Titre: mon site web se fait hacker
Posté par: mico35 le le 15-12-2011 a 22:22:41
Bonjour,
Ca fait la deuxième fois que mon site se hacker en une semaine. Quelque a réussi à inclure un script dans le code source de mon fichier index.php. Comment es ce que je peut sécuriser mon site?
Pour info, mon site est en php, il y a un formulaire de contact qui ne se trouve pas sur la page index.php
Merci pour votre aide
|
Titre: Re:mon site web se fait hacker
Posté par: webyser le le 16-12-2011 a 00:31:03
Bonjour,
difficile de répondre sans plus de précisions (code source) mais vérifiez déjà si dans la page appelé par le formulaire, vous utilisez la fonction htmlentities()
http://www.php.net/manual/fr/function.htmlentities.php
ou htmlspecialchars()
http://www.php.net/manual/fr/function.htmlspecialchars.php
afin d'éviter justement qu'un script entrée dans un champ ne s'éxécute dans la page appelée par le formulaire.
|
Titre: Re:mon site web se fait hacker
Posté par: mico35 le le 16-12-2011 a 08:50:09
Bonjour,
non je n'utilise pas ces fonctions.
Faut 'oil que je les utilise toutes les deux?
comment et ou utiliser cette fonction?
J'ai deja changé le chmod en 444 es ce utile ?suffisant ?
merci
|
Titre: Re:mon site web se fait hacker
Posté par: webyser le le 16-12-2011 a 13:05:56
Bonjour,
étant donné que votre site se fait hacké et qu'il existe une fonction php chmod() pour changer un chmod d'un fichier ce n'est pas la meilleure des sécurité si le hackeur arrive à exécuter un script.
Pour les fonctions htmlentitities() et htmlspecialchars(), il faut appliquer l'une ou l'autre sur les variables transmises par le formulaire afin de désactiver
des commandes html . Par exemple
htmlspecialchars($_POST['variable']);
vous pouvez même ajouter la fonction addslashes() si votre configuration php ne le fait pas déjà (magic_quotes_gpc est à on )
http://www.php.net/manual/fr/function.addslashes.php
ce qui donnerait :
addslashes(htmlspecialchars($_POST['variable']);
ainsi si un utilisateur entre dans le formulaire des commandes html ou php, tout sera interprété comme du texte.
|
Titre: Re:mon site web se fait hacker
Posté par: mico35 le le 16-12-2011 a 17:29:23
Bonjour,
J'ai fait quelque chose mais je ne sais pas si ca va avoir un effet !
les variable envoyé vers le fichier de traitement ne noment de "v_2" à "v_6"
Au début de mon fichier de traitement j'ai transformé mes variable de "v_x" en "f_x" de cette manière:
$f_2=htmlspecialchars($_POST['v_2']);
$f_3=htmlspecialchars($_POST['v_3']);
$f_4=htmlspecialchars($_POST['v_4']);
$f_5=htmlspecialchars($_POST['v_5']);
$f_6=htmlspecialchars($_POST['v_6']);
es ce suffisant pour bloquer les attaques via le formulaire ? |
Titre: Re:mon site web se fait hacker
Posté par: webyser le le 16-12-2011 a 22:57:23
Bonjour,
comme je l'ai déjà dit, c'est assez difficile à dire si votre site est protégé sans voir le code, néanmoins votre formulaire est désormais nettement plus sécurisé.
Par exemple avant l'emploi de cette fonction si un utilisateur écrivait:
<script>alert("site hacké !")</script> dans un champs,
lorsque vous faites:
echo $_POST['variable'] ; dans la page de traitement, une fenêtre s'ouvre indiquant "site hacké!".
Maintenant grâce à HTMLspecialchars, la page affichera <script>alert("site hacké !")</script> , le script ne sera donc plus exécuté.
Avec un script plus méchant les conséquences aurait pu être bien pire.
Après, votre hackeur utilise peut être d'autres failles. |
Titre: Re:mon site web se fait hacker
Posté par: mico35 le le 17-12-2011 a 10:45:51
Ok merci pour le coup de main !
Je vais deja le laissé comme ca, je reste attentif et si je subit une nouvelle attaque, je me re-pencherai sur le problème
a+ |
Forum-webmaster | Actionné par YaBB SE
© 2001-2003, YaBB SE Dev Team. Tous droits réservés.
|