A l'aide ! On veut pirater mon site.
Posté le 08/04/2014 20:31
Salut, comme certains le savent j'ai mis
mon site en ligne il y a deux jours, et je rencontres déjà des problèmes.
Il y a quelques instants quelqu'un s'est inscrit avec le pseudo "test", avec un email inventé. Il s'est réinscrit juste après avec le pseudo <em>lol</em> avec un email très ressemblant. Je pense qu'il voulait voir s'il pouvait injecter du HTML sur mon site.
Il est venu sur le chat du site, et a écrit "ton site peut être déglinguer en 2 minutes". J'ai tout de suite supprimé ses deux comptes, mais il en recréé un et il a carrément mis des balises <script> sur le chat, avec un code à l'intérieur que je n'ai pas compris. Heureusement htmlspecialchars () a fonctionné, et les balises <script> ne se sont pas affiché correctement.
Mais en faisant des tests, je me suis aperçu que les balises JavaScript s'affiche sur le forum, alors que j'ai bien utilisé htmlspecialschars là aussi... et quand je clique sur un sujet qui a les balises JavaScript dans son nom, la page qui suit ne s'affiche pas correctement.
J'ai peur que mon site tombe à l'eau... que puis-je faire le protéger ?
Je m'adresse surtout aux Admins.
Merci
Citer : Posté le 08/04/2014 20:47 | #
Pense à faire une copie du code pour pouvoir le recréer en cas de chute justement, c'est tout ce que moi je peux te conseiller pour le moment :/ Après niveau protection, je m'y connais pas trop
Citer : Posté le 08/04/2014 20:48 | #
La copie du code est faite de toute façon, puisque je programme sur mon ordi et je met en ligne après.
Toutes les formules de Première S.
Toutes les formules de Terminale S.
Un programme de calculs.
Super Mario 3
warrior
Jump Ball
First Fly
►Jeu gagnant des 48h CPC n°12◄
Mon site de discussion pour ados : http://entre-ados.net/ (a brûlé dans l'incendie d'OVH)
Mon éditeur de cours en ligne et plateforme de partage : http://wordline.xyz (a succombé à la concurrence de Google Drive...)
Citer : Posté le 08/04/2014 20:50 | #
Tant qu'il n'a pas accès au serveur, il peut injecter ce qu'il veut, il ne risque pas de faire grand chose, au pire récupérer la liste des membres (qui ne doit pas être conséquente...)
Après, c'est sur que ça peut provoquer des bugs coté client, mais t'aura rien coté serveur.
Citer : Posté le 08/04/2014 20:56 | #
D'accord, c'est rassurant...
Merci
Mais il y a quand même 18 membres !
Toutes les formules de Première S.
Toutes les formules de Terminale S.
Un programme de calculs.
Super Mario 3
warrior
Jump Ball
First Fly
►Jeu gagnant des 48h CPC n°12◄
Mon site de discussion pour ados : http://entre-ados.net/ (a brûlé dans l'incendie d'OVH)
Mon éditeur de cours en ligne et plateforme de partage : http://wordline.xyz (a succombé à la concurrence de Google Drive...)
Citer : Posté le 08/04/2014 21:20 | #
Citer : Posté le 08/04/2014 21:25 | #
On dirait que ta méthode fonctionne sur ce site !
Citer : Posté le 08/04/2014 21:32 | # |
Fichier joint
@Lephenixnoir : merci, c'est corrigé ^^.
J'ai une petite idée d'amélioration :
Le cyan sur du gris, ce n'est pas top, à la place du cyan utilise une couleur plus sombre
Pour faire ça il existe les fonction rgb et rgba :
color : rgb(155,51,15);
Citer : Posté le 08/04/2014 21:50 | #
Ne paniques pas (enfin pas trop...) , je ne pense pas qu'il préviendrait s'il avait vraiment l'intention de pirater ton site (ou alors il est idiot ce qui joue plutôt en ta faveur...). Demandes lui plutôt ce qui lui fait dire ça, si ça se trouve, c'est sa façon de te signaler une faille dans la sécurité de ton site </ultra-optimiste>
Coïncidence ? Je ne pense pas.
Citer : Posté le 08/04/2014 21:51 | #
T'imagine si un mec allait voir un site comme ça juste pour l'aider ?
Citer : Posté le 08/04/2014 21:54 | #
Déplacé dans discussions, on a beau être sympa et régler tes problèmes perso, ça n'en est pas moins un problème n'ayant aucun rapport avec une quelconque calculatrice
Citer : Posté le 08/04/2014 22:37 | #
Je te propose de lui demander ce qui ne va pas, si il te prévient, c'est qu'il cherche des failles sur des sites pour son plaisir. Je ne pense pas qu'il fasse ça par méchanceté.
