Bonjour,
Je viens partager mon expérience concernant 2 scripts que j'utilisais depuis des années mais qui ont servit les deux dernières semaine à hacker mon site...
Ce sont des scripts libres en PHP et qui sont donc à éviter...
1- OpenX
Jusqu'a il y a quelques semaines tout allait bien avec le seul script PHP bien foutu pour gérer les campagnes publicitaires internes à son site, sauf que, le code étant ouvert, il est devenu une cible pour les pirates qui distribuent des malwares via le code de vos bannières. DImanche dernier mon site a été marqué comme dangereux sur Google et la plupart des navigateurs à cause de cela. Résultat : presque plus de visiteurs pendant 3 jours, le temps de trouver le problème, le supprimer et demander une revérification à Google
2- CaptchaSecurityImages.php
Un petit script tout bête pour générer une image avec un code aléatoire très utile pour les formulaires "ouverts" sur votre site (commentaires, contact, etc.) et éviter de se faire spammer. Cependant, il a 2 failles majeures (attaques de type DDos)... la première est qu'il est possible d'appeler l'image CaptchaSecurityImages.php directement du navigateur et de choisir la taille de l'image. Si un malin appelle automatiquement plusieurs fois l'image CaptchaSecurityImages.php?width=3000 par exemple, cela va saturer votre serveur jusqu'au plantage. L'autre faille, c'est que toujours via l'url, on peut modifier le nombre de caractère du code à 2 caractères seulement (par exemple CaptchaSecurityImages.php?characters=2), ce qui facilite la découverte automatique du code par une attaque par "force brut" (test de toutes les possibilités à 2 caractères).
Des pirates se sont servit de cela pour et saturer mon processeur et spammer les commentaires de mon site.
Conclusion et bonne leçon retenue : éviter les scripts tiers au maximum. Du coup, j'ai redéveloppé un équivalent à ces deux scripts PHP pour sécuriser un peu plus mon site et mon serveur...
Je viens partager mon expérience concernant 2 scripts que j'utilisais depuis des années mais qui ont servit les deux dernières semaine à hacker mon site...
Ce sont des scripts libres en PHP et qui sont donc à éviter...
1- OpenX
Jusqu'a il y a quelques semaines tout allait bien avec le seul script PHP bien foutu pour gérer les campagnes publicitaires internes à son site, sauf que, le code étant ouvert, il est devenu une cible pour les pirates qui distribuent des malwares via le code de vos bannières. DImanche dernier mon site a été marqué comme dangereux sur Google et la plupart des navigateurs à cause de cela. Résultat : presque plus de visiteurs pendant 3 jours, le temps de trouver le problème, le supprimer et demander une revérification à Google
2- CaptchaSecurityImages.php
Un petit script tout bête pour générer une image avec un code aléatoire très utile pour les formulaires "ouverts" sur votre site (commentaires, contact, etc.) et éviter de se faire spammer. Cependant, il a 2 failles majeures (attaques de type DDos)... la première est qu'il est possible d'appeler l'image CaptchaSecurityImages.php directement du navigateur et de choisir la taille de l'image. Si un malin appelle automatiquement plusieurs fois l'image CaptchaSecurityImages.php?width=3000 par exemple, cela va saturer votre serveur jusqu'au plantage. L'autre faille, c'est que toujours via l'url, on peut modifier le nombre de caractère du code à 2 caractères seulement (par exemple CaptchaSecurityImages.php?characters=2), ce qui facilite la découverte automatique du code par une attaque par "force brut" (test de toutes les possibilités à 2 caractères).
Des pirates se sont servit de cela pour et saturer mon processeur et spammer les commentaires de mon site.
Conclusion et bonne leçon retenue : éviter les scripts tiers au maximum. Du coup, j'ai redéveloppé un équivalent à ces deux scripts PHP pour sécuriser un peu plus mon site et mon serveur...
