mieux proteger mon site contre des attaques

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par silverbeach, 6 Février 2006.

  1. silverbeach
    silverbeach WRInaute occasionnel
    Inscrit:
    20 Juillet 2005
    Messages:
    262
    J'aime reçus:
    0
    Bonjour,
    Ce matin, j'ai subit une petite attaque sur un de mes sites.
    Une personne ou un robot (je n'ai aucune trace dans mes stats) est venu s'inscrire 3 fois en mettant un genre de code pour le pseudo et en m'envoyant des email par le formulaire de contact du site.
    J'ai modifier un peu le script d'inscription pour mieux proteger mon site mais il y a truc que je ne comprend pas:
    Dans un champs de ma base de donnée, il y avait une adresse email alors que la valeur ne doit etre que oui ou non. La valeur vient d'un input type="radio" ou il faut sélectioner oui ou non.

    Comment a t-il fait pour mettre une adresse dans ce champs?
    Que faut-il faire pour que ca ne se reproduise plus?
     
  2. HawkEye
    HawkEye WRInaute accro
    Inscrit:
    23 Février 2004
    Messages:
    13 857
    J'aime reçus:
    5
    mettre un code de validation à recopier me semble la plus efficace des méthodes.
     
  3. zimounet
    zimounet WRInaute passionné
    Inscrit:
    8 Novembre 2004
    Messages:
    1 374
    J'aime reçus:
    0
    Vérifier ce que tu insert dans ta base de donnée!

    Pour cela utilise les regex (expressions régulières), et je te conseille le site "regexp"
     
  4. silverbeach
    silverbeach WRInaute occasionnel
    Inscrit:
    20 Juillet 2005
    Messages:
    262
    J'aime reçus:
    0
    je les utilise déja pour certains champs

    mais je ne comprend pas comment la personne ou le robot a réussi a mettre une adresse email dans un champs où il ne devrait y avoir que le mot oui ou non
     
  5. tom_pascal
    tom_pascal WRInaute discret
    Inscrit:
    17 Novembre 2003
    Messages:
    247
    J'aime reçus:
    0
    Si c'est un robot ou un script, il peut construire la trame HTTP entièrement et donc envoyé n'importe quoi comme valeur d'un champ de type post...

    Avec certaines API de développement, il est aussi facile d'envoyer des données en POST que tu le ferais en GET

    (un truc du type compte.valide.php?age=essai&sexe=nimportequoi)
     
  6. UsagiYojimbo
    UsagiYojimbo WRInaute accro
    Inscrit:
    23 Novembre 2005
    Messages:
    12 018
    J'aime reçus:
    133
    ...

    ... il a pu aussi poster sur ta page via un autre formulaire en faisant pointer le action de la balise form sur ta page.

    Il existe même des softs pour poster sur les pages, comme le dit tom_pascal.

    Dès lors modifier les valeurs du POST devient aussi facile que de modifier les valeurs du GET.
     
  7. zimounet
    zimounet WRInaute passionné
    Inscrit:
    8 Novembre 2004
    Messages:
    1 374
    J'aime reçus:
    0
    de plus, un champ qui contient oui ou non doit etre de type char(3) et non varchar(1500000) !!!

    et de plus bis, si c'est pour mettre du oui ou du non dans une bdd, mieux faut mettre un champ de type int(1) !
     
  8. UsagiYojimbo
    UsagiYojimbo WRInaute accro
    Inscrit:
    23 Novembre 2005
    Messages:
    12 018
    J'aime reçus:
    133
    ...

    ... voire Enum si la base de donnée est en MySQL.
     
  9. silverbeach
    silverbeach WRInaute occasionnel
    Inscrit:
    20 Juillet 2005
    Messages:
    262
    J'aime reçus:
    0
    Je l'ai modifié après l'attaque.
    Avant, j'utilisais souvent vachar(255) mais j'ai eu des problèmes de longueur et on m'a conseillé "text". Pour plus de facilité, j'avais mis tout les champs en text => grosse erreur.

    le problème c'est qu'il faut je change beaucoups de chose
    Maintenant j'utilise 1 ou 2 quand il y a 2 choix

    Enum, c'est juste pour un nombre?
     
  10. thierry8
    thierry8 WRInaute accro
    Inscrit:
    11 Juillet 2005
    Messages:
    2 728
    J'aime reçus:
    0
    N'est-il pas possible de vérifier que l'adresse mail saisie est correcte et existante ?
     
