PHPNET Assistance

Support et Entraide PHPNET => Forum divers => Discussion démarrée par: cheminots le 21 avril 2003 à 21:42:01

Titre: securite informatique
Posté par: cheminots le 21 avril 2003 à 21:42:01
Bah, justement, si certain ont des connaissances en hacking, ce serait peut-être bien de tester les sites des membres de phpnet (j'ai dit tester, pas faire sauter), et de les informer en cas de faille, de ce qu'il y a lieu de faire.

[ Le début de ce post était ici (http://www.phpnet.org/forum/index.php?act=ST&f=7&t=255). Il a été scindé pour des raisons de clarté ]
Titre: securite informatique
Posté par: BlueWhisper le 21 avril 2003 à 21:50:29
Si qqn veut que je teste son site... (bien que ne soit pas un expert non plus, mais je m'y connais pas trop mal)
Titre: securite informatique
Posté par: Bruno II le 21 avril 2003 à 21:52:50
Lol, moi je suis partant, une fois que mon nom de domaine aura été réactivé (-_-)° !!!!!!

Titre: securite informatique
Posté par: cheminots le 21 avril 2003 à 21:54:53
Je suis volontaire (Pas d'attaque brutte, c'est pas bon pour phpnet)
Dis moi ce que je dois faire pour améliorer.
 
Titre: securite informatique
Posté par: BlueWhisper le 21 avril 2003 à 22:00:45
Vous croyer pas qu'on devrait se former une petite équipe de :ph34r: pour ça ? Des volontaires ?
Titre: securite informatique
Posté par: maverick78 le 21 avril 2003 à 22:13:57
volontaire pour tester et etre teste
Titre: securite informatique
Posté par: Bouki le 21 avril 2003 à 23:02:14
moi je vais bien être testé (je pense pas que vous pourrez trouver quelque chose mais vaut mieux vous qu'un autre).
et je veux bien aussi testé ca sera marrant (rassurez vous je cherche des failles je suis pas un crasher)


contactez moi par mp
Titre: securite informatique
Posté par: Mikado le 21 avril 2003 à 23:21:48
aussi volontaire pour être testé...
Titre: securite informatique
Posté par: maverick78 le 22 avril 2003 à 00:36:44
my name is bond, james bond
(desole je vois pas ce que ca fait la)
Titre: securite informatique
Posté par: Mimonet le 22 avril 2003 à 01:02:58
Vazy attaque  :blink:  
Titre: securite informatique
Posté par: Booggi le 22 avril 2003 à 08:05:29
Je suis interressé pour être testé aussi.

Contactez moi par MP.  :)  
Titre: securite informatique
Posté par: Mr K. le 22 avril 2003 à 11:24:51
ah oui, je trouve cette idee pas mauvaise du tout. A mon avis, le mieux c'est qu'il y ait d'abord une equipe de volontaires testeurs. Et les membres de cette equipe s'organisent pour effectuer les tests en toute transparence mais pas chacun dans son coin en douce entre 2h30  et 5h du matin.

Comme ca au moins, les apprentis HaxOorZ ne feront pas n'importe quoi, n'importe quand. Il faudrait aussi qu'il y ait au moins 2 personnes comptentes et experimentees pour organiser un peu l'equipe pour pas que le premier qui sait etablir une liste de 10 progz et appz prets a fonctionner s'erige en chef !

 Eh oui, il y en a qui connaissent 2, 3 outils trouves sur des sites warez, ils scannent au hasard 2 heures par jour avant de se coucher bredouille, ils ont reussi a avoir le mot de passe d'une copine naïve, ils ont su par d'autres qu'il y a telle faille sur phpnuke ou freenews et ils ont lu comment exploiter ces failles sur des forums de monsieur Trouduc et hop, ils s'empressent de teste. Bien sur que ca marche chez le gentil webmaster qui n'etait pas au courant de la faille et qui ne saura pas corriger la faille.

Et le HaxOorZ de dimanche va se vanter sur le net comme s'il avait reussi a devenir root chez Epita pendant 24 heures.

