Retour d'expérience et scripts PHP à éviter (OpenX et CaptchaSecurityImages.php)

Dharius · 18 Avril 2013

Bonjour,

Je viens partager mon expérience concernant 2 scripts que j'utilisais depuis des années mais qui ont servit les deux dernières semaine à hacker mon site...

Ce sont des scripts libres en PHP et qui sont donc à éviter...

1- OpenX
Jusqu'a il y a quelques semaines tout allait bien avec le seul script PHP bien foutu pour gérer les campagnes publicitaires internes à son site, sauf que, le code étant ouvert, il est devenu une cible pour les pirates qui distribuent des malwares via le code de vos bannières. DImanche dernier mon site a été marqué comme dangereux sur Google et la plupart des navigateurs à cause de cela. Résultat : presque plus de visiteurs pendant 3 jours, le temps de trouver le problème, le supprimer et demander une revérification à Google

2- CaptchaSecurityImages.php
Un petit script tout bête pour générer une image avec un code aléatoire très utile pour les formulaires "ouverts" sur votre site (commentaires, contact, etc.) et éviter de se faire spammer. Cependant, il a 2 failles majeures (attaques de type DDos)... la première est qu'il est possible d'appeler l'image CaptchaSecurityImages.php directement du navigateur et de choisir la taille de l'image. Si un malin appelle automatiquement plusieurs fois l'image CaptchaSecurityImages.php?width=3000 par exemple, cela va saturer votre serveur jusqu'au plantage. L'autre faille, c'est que toujours via l'url, on peut modifier le nombre de caractère du code à 2 caractères seulement (par exemple CaptchaSecurityImages.php?characters=2), ce qui facilite la découverte automatique du code par une attaque par "force brut" (test de toutes les possibilités à 2 caractères).
Des pirates se sont servit de cela pour et saturer mon processeur et spammer les commentaires de mon site.

Conclusion et bonne leçon retenue : éviter les scripts tiers au maximum. Du coup, j'ai redéveloppé un équivalent à ces deux scripts PHP pour sécuriser un peu plus mon site et mon serveur...

Zecat · 18 Avril 2013

Dharius a dit:

Conclusion et bonne leçon retenue : éviter les scripts tiers au maximum. Du coup, j'ai redéveloppé un équivalent à ces deux scripts PHP pour sécuriser un peu plus mon site et mon serveur...
Cliquez pour agrandir...

Je me demandais aussi pourquoi tu avais fait appel a des ressources externes (maillon faible un jour ou l autre) ... le doityourself a encore de beaux jours :wink:

Dharius · 18 Avril 2013

Et bien concernant la régie, je pensais au départ que ça aurait été un trop gros boulot à développer mais finalement 3 jours et c'était bouclé.

Et concernant le captcha, c'est un moment de fainéantise qui m'a fait adopter ce script...

Bon après si un gars pirate les apis et scripts google Adsense, Analytics et autres, on est mal !

Zecat · 18 Avril 2013

Dharius a dit:

Bon après si un gars pirate les apis et scripts google Adsense, Analytics et autres, on est mal !
Cliquez pour agrandir...

:mrgreen: comme tu dis !

Similar Threads - expérience scripts PHP	Forum	Date
Quel hébergement ? ( Mauvaise expérience O2switch)	Administration d'un site Web	4 Décembre 2019
Données structurées : vos expériences	Référencement Google	15 Juillet 2019
Plugin AMP pour WP des retours d'experiences ?	Référencement Google	5 Avril 2019
Retour expérience PWA	Développement d'un site Web ou d'une appli mobile	30 Septembre 2018
Expérience utilisateur de Google actu version mai 2018	Google : l'entreprise, les sites web, les services	18 Mai 2018
Retour d'expérience PWA et SEO?	Référencement Google	6 Mars 2018
Puissance d'un gros backlink : une expérience ?	Netlinking, backlinks, liens et redirections	15 Mars 2017
Une expérience incompréhensible de résultats (+ de 6 mois)	Problèmes de référencement spécifiques à vos sites	20 Février 2017
Retour d’expérience sur un passage en SSL d’un site Prestashop ?	Référencement Google	30 Novembre 2016
Besoin de votre expérience sur adwords	AdWords	28 Octobre 2016