Les membres ayant 30 points peuvent parler sur les canaux annonces, projets et hs du chat.
La shoutbox n'est pas chargée par défaut pour des raisons de performances. Cliquez pour charger.

Forum Casio - Discussions


Index du Forum » Discussions » A l'aide ! On veut pirater mon site.
Tenmatx Hors ligne Membre Points: 996 Défis: 2 Message

A l'aide ! On veut pirater mon site.

Posté le 08/04/2014 20:31

Salut, comme certains le savent j'ai mis mon site en ligne il y a deux jours, et je rencontres déjà des problèmes.

Il y a quelques instants quelqu'un s'est inscrit avec le pseudo "test", avec un email inventé. Il s'est réinscrit juste après avec le pseudo <em>lol</em> avec un email très ressemblant. Je pense qu'il voulait voir s'il pouvait injecter du HTML sur mon site.

Il est venu sur le chat du site, et a écrit "ton site peut être déglinguer en 2 minutes". J'ai tout de suite supprimé ses deux comptes, mais il en recréé un et il a carrément mis des balises <script> sur le chat, avec un code à l'intérieur que je n'ai pas compris. Heureusement htmlspecialchars () a fonctionné, et les balises <script> ne se sont pas affiché correctement.

Mais en faisant des tests, je me suis aperçu que les balises JavaScript s'affiche sur le forum, alors que j'ai bien utilisé htmlspecialschars là aussi... et quand je clique sur un sujet qui a les balises JavaScript dans son nom, la page qui suit ne s'affiche pas correctement.

J'ai peur que mon site tombe à l'eau... que puis-je faire le protéger ?
Je m'adresse surtout aux Admins.
Merci


1, 2 Suivante
Eltoredo Hors ligne Modérateur Points: 4301 Défis: 35 Message

Citer : Posté le 08/04/2014 20:47 | #


Pense à faire une copie du code pour pouvoir le recréer en cas de chute justement, c'est tout ce que moi je peux te conseiller pour le moment :/ Après niveau protection, je m'y connais pas trop
La procrastination est une vertu. (voir ma description pour comprendre mon raisonnement)
Tenmatx Hors ligne Membre Points: 996 Défis: 2 Message

Citer : Posté le 08/04/2014 20:48 | #


La copie du code est faite de toute façon, puisque je programme sur mon ordi et je met en ligne après.
Mes programmes de maths
Mes programmes de maths

Toutes les formules de Première S.
Toutes les formules de Terminale S.
Un programme de calculs.
Mes meilleurs jeux
Mes meilleurs jeux

Jeu gagnant des 48h CPC n°12

Mon site de discussion pour ados : http://entre-ados.net/ (a brûlé dans l'incendie d'OVH)
Mon éditeur de cours en ligne et plateforme de partage : http://wordline.xyz (a succombé à la concurrence de Google Drive...)
Dark storm Hors ligne Labélisateur Points: 11641 Défis: 176 Message

Citer : Posté le 08/04/2014 20:50 | #


Tant qu'il n'a pas accès au serveur, il peut injecter ce qu'il veut, il ne risque pas de faire grand chose, au pire récupérer la liste des membres (qui ne doit pas être conséquente...)
Après, c'est sur que ça peut provoquer des bugs coté client, mais t'aura rien coté serveur.
Finir est souvent bien plus difficile que commencer. — Jack Beauregard
Tenmatx Hors ligne Membre Points: 996 Défis: 2 Message

Citer : Posté le 08/04/2014 20:56 | #


D'accord, c'est rassurant...

Merci


Mais il y a quand même 18 membres !
Mes programmes de maths
Mes programmes de maths

Toutes les formules de Première S.
Toutes les formules de Terminale S.
Un programme de calculs.
Mes meilleurs jeux
Mes meilleurs jeux

Jeu gagnant des 48h CPC n°12

Mon site de discussion pour ados : http://entre-ados.net/ (a brûlé dans l'incendie d'OVH)
Mon éditeur de cours en ligne et plateforme de partage : http://wordline.xyz (a succombé à la concurrence de Google Drive...)
Smashmaster Hors ligne Ancien modérateur Points: 4561 Défis: 253 Message

Citer : Posté le 08/04/2014 21:20 | #


Il est très important de crypter les mots de passe et les adresses mail (pour éviter le spam, phishing etc.) dans la base de donnée.
Lors de l'affichage des messages, remplace tous les '<' et '>' par < et > , ainsi les balise <script> se transforment en <script> (on peut faire ça assez facilement avec des regex).
Lorsqu'un membre s'inscrit sur le site, tu dois vérifier si l'adresse email est valide, pour faire ça tu dois envoyer une lien de validation à l'adresse mail saisi par l'utilisateur (comme si tu t'inscris sur Planète Casio)
Lephenixnoir Hors ligne Administrateur Points: 24700 Défis: 170 Message

Citer : Posté le 08/04/2014 21:25 | #


On dirait que ta méthode fonctionne sur ce site !
Mon graphe (11 Avril): ((Rogue Life || HH2) ; PythonExtra ; serial gint ; Boson X ; passe gint 3 ; ...) || (shoutbox v5 ; v5)
Smashmaster Hors ligne Ancien modérateur Points: 4561 Défis: 253 Message

Citer : Posté le 08/04/2014 21:32 | # | Fichier joint


@Lephenixnoir : merci, c'est corrigé ^^.