Non, si il faudrait pas que ce soit ce genre de mec qui forme l'eventuelle equipe de volonataires-testeurs. Il vaut mieux le dire avant qu'apres  B)
@+
Mr K.
Titre: securite informatique
Posté par: Bouki le 22 avril 2003 à 11:52:13
Le "HaxOorZ de dimanche" ca s'apelle un lamerz² et en général ca se repère vite et c'est vite kické et banni sur irc.
Sinon moi je veux bien être volontaire pour tester les sites.

Quant au hak avec des programmes, ca devient intéressant si tu créé ton propre prog et là tu parles de hack de serveur (je sais pas si phpnet tiendrait sous une attaque DoS soutenue qui fait griller la carte mère) et ca c'est plus du hack mais du crashing tu veux faire péter le serveur.
Titre: securite informatique
Posté par: Patanock le 22 avril 2003 à 14:04:12
Moi j'connais plusieurs méthodes, dont aucune ne nécessite un programme, c'est purement logique c'est tout...
A l'occase quand j'aurais le temps j'irai visiter vos sites et on verra bien ;)

Mais chui pas un vilain, pas vrai euh... me souviens plus le nom, la demoiselle au livre d'or qui prenait le javascript ;)
Alors n'ayez pas peur :))
Titre: securite informatique
Posté par: Mr K. le 22 avril 2003 à 15:44:09
C'est sur qu'un passionne depuis l'enfance et en plus qui bosse en tant qu'ingenieur dans l'info, je te crois  (mais je ne sais pas si je te fais confiance :P ) pour les  "methodes sans programmes".
Je suis incompetent dans ce domaine mais je respecte bcp plus ceux qui pensent avant de tripoter (excusez moi de la vulgarite mesdames, mesdemoiselles, messieurs). La tete avant les outils, quoi ! La logique, les codes, la reflexion avant les longs surfs sur la toile et les scannes sans fin !
>>>PATANOCK >>>ne traine pas trop du cote du Carrefour des Milles, quand meme  :D

@+
Mr K.
Titre: securite informatique
Posté par: Bouki le 22 avril 2003 à 16:02:07
les bons hackers sont des programmeurs, les failles php c'est que du manuel des trucs de logique à tester, j'ai d'ailleurs mis une rubrique failles php sur mon site qui détaille 2failles (d'ailleurs faut que je rajoute une possibilitée d'exploitation de l'include que j'avais oublié).
Si vous programmez ca peut intéresser.
Titre: securite informatique
Posté par: kevin le 22 avril 2003 à 22:14:34
Citer
une attaque DoS soutenue qui fait griller la carte mère
un DoS ki fait cramer une CM LOOOOOOOOOOOOOOOOOOOOOOoooooooooooooooooool

pour info un DoS (denial of service) consiste a faire saturer le reseau
Titre: securite informatique
Posté par: Bouki le 22 avril 2003 à 23:44:13
je sais très bien c'est quoi une attaque DoS merci.
Seulement si tu aurais lu quelques trucs avant, t'aurais vu que certains serveurs ont eu la carte mère complètement grillé face à un attaque démesurée donc quand on sait pas :x faut vérifier ses sources...
perso, on dirait tu sais pas comment ca marche une attaque DoS
Titre: securite informatique
Posté par: Patanock le 23 avril 2003 à 00:22:39
Mdr Mr K.

Toi t'es allé lire mon profil sur mon site, pour la peine je vais te hacker le tien :P !!
Ai confiance, ai confiance (voix de sorcière)
Titre: securite informatique
Posté par: Wyran le 23 avril 2003 à 01:05:08
Err

si quelqu'un veut bien se donner la peine d'essayer d'hacker mon site et me donner le resultat c'est pas de refus :

http://loty.magnetique.net (http://loty.magnetique.net)
Titre: securite informatique
Posté par: {Ben} le 23 avril 2003 à 01:28:46
Salut

Un peu hors sujet, mais bon, pas tant que ca...