Citer : Posté le 08/04/2014 22:43 | #
Déplacé dans discussions, on a beau être sympa et régler tes problèmes perso, ça n'en est pas moins un problème n'ayant aucun rapport avec une quelconque calculatrice
Je l'ai mis dans "problème de programmation" parce que c'est effectivement un problème de programmation
Mais tu peux le déplacer ça ne me dérange pas.
ainsi les balise <script> se transforment en <script>
Je ne vois pas la différence entre les deux
Je n'ai pas mis cyan pour l'arrière plan de mon forum, mais j'ai utilisé background-color: rgb(200,200,255);
Pour revenir à mon problème, j'ai mis en place l'enregistrement de l'adresse IP de chaque visiteur dans la base de données, parce qu'il semblerait que le "pirate" soit un des membres qui se fait passer pour un gentil...
@Ninestars : je lui ai déjà supprimé les 3 comptes qu'il avait créé.
Toutes les formules de Première S.
Toutes les formules de Terminale S.
Un programme de calculs.
Super Mario 3
warrior
Jump Ball
First Fly
►Jeu gagnant des 48h CPC n°12◄
Mon site de discussion pour ados : http://entre-ados.net/ (a brûlé dans l'incendie d'OVH)
Mon éditeur de cours en ligne et plateforme de partage : http://wordline.xyz (a succombé à la concurrence de Google Drive...)
Citer : Posté le 08/04/2014 22:46 | #
Tu peux le bannir IP ?
Citer : Posté le 08/04/2014 22:48 | #
Oui je peux bloquer une adresse IP, mais on peut très facilement en changer donc je ne crois pas que ce soit utile.
Toutes les formules de Première S.
Toutes les formules de Terminale S.
Un programme de calculs.
Super Mario 3
warrior
Jump Ball
First Fly
►Jeu gagnant des 48h CPC n°12◄
Mon site de discussion pour ados : http://entre-ados.net/ (a brûlé dans l'incendie d'OVH)
Mon éditeur de cours en ligne et plateforme de partage : http://wordline.xyz (a succombé à la concurrence de Google Drive...)
Citer : Posté le 08/04/2014 22:49 | #
S'il a une fixe, si donc fait le, c'est toujours une bonne précaution à prendre, c'est comme tu veux
Citer : Posté le 08/04/2014 22:54 | #
@Tenmatx : J'ai oublié des espaces ,
remplace tous les '<' et '>' par & lt; et & gt; (sans les espaces), ainsi les balises <script> se transforment en & lt;script& gt; (on peut faire ça assez facilement avec des regex)
Citer : Posté le 08/04/2014 22:57 | #
Voilà ce que j'obtiens en tapant <script>test</script> sur mon chat, grâce à htmlspecialshars : <script>test</script>
La je n'ai pas besoin donc pas besoin d'écrire les regex. Par contre, sur le forum ou sur la page d'accueil, même avec htmlspecialchars les balises <script> restent identiques et s'affichent. Je ne comprend pas pourquoi...
Toutes les formules de Première S.
Toutes les formules de Terminale S.
Un programme de calculs.
Super Mario 3
warrior
Jump Ball
First Fly
►Jeu gagnant des 48h CPC n°12◄
Mon site de discussion pour ados : http://entre-ados.net/ (a brûlé dans l'incendie d'OVH)
Mon éditeur de cours en ligne et plateforme de partage : http://wordline.xyz (a succombé à la concurrence de Google Drive...)
Citer : Posté le 09/04/2014 01:42 | #
Les règles de bases à respecter systématiquement :
- Passer dans un htmlspecialchars tout ce qui est entré par l'utilisateur et qui se retrouve affiché dans le html à un moment donné.
- Passer dans un mysql_escape_string (si tu n'utilises pas PDO) tout ce qui se retrouve dans une requête SQL.
N'oublie pas que tout ce qui est récupéré depuis le client peut être modifié par l'utilisateur (attributs value et name des balises input ou option, variables POST et GET, cookies, adresse IP récupérée dans $_SERVER, userAgent ...). Ne fais jamais confiance à ces valeurs, il faut toujours les contrôler avant de les utiliser.
Si tu respectes ça partout, tu ne risques rien.
Citer : Posté le 09/04/2014 01:44 | #
@Eltoredo : l'IP change dès que la box est redémarrée, donc ce n'est pas une protection très efficace.
Calculatrices : Graph 35+ USB tweakée et Classpad 330
Suivez moi et mon humour dévastateur ici
Citer : Posté le 09/04/2014 07:18 | #
l'IP ne change pas si ton IP est fixe, croit moi j'en sais quelque chose (ddos