+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51)
+--- Sujet : Problème de piratage (/showthread.php?tid=3631)
RE: Problème de piratage - wild-D - 04-02-2009
seul la racine suffit (pour autant que ton hébergeur autorise l'utilisation des .htaccess et en particulier les flag PHP - au besoin renseigne-toi auprès de ton hebergeur, il arrive que la syntaxe soit parfois différente, me souviens avoir eu le cas ou ils utilisaient les SetEnv pour permettre de customiser certaine fonctionnalité du php.ini; ou bien t'as carrément la possibilité d'avoir un php.ini à la racine de ton site)
RE: Problème de piratage - Sephi-Chan - 04-02-2009
Comme le dit Wild-D, ça peut varier d'un hébergeur à l'autre.
(04-02-2009, 02:39 AM)phenix a écrit : Sa fait un bon moment que je fais sa, j'ai pas corrigé grand chose, vu que je mes des mysql_real_escape_string sur toutes les variables qui sont destinée a faire des requêtes depuis le début du codage... Utilisé les magic quote + mysql_real_escape_string c'est vraiment exploitable pour faire des injections ?Justement, le mysql_real_escape_string() et les magic quotes ne font vraiment pas bon ménage ensemble. D'où l'intérêt d'une fonction qui enlève d'abord les slashes de la chaîne si elle a été protégée par les magic quote.
Mais il faut vraiment éviter de passer toutes tes superglobales à ta moulinette : ne protège que ce qui doit l'être : tu économisera des ressources sans prendre de risques.
(04-02-2009, 02:39 AM)phenix a écrit : En tout cas, merci de votre aide, sa fait plaisir de ce sentir soutenu ^^De rien ! Ça nous change un peu des problèmes dans la création de cartes.
Au fait, as-tu simplement essayé de parler à ton pirate ? Le plus simple est peut-être de lui demander, voir de lui proposer un poste de chercheur de failles. Éventuellement contre des petits goodies en jeu.
Sephi-Chan
RE: Problème de piratage - MdE - 04-02-2009
En parlant de ça, je me demandais l'autre jour si ça existait des sociétés de piratage mais dans le but d'aider les webmasters. Par exemple, tu payes en forfait et un mec de la société cherche toutes les failles du site et te fait un rapport.
RE: Problème de piratage - phenix - 04-02-2009
Citation :Justement, le mysql_real_escape_string() et les magic quotes ne font vraiment pas bon ménage ensemble. D'où l'intérêt d'une fonction qui enlève d'abord les slashes de la chaîne si elle a été protégée par les magic quote.
Mais il faut vraiment éviter de passer toutes tes superglobales à ta moulinette : ne protège que ce qui doit l'être : tu économisera des ressources sans prendre de risques.
Je vais me renseigner pour voir si les php_flag fonctionne sur le serveur.
Citation :Au fait, as-tu simplement essayé de parler à ton pirate ? Le plus simple est peut-être de lui demander, voir de lui proposer un poste de chercheur de failles. Éventuellement contre des petits goodies en jeu. 2
J'ai essayé, mais il ne veux pas dire comment il faut, il voulais juste joué en trichant.
RE: Problème de piratage - Anthor - 04-02-2009
(04-02-2009, 12:02 PM)MdE a écrit : En parlant de ça, je me demandais l'autre jour si ça existait des sociétés de piratage mais dans le but d'aider les webmasters. Par exemple, tu payes en forfait et un mec de la société cherche toutes les failles du site et te fait un rapport.
Oui, on appelle cela un audit de sécurité.
RE: Problème de piratage - Amrac - 04-02-2009
D'ailleurs si tu te sens l'âme de nous raconter un peu comment il s'y est pris d'après les informations que tu as rassemblé, je pense que ce serait intéressant
Sinon, pour mon bout de code je te conseil de l'utiliser le temps de combler les trous de sécurité puis de le retirer, ça te fera une petite économie de ressource et ca évitera des faux rapports (surtout pour les messages entre joueurs)
RE: Problème de piratage - phenix - 04-02-2009
Citation :D'ailleurs si tu te sens l'âme de nous raconter un peu comment il s'y est pris d'après les informations que tu as rassemblé, je pense que ce serait intéressant 2
Je pense que je ferais une rétrospective, je pense que sa peut être bénéfique à plus d'une personne.
RE: Problème de piratage - Zamentur - 06-02-2009
Moi ce qui m'interpelle c'est que tout le monde a pensé injection... Il y a pourtant plein de méthode, il aurait suffit par exemple d'un phpmyadmin relié au panneau d'administration, ou encore d'un guignole qui aurait trouvé un mot de passe de la bdd(en supposant quel serait accessible depuis l'extérieur) ou d'un accès à cette dernière.
Et puis on sait même pas ce qui as changé(ou très vague) la question n'ayant pas été posé, moi je peux changer la plus part des données de nombreux forums, pour le peux que les gens pouvant faire les modifs se connectent! Et si je fais croire à une injection çà m'assure de berner le webmaster!
Alors c'est apparemment une injection, mais bon çà aurait pu au vu des seuls éléments de ce topic être bien autre chose!
RE: Problème de piratage - Sephi-Chan - 06-02-2009
Pour ma part, j'ai évoqué d'autres problèmes. Il est improbable que le mot de passe du serveur ait été trouvé puisque la personne aurait sûrement fait des choses plus graves (sans parler de supprimer des tables ou des données) ou plus drôle (façon de parler) : aurait changé le mot de passe du serveur.
À la base, je pensais plutôt à une attaque XSS ou CSRF. Désolé de dire ça mais les injections, c'est franchement démodé tellement c'est facile à sécuriser. Alors que les attaques suscitées sont bien plus perverses et méconnues.
Sephi-Chan
RE: Problème de piratage - Ruz - 06-02-2009
une petite vidéo pour ceux (comme moi) qui découvrent ce genre d'attaques
http://www.virtualforge.de/vmovie/xss_selling_platform_v1.0.php
Si vous avez d'autres site de rférences, hésitez pas à partager, hein ^^
Merci
(mais pitet regrouper ca dans un nouveau sujet)