Retour d'expérience et scripts PHP à éviter (OpenX et CaptchaSecurityImages.php)

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par Dharius, 18 Avril 2013.

  1. Dharius
    Dharius WRInaute impliqué
    Inscrit:
    6 Avril 2005
    Messages:
    746
    J'aime reçus:
    0
    Bonjour,

    Je viens partager mon expérience concernant 2 scripts que j'utilisais depuis des années mais qui ont servit les deux dernières semaine à hacker mon site...

    Ce sont des scripts libres en PHP et qui sont donc à éviter...

    1- OpenX
    Jusqu'a il y a quelques semaines tout allait bien avec le seul script PHP bien foutu pour gérer les campagnes publicitaires internes à son site, sauf que, le code étant ouvert, il est devenu une cible pour les pirates qui distribuent des malwares via le code de vos bannières. DImanche dernier mon site a été marqué comme dangereux sur Google et la plupart des navigateurs à cause de cela. Résultat : presque plus de visiteurs pendant 3 jours, le temps de trouver le problème, le supprimer et demander une revérification à Google

    2- CaptchaSecurityImages.php
    Un petit script tout bête pour générer une image avec un code aléatoire très utile pour les formulaires "ouverts" sur votre site (commentaires, contact, etc.) et éviter de se faire spammer. Cependant, il a 2 failles majeures (attaques de type DDos)... la première est qu'il est possible d'appeler l'image CaptchaSecurityImages.php directement du navigateur et de choisir la taille de l'image. Si un malin appelle automatiquement plusieurs fois l'image CaptchaSecurityImages.php?width=3000 par exemple, cela va saturer votre serveur jusqu'au plantage. L'autre faille, c'est que toujours via l'url, on peut modifier le nombre de caractère du code à 2 caractères seulement (par exemple CaptchaSecurityImages.php?characters=2), ce qui facilite la découverte automatique du code par une attaque par "force brut" (test de toutes les possibilités à 2 caractères).
    Des pirates se sont servit de cela pour et saturer mon processeur et spammer les commentaires de mon site.

    Conclusion et bonne leçon retenue : éviter les scripts tiers au maximum. Du coup, j'ai redéveloppé un équivalent à ces deux scripts PHP pour sécuriser un peu plus mon site et mon serveur...
     
  2. Zecat
    Zecat WRInaute accro
    Inscrit:
    1 Mars 2005
    Messages:
    9 177
    J'aime reçus:
    0
    Je me demandais aussi pourquoi tu avais fait appel a des ressources externes (maillon faible un jour ou l autre) ... le doityourself a encore de beaux jours :wink:
     
  3. Dharius
    Dharius WRInaute impliqué
    Inscrit:
    6 Avril 2005
    Messages:
    746
    J'aime reçus:
    0
    Et bien concernant la régie, je pensais au départ que ça aurait été un trop gros boulot à développer mais finalement 3 jours et c'était bouclé.

    Et concernant le captcha, c'est un moment de fainéantise qui m'a fait adopter ce script...

    Bon après si un gars pirate les apis et scripts google Adsense, Analytics et autres, on est mal ! ;)
     
  4. Zecat
    Zecat WRInaute accro
    Inscrit:
    1 Mars 2005
    Messages:
    9 177
    J'aime reçus:
    0
    :mrgreen: comme tu dis !
     
Chargement...
Similar Threads - expérience scripts PHP Forum Date
Quel hébergement ? ( Mauvaise expérience O2switch) Administration d'un site Web 4 Décembre 2019
Données structurées : vos expériences Référencement Google 15 Juillet 2019
Plugin AMP pour WP des retours d'experiences ? Référencement Google 5 Avril 2019
Retour expérience PWA Développement d'un site Web ou d'une appli mobile 30 Septembre 2018
Expérience utilisateur de Google actu version mai 2018 Google : l'entreprise, les sites web, les services 18 Mai 2018
Retour d'expérience PWA et SEO? Référencement Google 6 Mars 2018
Puissance d'un gros backlink : une expérience ? Netlinking, backlinks, liens et redirections 15 Mars 2017
Une expérience incompréhensible de résultats (+ de 6 mois) Problèmes de référencement spécifiques à vos sites 20 Février 2017
Retour d’expérience sur un passage en SSL d’un site Prestashop ? Référencement Google 30 Novembre 2016
Besoin de votre expérience sur adwords AdWords 28 Octobre 2016
  1. Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez l'utilisation des cookies.
    Rejeter la notice