ) qui sont vérifiées et sur-vérifiées.

    Il n'y a strictement aucune possibilité pour agir de l'extérieur, sur les contenus de mes critères de sélection, ni sur les ordres SQL non plus.


    J'ai seulement revérifié tous les scripts intermédiaires qui s'affichent dans la barre des tâches du navigateur, et blindé toutes les valeurs de variables $_GET transmises, mais je pense que même pour tous les scripts que j'utilise non visibles, les variables paramètres sont suffisamment protégées, et compte tenu de l'effort qu'il faudrait faire pour trouver les scripts invisibles en question, j'avoue que je n'ai pas tellement vérifié, bien que je me souvienne en gros, quelles variables sont transmises, et comme les scripts visibles redirectionnés à partir des scripts invisibles, sont protégés contre les hacks de façon très soigneuse, je pense qu'il n'y a pas lieu de s'inquiéter.


    C'est ce que je disais dans ma réponse.
    Ceci dit, les scripts déclenchés par ce premier script de redirection, n'ont pas du tout de paramètre, et donc ne peuvent pas du tout être hackés, car des paramètres qui leur seraient communiqués ne seraient pas pris en compte par les scripts récepteurs. Donc le fait de savoir leurs noms ne permet aucun hack possible.
    Je pense donc laisser mon script de redirection tel quel...

    Le seul et unique problème qui arrive très très rarement, est quand l'utilisateur stoppe rapidement le chargement de la page des Courses du lendemain/après-midi, ce qui dans de très très rares cas, peut faire que le fichier des Courses soit incomplet... Mais ça, je n'y peux rien, j'ai tout essayé, y compris un verrouillage par fichiers de verrous très très efficace, qui devrait résoudre tous les problèmes de ce type. Cependant, ce matin, pour la première fois depuis de nombreux mois, j'ai vu qu'il n'y avait que deux Courses dans la liste... :)

    Moi qui pensais être définitivement sécurisé contre ce problème :(
    En fait, je ne sais même pas d'où vient le problème dans ce cas, car ces verrouillage que je fais, devraient éliminer complètement le problème.

    Rien de vital, ma base de données est en lecture seule, mais je viens quand même de blinder des paramètres de dates.

    Celà dit, le seul avantage que pourrait avoir un hacker avec mon site, serait de le faire fonctionner d'une façon inhabituelle, ou carrément inutile, c'est-à-dire qui ne lui apporte aucune des informations habituellement données par mon site.

    Dans tous les cas, il n'y a strictement aucune moyen de faire du mal au serveur, si peu que ce soit.

    Même mes pages de Statistiques, comportent tellement de paramètres, et l'ensemble des scripts intermédiaires nécéssaires pour y accéder ( fixer les paramètres et les conditions d'utilisation ), a une durée d'exécution suffisamment longue, pour qu'il soit impossible de surcharger le serveur, sur le plan du débit.

    La seule et unique possibilité, serait une augmentation des consultations ( même automatisées ) telle, que ma limite de 40 giga-octets/mois soit dépassée... Mais actuellement j'en suis bien en dessous de 0,3 giga-octets/mois, alors... :)

    Merci beaucoup pour tes conseils.

    Amicalement.

    Jean Francois Ortolo
     
  6. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 681
    J'aime reçus:
    39
    Bon...
    J'ai eu un peu peur que quelqu'un n'ait deviné mon password FTP, alors j'ai viré tout RobotStats, qui aurait théoriquement pu être hacké dans ce cas, et j'ai modifié le password...

    Donc, plus de répertoire /robotstats/ , c'est comme ça, je suis content...

    J'ai aussi viré toutes les tables de RobotStats sous le PHPMyAdmin de mon hébergeur OVH, comme ça pas de problème.

    Je sais, c'est un peu suicidaire, j'ai obéi à une impulsion subite, mais bon...
    J'ai simplement pensé qu'il était plus facile pour un hacker, de hacker mon site ou copier ma bdd en hackant RobotStats, qu'en hackant mon propre site.

    Maintenant, finies les folies googleliennes, je n'ai plus que la barre de FireFox et celle de IE6, pour me donner des indications sur mon PR... Et aussi MyWri, merci beaucoup à Olivier ! :)

    Bien à toi.

    Jean Francois Ortolo
     
Chargement...
Similar Threads - tester sécurité Forum Date
Outils pour tester d'éventuelles failles de sécurité sur notre site? Développement d'un site Web ou d'une appli mobile 20 Janvier 2015
Tester la sécurité d'un script avant sa mise en ligne Développement d'un site Web ou d'une appli mobile 23 Août 2013
Comment tester la sécurité de son site? Administration d'un site Web 6 Juin 2005
Existe t-il un outil Google pour tester une page web si elle est filtrée par Safesearch ? Référencement Google 4 Octobre 2022
Tester une URL avec Javascript Développement d'un site Web ou d'une appli mobile 25 Février 2022
WordPress GT Metrix : comment tester sa vitesse au mieux ? Débuter en référencement 27 Juillet 2021
Nouvel Edge dispo, un browser de moins à tester ! Développement d'un site Web ou d'une appli mobile 16 Janvier 2020
Cobaye pour tester vitesse site Problèmes de référencement spécifiques à vos sites 10 Janvier 2020
Tester les pubs ADS - Ou trouver des coupons ? e-commerce 12 Novembre 2019
Tester si une redirection web a été faite Développement d'un site Web ou d'une appli mobile 8 Juillet 2019
Quel outil fiable pour tester la vitesse du site? Référencement Google 2 Février 2019
WordPress Tester si le post type est dans la taxonomie X Développement d'un site Web ou d'une appli mobile 28 Janvier 2019
[résolu] Passage à HTTPS, comment tester une page ? Développement d'un site Web ou d'une appli mobile 7 Septembre 2017
ça marche pas!?? Personne ne veut tester mon outil! Demandes d'avis et de conseils sur vos sites 27 Octobre 2016
Quel outil pour tester partie technique site web Débuter en référencement 17 Octobre 2016
L'extension Chrome AMP Validator pour tester les pages AMP Développement d'un site Web ou d'une appli mobile 9 Juin 2016
Pouvez-vous tester pour moi et m'aider à progresser ? Débuter en référencement 10 Septembre 2015
Nouveau forum à tester Demandes d'avis et de conseils sur vos sites 21 Avril 2015
Tester un e-marché e-commerce 24 Février 2015
Tester le référencement d'un site d'un institut de beauté Demandes d'avis et de conseils sur vos sites 28 Août 2014