Greg, arrete de t'acharner sur cela, comme te l'ont explique plusieurs personnes deja c'est une perte de temps.
On dirait que tu debutes en informatique et que tu decouvres ce phenomene ou tu n'as absolu rien d'interessant a foutre au boulot et que tu essayes de t'occuper. Tu vas voir des pro du metier il y a pas de mal de societes de service qui en font leur pain quotidien, ils te mettront en place une bonne petite solution hyper secure, tu pourras arreter de prendre du lexomil et passer un peu plus de temps avec madame et tes enfants au lieu de lire des millions de code pour chercher une faille. Cela ne sert a rien de lancer un post sur ce forum si tu ne tiens pas comptes des avis qui te sont donnes, je te rappelle que la plus part des personnes inscrites ici sont des PROS de l'info, le probleme que tu decris s'est encore produit des millions de fois dans le monde depuis que j'ai commence a rediger ce mail. Fatigue pas la police ils ont des sujets plus serieux a s'occuper, fort heureusement ils sont obliges d'etre polis et enregistrer ta plainte, je suis sur qu'ils ont du rigoler apres ton depart :--)) donc greg pour resumer : - il faut investir sur une bonne solution de securite (matos + personnes) - garder confiance et rester positive and bee cool A+ ----- Message d'origine ----- De : Greg Envoyés : 28.02.10 07:16 À : frnog@FRnOG.org Objet : Re: [FRnOG] Attaque par injections SQL La différence ici c'est que le gars ne s'est pas contenté de faire mumuse avec notre site, il a essayé de voler des informations, ce n'est pas juste un bot de passage. Si je veux creuser plus loin, c'est pour essayer de savoir si c'est un concurrent. On subit régulièrement des attaques, des bots, du phishing des (gros) concurrents outre-atlantique. Et ils s'en sortent ! Le fait d'avoir lancer une enquête les empêche de continuer pour quelques mois voir années. Et de savoir qui c'est, pour prendre des mesures supplémentaires. Moi aussi ça me fait saigner les yeux (chez moi) ou hurler (au taf) quand je vois des énormités pareilles... Surtout que c'est moi qui répare. Je pensais sensibiliser suffisamment les développeurs aux problèmes de sécurité, suffisamment pour passer pour parano :) Je ne peux pas passer derrière tout leur code, il n'y a pas que 100k de ligne mais des millions, même un grep ne serait pas simple comme les requêtes sont dans des variables, multilignes, etc.... il faudrait revoir absolument tout le code. J'ai assisté à quelques "salons du hacker" (FRHACK, Insomni'hack, ...) et j'en suis ressortis fataliste: si un hacker veut passer, il passera. Ils arrivent à passer les agences gouvernementales (google le nouveau robin des bois), personne ne fait zéro erreur. -- Greg --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
