Aller au contenu principal

Dons

Après des années d'une résistance acharnée, nous rendons les armes et acceptons vos dons de bon coeur. Merci à vous. (Lien QR Code en pied de page)
Messages récents
1
Nouvelles et Plan de Route / Re : Avenir de MPDB fortement compromis faute de développeur.
Dernier message par Benoit934 -
Oui tout a fait c'est pour ca q'un dev nous serai utile , car au final c'est un soucis de formulaire trop permissif :)

La documentation de filter_var https://www.php.net/manual/en/function.filter-var.php

Dans un premier temps il suffirait de prendre la ligne (je vais faire un pseudo code)

$utilisateur = _POST["utilisateur"]
mysql("INSERT INTO USER $usilisateur ....")

Et remplacer $utilisateur = _POST["utilisateur"] par $utilisateur = filter_var($_POST["utilisateur"], (le filtre adequat))

Sinon utiliser un regex, je ne sais pas trop si il y a un filtre convenable en réalité, je regarde ca plus tard

EDIT :

La fonction ereg qui utilise une expression régulière me semble plus pertinante dans le cas d'un nom d'utilisateur (https://www.php.net/manual/en/function.ereg.php)

Cette fonction en exemple retourne vrai seulement si la chaine comporte uniquement des lettres de A à z et des chiffres (pas d'espace, pas de charactère spécial)
https://davidwalsh.name/username-validation-php

Il me semble bien que l'expression '[^A-Za-z0-9]' et l'expression "[^A-z0-9]" ont le même effet mais je ne connais pas la différence sur l'interpretation et l'impact sur les performances me semble negligable
4
Demande de Logos / Re : Demandes et propositions (2)
Dernier message par Kenny -
Bonjour,

Pour les logos, le mieux est taper toi même le texte avec une typographie qui ressemble, il existe des sites pour identifier le nom de la typologie et d'autres pour les télécharger
7
Nouvelles et Plan de Route / Re : Avenir de MPDB fortement compromis faute de développeur.
Dernier message par Benoit934 -
Pour etre transparent , c'est pas vraiement une faille , mais plutot l'explotation d'une fonctionalité.


En gros , quand quelqu'un créé un compte sur mpdb , il rentre
  • un nom d'utilisateur
  • un email
  • un mot de passe

Et la en gros on a des robots de petits malin qui s'amuse a créé des comptes avec en nom d'utilisateur "Viens voir mon site de chaudasse assoiffé de sex http://grrrr.hummmm" et en mettant le mail de quelqu'un genre cible_du_spam@yahoo.fr

et du coup la personne recois un mail de confirmation de creation de compte avec le message de spam qui a été rentré en nom d'utilisateur.

on a donc 2 soucis :

* La base se rempli de compte inutile
* le formulaire d'inscription mpdb ,n'est pas securisé , c'est a dire qu'il accepte n'importe quoi comme nom d'utilisateur , meme des phrases.

D'accord,

Déjà il faut utiliser filter_var sur les noms d'utilisateurs pour qu'ils ne puissent comporter que des données logiques (charactères de A à z, chiffres, et une limite du nombre d'espace),

Si le but est de conserver la plus grande liberté possible, une expression regulière qui valide different format d'URL et si il y a un URL dans le nom on bloque (moins d'une heure de travail)

La première intention etant de bloquer le comportement d'un attaquant spécifique, ensuite de boucher les failles, donc déjà à minima empecher les URL dans le nom d'utilisateur;

Ensuite il est possible d'implementer des règles de fail2ban qui va bloquer les attaquants potentiels, ceux qui font des scans, on les repères assez vite de la masse vu qu'ils forgent des requettes qu'aucun humain ne serait susceptible de faire (et par la même occasion on réduit la charge du serveur) (quelque heures de travail, d'annalyse de log et décriture d'expression régulières)

Après niveau inscription il est possible de mettre en place un reCapchat et de manière globale il faudra pensser à filtrer toutes les entrès utilisateur, l'intégralité d'une requette ca comporte le HOST (votre serveur web devrait etre configuré pour n'accepter qu'un seul domaine), les _GET, les POST, les cookies et données de sessions, tout ce qu'envois l'utilisateur doit correspondre au format attendu ou ne pas être traité, ce qui implique aussi ce qui provient de la base de données, ce que les utilisateur ont inseré dans la base (cette partie peut-être longue et il faudra vraiment quelqu'un de dispo sur la durée)
8
Nouvelles et Plan de Route / Re : Avenir de MPDB fortement compromis faute de développeur.
Dernier message par Benoit934 -
Bonjour,

Je peux apporter mon aide, je connais pas mal la sécurité web, cela fais longtemps que je n'ai pas fais de pentest mais la faille étant déjà exploité il me serait aisé d'en trouver l'origine, et puis au final il ne sagit que de mettre en place de bonnes pratiques de programmation.

Je peux apporter mon aide ponctuellement mais ne peut pas m'engager pour un support à long terme.
10
Nouvelles et Plan de Route / Re : Avenir de MPDB fortement compromis faute de développeur.
Dernier message par elbarbudo -
Bonjour,
J'administre deux sites, l'un sous WordPress, l'autre sous Drupal.
Nous avons étés aussi confrontés à ces problèmes de Spam et d'inscriptions en masse que nous avons réglés dans les deux cas en interdisant l'auto-inscription.
Il faut dire que ces deux sites sont destinés à deux associations "Loi de 1904" (non pas 1901, droit local Alsace-Lorrain oblige) et c'est vrai que ce fût un peu galère de les enregistrer en tant qu'association, les hébergeurs ignorant totalement le droit local et demandant des attestations de préfecture que nous ne pouvions fournir puisque ces associations sont déclarées au Tribunal et non à la préfecture.

Techniquement, les captchas n'apportent pas grand-chose du point de vue de la sécurité : ils sont trop connus et les spammeurs tapent en général directement sur la fonction d'inscription  qui est censée être protégée par le captcha.

Quel est votre hébergeur?
Propose-t-il une solution de backup/restauration?
Propose-t-il d'héberger un second site miroir de test et développement?
Est ce que les mises à jour de Yii ont été effectuées?

J'ai plus un profil d'intégrateur et administrateur que de développeur, mais si je peux aider....

Je suis retraité, ce qui me laisse un peu de temps.
Simple Audio Video Embedder