J'ai réfléchi (rapidement) à la faille d'include et je pense avoir trouvé une parade à priori toute simple mais efficace :

l'include est fait de cette manière :

include("./folder/".$page.".php");

de cette facon, si on essaye de faire un include sur un fichier distant, le script cherche à faire un include sur
./folder/http://site.com/hack.php
ce qui retourne invariablement une erreur. Donc seuls des fichiers locaux pourront être ouvert.

Ca me parait simple et fiable comme parade.

Qu'en pensez vous ?
Titre: securite informatique
Posté par: Patanock le 23 avril 2003 à 08:50:47
ouai ca marche, mais ca fait deja des mois qu'on a dit comment l'empécher ca :)
Titre: securite informatique
Posté par: cheminots le 23 avril 2003 à 08:59:56
pour la faille d'include, il suffit d'un if file_exist qui ne va chercher le fichier qu'en local.
Titre: securite informatique
Posté par: dorigine le 23 avril 2003 à 12:40:43
:huh:  Un truc qui serait sympa c'est de mettre à disposition une doc où il serait indiqué ce qu'il faut ou ne pas faire dans un site pour avoir un mimimum de sécurité.
  Pour les débutants, sa serait bien utille.  :)
 
Titre: securite informatique
Posté par: maverick78 le 23 avril 2003 à 12:42:09
euh ca doit etre dispo sur des sites php
Titre: securite informatique
Posté par: Bruno II le 23 avril 2003 à 13:12:06
:D Bientôt dans le panel y'aura un sous-menu "Tester la sécurité"...
En cliquant dessus, le site web concerné est attaqué en include(), ftp, htaccess.fi, htpasswd.fi, failles PHP, etc.  :lol:  :lol:  :lol:
 
Titre: securite informatique
Posté par: achil le 23 avril 2003 à 14:11:58
une attaque DOS ne peut faire sauter une cm c'est sur :)
Titre: securite informatique
Posté par: Bouki le 23 avril 2003 à 16:16:10
http://www.scripetudes.net/index.php?Page=...urs=Failles_PHP (http://www.scripetudes.net/index.php?Page=Categorie_cours&Cours=Failles_PHP)

quant à la carte mère qui ne crame pas, je vous invite à consulter l'attaque menée contre le fatah y'a je sais plus combien d'années, des photos ont été prises par les terroristes et on voyait bien la fumée qui sortait des ventilateurs.
dès que je retrouve la photo je met le lien
Titre: securite informatique
Posté par: kevin le 23 avril 2003 à 18:25:43
telecharge pas trop vite ton modem il va prendre feu.... LOOOOOOOOL

en plus des teroristes ki prennent en photo un serveur veux dire qu'il on un acces physique...

tu me met devant un PC avec un trombonne (et encore meme pas) et j'te le fais cramer aussi ...

Citer
bouki:

on dirait tu sais pas comment ca marche une attaque DoS

hahahahahahahahahaahahahahhaahhahahahahahahahahaahahahahhaahhahah
ahahahahahahaahahahahhaahhahahahahahahahahaahahahahhaahhahahahaha
hahahahaahahahahhaahhahahahahahahahahaahahahahhaahhahahahaha
hahahahaahahahahhaahhahahahahahahahahaahahahahhaahhahahahahahahahahaahah
ahahhaahhahahahahahahahahaahahahahhaahhahahahahahahahahaahahahahhaa
hhahahahahahahahahaahahahahhaahhahahahahahahahahaahahahahhaahhahahaha

bon j'm'arrete la sinan j'pourai commencer a devenir vexant =)
Titre: securite informatique
Posté par: Droopy le 23 avril 2003 à 18:29:48
Atta, rigole pas avec ca hein....