  11. silverbeach
    silverbeach WRInaute occasionnel
    Inscrit:
    20 Juillet 2005
    Messages:
    262
    J'aime reçus:
    0
    j'utilise ceci pour la saisie d'une adresse email mais ca ne vérifie pas si elle existe
    Code:
    if (preg_match("!^[a-z0-9._-][email protected][a-z0-9._-]{2,}\.[a-z]{2,4}$!", $email)) //verification de l'email
    {
       //code a exécuter
    }
     
  12. medium69
    medium69 WRInaute passionné
    Inscrit:
    7 Mai 2005
    Messages:
    1 940
    J'aime reçus:
    3
    Pas forcément ; tu indique les valeurs qui sont possible d'insérer dans la base.
     
  13. thierry8
    thierry8 WRInaute accro
    Inscrit:
    11 Juillet 2005
    Messages:
    2 728
    J'aime reçus:
    0
    En effet, justement, il me semble que la mesure la plus fiable serait de tester si un mail existe...

    (finallement non, cela n'exclus pas d'utiliser une adresse bidon pour un message bidon)

    donc je :arrow:
     
  14. Bahanix
    Bahanix WRInaute discret
    Inscrit:
    8 Juin 2005
    Messages:
    123
    J'aime reçus:
    0
    Tu peux aussi verifier que l'IP ne soit pas déjà utilisée dans une inscription précédente, ça évitera le flood d'inscription.

    Ensuite un "code-image" peut gener pas mal de robots...
     
  15. silverbeach
    silverbeach WRInaute occasionnel
    Inscrit:
    20 Juillet 2005
    Messages:
    262
    J'aime reçus:
    0
    oui, c'est une protection que je pourrai ajouter mes dans mon cas du matin, ca n'aurait rien changé car c'est 3 ip differentes
     
  16. silverbeach
    silverbeach WRInaute occasionnel
    Inscrit:
    20 Juillet 2005
    Messages:
    262
    J'aime reçus:
    0
    Je suppose qu'on sait voir les attaques dans les logs mais je ne comprend rien dans les logs

    Connaissez-vous de la bonne documentation sur les logs et sur les protections des scripts?
     
Chargement...
Similar Threads - proteger attaques Forum Date
Sécuriser/protéger un site contre d'éventuelles attaques Développement d'un site Web ou d'une appli mobile 12 Mars 2010
L'antivirus est-il utile pour protéger les données professionnelles? Le café de WebRankInfo 17 Septembre 2020
Protéger mes fichiers d'un lien extérieur URL Rewriting et .htaccess 18 Avril 2016
Protéger un application web (site local) Droit du web (juridique, fiscalité...) 17 Juin 2014
Protéger mon ndd antérieur à une marque qui m'a contacté Droit du web (juridique, fiscalité...) 7 Avril 2014
Comment protéger son site contre les jQuery externes ? Droit du web (juridique, fiscalité...) 19 Octobre 2013
Peut-on protéger son site avec un copyright / huissier ? Droit du web (juridique, fiscalité...) 2 Mai 2013
Comment protéger son site pour pas être recopié ? Développement d'un site Web ou d'une appli mobile 25 Mars 2013
Proteger mes page par des session! Administration d'un site Web 23 Mars 2013
Comment protéger son ebook qui est placé dans le serveur contre les moteurs de recherche Demandes d'avis et de conseils sur vos sites 19 Décembre 2012
Generateur de .htaccess dans le dossier à protéger Développement d'un site Web ou d'une appli mobile 29 Novembre 2012
comment protéger ses vidéos? YouTube, Google Images et Google Maps 8 Juin 2012
Déposer une marque et protéger son site internet. Y a t il un intéret? Noms de domaine et référencement 5 Avril 2012
Comment se protéger sur un système de prêt de matériel ? e-commerce 16 Juillet 2011
Comment faire mon htaccess (ou autre solution) pour protéger dossier? URL Rewriting et .htaccess 5 Mai 2011
Proteger son site URL Rewriting et .htaccess 14 Novembre 2010
Proteger son site avec un Copyright Développement d'un site Web ou d'une appli mobile 29 Septembre 2010
Proteger mon blog... Droit du web (juridique, fiscalité...) 17 Avril 2010
Innovation d'un site comment le protéger ? Droit du web (juridique, fiscalité...) 20 Janvier 2010
Protéger l'accès à une page ... Développement d'un site Web ou d'une appli mobile 16 Janvier 2010