J'ai une petite idée d'amélioration :
Cliquez pour découvrir
Cliquez pour recouvrir

Le cyan sur du gris, ce n'est pas top, à la place du cyan utilise une couleur plus sombre
Pour faire ça il existe les fonction rgb et rgba :

color : rgb(155,51,15);

Drac0300 Hors ligne Membre Points: 839 Défis: 39 Message

Citer : Posté le 08/04/2014 21:50 | #


Ne paniques pas (enfin pas trop...) , je ne pense pas qu'il préviendrait s'il avait vraiment l'intention de pirater ton site (ou alors il est idiot ce qui joue plutôt en ta faveur...). Demandes lui plutôt ce qui lui fait dire ça, si ça se trouve, c'est sa façon de te signaler une faille dans la sécurité de ton site </ultra-optimiste>
Dans Z/1Z, 42==666
Coïncidence ? Je ne pense pas.
Eltoredo Hors ligne Modérateur Points: 4301 Défis: 35 Message

Citer : Posté le 08/04/2014 21:51 | #


T'imagine si un mec allait voir un site comme ça juste pour l'aider ? Les gens faibles s'attaquent aux petits nouveaux sites, malheureusement c'est tombé sur lui selon moi...
La procrastination est une vertu. (voir ma description pour comprendre mon raisonnement)
Dark storm Hors ligne Labélisateur Points: 11641 Défis: 176 Message

Citer : Posté le 08/04/2014 21:54 | #


Déplacé dans discussions, on a beau être sympa et régler tes problèmes perso, ça n'en est pas moins un problème n'ayant aucun rapport avec une quelconque calculatrice
Finir est souvent bien plus difficile que commencer. — Jack Beauregard
Ninestars Hors ligne Membre Points: 2462 Défis: 24 Message

Citer : Posté le 08/04/2014 22:37 | #


Je te propose de lui demander ce qui ne va pas, si il te prévient, c'est qu'il cherche des failles sur des sites pour son plaisir. Je ne pense pas qu'il fasse ça par méchanceté.
Tenmatx Hors ligne Membre Points: 996 Défis: 2 Message

Citer : Posté le 08/04/2014 22:43 | #


Dark storm a écrit :
Déplacé dans discussions, on a beau être sympa et régler tes problèmes perso, ça n'en est pas moins un problème n'ayant aucun rapport avec une quelconque calculatrice

Je l'ai mis dans "problème de programmation" parce que c'est effectivement un problème de programmation .
Mais tu peux le déplacer ça ne me dérange pas.

Smashmaster a écrit :
ainsi les balise <script> se transforment en <script>

Je ne vois pas la différence entre les deux . Je sais qu'on peut le faire avec des regex, mais je pensais que ça ne servait à rien parce que les balises seraient quand même "lues" au moment où je l'ai met dans les paramètres de preg_replace .

Je n'ai pas mis cyan pour l'arrière plan de mon forum, mais j'ai utilisé background-color: rgb(200,200,255);

Pour revenir à mon problème, j'ai mis en place l'enregistrement de l'adresse IP de chaque visiteur dans la base de données, parce qu'il semblerait que le "pirate" soit un des membres qui se fait passer pour un gentil...

@Ninestars : je lui ai déjà supprimé les 3 comptes qu'il avait créé.
Mes programmes de maths
Mes programmes de maths

Toutes les formules de Première S.
Toutes les formules de Terminale S.
Un programme de calculs.
Mes meilleurs jeux
Mes meilleurs jeux

Jeu gagnant des 48h CPC n°12

Mon site de discussion pour ados : http://entre-ados.net/ (a brûlé dans l'incendie d'OVH)
Mon éditeur de cours en ligne et plateforme de partage : http://wordline.xyz (a succombé à la concurrence de Google Drive...)
Eltoredo Hors ligne Modérateur Points: 4301 Défis: 35 Message

Citer : Posté le 08/04/2014 22:46 | #


Tu peux le bannir IP ?
La procrastination est une vertu. (voir ma description pour comprendre mon raisonnement)
Tenmatx Hors ligne Membre Points: 996 Défis: 2 Message

Citer : Posté le 08/04/2014 22:48 | #


Oui je peux bloquer une adresse IP, mais on peut très facilement en changer donc je ne crois pas que ce soit utile.
Mes programmes de maths
Mes programmes de maths

Toutes les formules de Première S.
Toutes les formules de Terminale S.
Un programme de calculs.
Mes meilleurs jeux
Mes meilleurs jeux

Jeu gagnant des 48h CPC n°12

Mon site de discussion pour ados : http://entre-ados.net/ (a brûlé dans l'incendie d'OVH)
Mon éditeur de cours en ligne et plateforme de partage : http://wordline.xyz (a succombé à la concurrence de Google Drive...)
Eltoredo Hors ligne Modérateur Points: 4301 Défis: 35 Message