Moi, j'ai une photo d'un type qui a réussi à faire cuir des saucisses à la suite d'une attaque DoS qui avait fait cramer son floppy  :D

Et même que le modem il fournissait la mayonnaise tellement il pédalait vite  :P

@+
SaUcIsSe HuRlAnTe
Titre: securite informatique
Posté par: Bruno II le 23 avril 2003 à 19:03:37
Pinaiz', c'est quand même génial l'informatique !!!!  :rolleyes:  
Titre: securite informatique
Posté par: sky le 23 avril 2003 à 19:14:28
Delire ce post !
Moi chuis interresser pour savoir si mon site n'a pas trop de failles :-)
J'ai deja corriger deux ou trois failles ques des petits "lamers" ont degoter et qui ont fais des redirection html parce que je ne tester si y'avais des caractere html ou pas, mais a part ca je ne sais pas ce que l'on peut faire sur un site pour le hacker, alors je suis partant aussi :-))

Laisser moi un message sur le forum si vous trouver un truc :-)

D'ailleur je veut bien aprendre a tester aussi lol

mon site: www.graphiks.net

Sky
 
Titre: securite informatique
Posté par: Bouki le 24 avril 2003 à 00:01:38
bon j'arrête sinon je vais me disputer avec tout le monde, croyez ce que vous voulez.
sinon ton site me semble faillible
Titre: securite informatique
Posté par: sky le 24 avril 2003 à 01:43:48
Mais je suis d'accord que mon site est faillible :-)
D'autant plus que c'est moi qui le fais donc j'apprend les trucs a pas faires dans ocasion comme celle-ci ou qq va peut etre trouver un truc interressant :-)
Je n'ai jamais dit que mon site ete infaiible ;-) Attend tout de meme :-) Excuse si je me suis pmal exprimer... :-D

Sky

Au faite c'est l'un de vous qui a essayer deux truc sur mon forum?
Titre: securite informatique
Posté par: Patanock le 24 avril 2003 à 11:33:41
C'est quoi 2 trucs ?
Moi j'ai testé quelque chose sur ton forum, mais je pense pas que ca soit visible, sauf si tu regardes tous les logs http ;)
Titre: securite informatique
Posté par: sky le 24 avril 2003 à 16:21:56
Les deux truc c'est que qq a essayer de voir si le php ete execuetr sur mon forum puis le html aussi :-)
lien: http://www.graphiks.net/?forum=lecture&id=103 (http://www.graphiks.net/?forum=lecture&id=103)

Mais on m'a deja fais le coup avec des redirection html, alors j'ai fais des verifs dans tous les sens :-)
Titre: securite informatique
Posté par: Jean-Marc le 24 avril 2003 à 16:34:04
Alors en voilà une de bonne idée !!
Vraiment les mecs je suis esplanté comme on dit à Marseille.
Quand j'aurais terminé mon site qui contient du php je veux bien que vous y jetiez un yeux. Faire un sorte d'audit.
Avec vos conseil, ca nous permettra d'apprendre comment sécuriser nos sites. Bon rien n'est vraiment sécurisé sur la toile mais bon c'est pas la peine de laisser les clés sur le tableau de bord.
Jean-Marc.
La Lettre Poésie (http://www.lalettrepoesie.net)    <---- là y'a pas de php !
Titre: securite informatique
Posté par: Patanock le 24 avril 2003 à 20:17:00
Ah ben c'est bien ce que je disais sky, c'est pas moi ;)
Pis pour interdire le html ya pas tant de test a faire que ca, juste un htmlentities() sur tous les textes que tu affiches et voila :)

Moi c'est bcp bcp plus subtil ce que j'ai testé, et ca a fonctionné. Ca avait d'ailleurs fonctionné aussi sur clubic.com, sport4fun et bien d'autres.

Me reste plus qu'a trouver comment l'exploiter chez toi... J'te tiendrais au courant si j'peux te faire bobo ;)
Titre: securite informatique
Posté par: sky le 25 avril 2003 à 16:21:10
Ok pas de probleme , j'en serai tres content :-)
Apres tu pourra me dire ce que tu as fait :-)

Oui j'ai juste fais htmlenteties, mais ensuite pour l'inseration des tag particulier genre et autre, c'est d'autre test encore etc...

Sky