Citer : Posté le 08/04/2014 22:49 | #


S'il a une fixe, si donc fait le, c'est toujours une bonne précaution à prendre, c'est comme tu veux
La procrastination est une vertu. (voir ma description pour comprendre mon raisonnement)
Smashmaster Hors ligne Ancien modérateur Points: 4561 Défis: 253 Message

Citer : Posté le 08/04/2014 22:54 | #


@Tenmatx : J'ai oublié des espaces ,
remplace tous les '<' et '>' par & lt; et & gt; (sans les espaces), ainsi les balises <script> se transforment en & lt;script& gt; (on peut faire ça assez facilement avec des regex)
Tenmatx Hors ligne Membre Points: 996 Défis: 2 Message

Citer : Posté le 08/04/2014 22:57 | #


Voilà ce que j'obtiens en tapant <script>test</script> sur mon chat, grâce à htmlspecialshars : &lt;script&gt;test&lt;/script&gt;
La je n'ai pas besoin donc pas besoin d'écrire les regex. Par contre, sur le forum ou sur la page d'accueil, même avec htmlspecialchars les balises <script> restent identiques et s'affichent. Je ne comprend pas pourquoi...
Mes programmes de maths
Mes programmes de maths

Toutes les formules de Première S.
Toutes les formules de Terminale S.
Un programme de calculs.
Mes meilleurs jeux
Mes meilleurs jeux

Jeu gagnant des 48h CPC n°12

Mon site de discussion pour ados : http://entre-ados.net/ (a brûlé dans l'incendie d'OVH)
Mon éditeur de cours en ligne et plateforme de partage : http://wordline.xyz (a succombé à la concurrence de Google Drive...)
Pierrotll Hors ligne Ancien administrateur Points: 5488 Défis: 41 Message

Citer : Posté le 09/04/2014 01:42 | #


Les règles de bases à respecter systématiquement :
- Passer dans un htmlspecialchars tout ce qui est entré par l'utilisateur et qui se retrouve affiché dans le html à un moment donné.
- Passer dans un mysql_escape_string (si tu n'utilises pas PDO) tout ce qui se retrouve dans une requête SQL.

N'oublie pas que tout ce qui est récupéré depuis le client peut être modifié par l'utilisateur (attributs value et name des balises input ou option, variables POST et GET, cookies, adresse IP récupérée dans $_SERVER, userAgent ...). Ne fais jamais confiance à ces valeurs, il faut toujours les contrôler avant de les utiliser.

Si tu respectes ça partout, tu ne risques rien.
Tsuneo Hors ligne Membre Points: 973 Défis: 51 Message

Citer : Posté le 09/04/2014 01:44 | #


@Eltoredo : l'IP change dès que la box est redémarrée, donc ce n'est pas une protection très efficace.

Calculatrices : Graph 35+ USB tweakée et Classpad 330
Suivez moi et mon humour dévastateur ici focliquéla
Eltoredo Hors ligne Modérateur Points: 4301 Défis: 35 Message

Citer : Posté le 09/04/2014 07:18 | #


l'IP ne change pas si ton IP est fixe, croit moi j'en sais quelque chose (ddos )
La procrastination est une vertu. (voir ma description pour comprendre mon raisonnement)
1, 2 Suivante

LienAjouter une imageAjouter une vidéoAjouter un lien vers un profilAjouter du codeCiterAjouter un spoiler(texte affichable/masquable par un clic)Ajouter une barre de progressionItaliqueGrasSoulignéAfficher du texte barréCentréJustifiéPlus petitPlus grandPlus de smileys !
Cliquez pour épingler Cliquez pour détacher Cliquez pour fermer
Alignement de l'image: Redimensionnement de l'image (en pixel):
Afficher la liste des membres
:bow: :cool: :good: :love: ^^
:omg: :fusil: :aie: :argh: :mdr:
:boulet2: :thx: :champ: :whistle: :bounce:
valider
 :)  ;)  :D  :p
 :lol:  8)  :(  :@
 0_0  :oops:  :grr:  :E
 :O  :sry:  :mmm:  :waza:
 :'(  :here:  ^^  >:)

Σ π θ ± α β γ δ Δ σ λ
Veuillez donner la réponse en chiffre
Vous devez activer le Javascript dans votre navigateur pour pouvoir valider ce formulaire.

Si vous n'avez pas volontairement désactivé cette fonctionnalité de votre navigateur, il s'agit probablement d'un bug : contactez l'équipe de Planète Casio.

Planète Casio v4.3 © créé par Neuronix et Muelsaco 2004 - 2024 | Il y a 51 connectés | Nous contacter | Qui sommes-nous ? | Licences et remerciements

Planète Casio est un site communautaire non affilié à Casio. Toute reproduction de Planète Casio, même partielle, est interdite.
Les programmes et autres publications présentes sur Planète Casio restent la propriété de leurs auteurs et peuvent être soumis à des licences ou copyrights.
CASIO est une marque déposée par CASIO Computer Co., Ltd