Re: [FRnOG] Attaque par injections SQL
On Sat, Feb 27, 2010 at 02:26:21PM +0100, Greg wrote: Bonjour, cette nuit, et ce matin on a subit des attaques par injection SQL depuis une IP au Canada, dans le but de récupérer des informations. Type: WHERE id='.$_GET['val'] qui devient: WHERE id=0/**/or/**/1=1/**/order/**/by/**/1-- Yen a qui vont prendre cher lundi On va porter plainte, et la police va faire son travail... mais j'aimerais prendre les devants et essayer d'obtenir des infos. J'ai déjà fais un scan (nmap -sS -A -T4) qui ne me retourne aucune infos, tout est filtré: je pense donc que c'est vraiment lui derrière, et pas un PC zombie ni un proxy ni un équipement réseau. Porter plainte parait bien abusif si ce ne sont que des tentatives d'attaques. Sinon, dans le man de nmap il est mis : because script scanning with the default set is considered intrusive, you should not use -A against target networks without permission. ;-) Plus sérieusement, la première chose à faire est d'écrire du code en validant toutes les entrées utilisateurs, en utilisant les prepared statements, etc. -- Stéphane Milani --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaque par injections SQL
Le Saturday 27 Feb, vers 21:53, Cedric Blancher exprimait : Le samedi 27 février 2010 à 14:26 +0100, Greg a écrit : WHERE id='.$_GET['val'] Sinon, on trouve aussi des framework très bien pour développer des applis PHP plus potables que la moyenne. Genre: On trouve aussi des framework dans d'autres langages, qui ne sont pas fait pour des Personal Home Page (mine 1), qui ont une logique plus stricte et qui oblige les programmeurs à structurer leur code, voir à l'architecturer. Je sais, c'est un gros mot quand on fait du rache avec du PHP, ou qu'on autogénère du code Java (mine 2). À plus tard.. Stéphane --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaque par injections SQL
Il y a une nuance et pas des moindres entre Hacker et Kevin de passage. Si tu n'as pas le temps de relire tout le code, en tant que responsable de l'aspect sécurité, tu pourrais au moins exécuter quelques outils d'analyse de base (have a look http://sectools.org/) plutôt que de faire impasse sur du fatalisme. De même que mourrons tous un jour, tu as bien un hygiène de vie, non ? Et un petit outil qui t'évitera une relecture fastidieuse et te fournira quelques données utiles sur le code en lui même : http://www.icosaedro.it/phplint/ Pierre. Le dimanche 28 février 2010 à 08:16 +0100, Greg a écrit : La différence ici c'est que le gars ne s'est pas contenté de faire mumuse avec notre site, il a essayé de voler des informations, ce n'est pas juste un bot de passage. Si je veux creuser plus loin, c'est pour essayer de savoir si c'est un concurrent. On subit régulièrement des attaques, des bots, du phishing des (gros) concurrents outre-atlantique. Et ils s'en sortent ! Le fait d'avoir lancer une enquête les empêche de continuer pour quelques mois voir années. Et de savoir qui c'est, pour prendre des mesures supplémentaires. Moi aussi ça me fait saigner les yeux (chez moi) ou hurler (au taf) quand je vois des énormités pareilles... Surtout que c'est moi qui répare. Je pensais sensibiliser suffisamment les développeurs aux problèmes de sécurité, suffisamment pour passer pour parano :) Je ne peux pas passer derrière tout leur code, il n'y a pas que 100k de ligne mais des millions, même un grep ne serait pas simple comme les requêtes sont dans des variables, multilignes, etc il faudrait revoir absolument tout le code. J'ai assisté à quelques salons du hacker (FRHACK, Insomni'hack, ...) et j'en suis ressortis fataliste: si un hacker veut passer, il passera. Ils arrivent à passer les agences gouvernementales (google le nouveau robin des bois), personne ne fait zéro erreur. -- Pierre Jaury pie...@jaury.eu -BEGIN GEEK CODE BLOCK- Version: 3.12 GCS d- s+:- a-- C++ UL+++ P++ L+++ E W+++ N++ o-- K w-- O- M- V- PS+ PE Y PGP+++ t++ 5 X R tv b++ DI+ D G+ e++ h- r++ y+ --END GEEK CODE BLOCK-- signature.asc Description: Ceci est une partie de message numériquement signée
Re : Re: [FRnOG] Attaque par injections SQL
Greg, arrete de t'acharner sur cela, comme te l'ont explique plusieurs personnes deja c'est une perte de temps. On dirait que tu debutes en informatique et que tu decouvres ce phenomene ou tu n'as absolu rien d'interessant a foutre au boulot et que tu essayes de t'occuper. Tu vas voir des pro du metier il y a pas de mal de societes de service qui en font leur pain quotidien, ils te mettront en place une bonne petite solution hyper secure, tu pourras arreter de prendre du lexomil et passer un peu plus de temps avec madame et tes enfants au lieu de lire des millions de code pour chercher une faille. Cela ne sert a rien de lancer un post sur ce forum si tu ne tiens pas comptes des avis qui te sont donnes, je te rappelle que la plus part des personnes inscrites ici sont des PROS de l'info, le probleme que tu decris s'est encore produit des millions de fois dans le monde depuis que j'ai commence a rediger ce mail. Fatigue pas la police ils ont des sujets plus serieux a s'occuper, fort heureusement ils sont obliges d'etre polis et enregistrer ta plainte, je suis sur qu'ils ont du rigoler apres ton depart :--)) donc greg pour resumer : - il faut investir sur une bonne solution de securite (matos + personnes) - garder confiance et rester positive and bee cool A+ - Message d'origine - De : Greg Envoyés : 28.02.10 07:16 À : frnog@FRnOG.org Objet : Re: [FRnOG] Attaque par injections SQL La différence ici c'est que le gars ne s'est pas contenté de faire mumuse avec notre site, il a essayé de voler des informations, ce n'est pas juste un bot de passage. Si je veux creuser plus loin, c'est pour essayer de savoir si c'est un concurrent. On subit régulièrement des attaques, des bots, du phishing des (gros) concurrents outre-atlantique. Et ils s'en sortent ! Le fait d'avoir lancer une enquête les empêche de continuer pour quelques mois voir années. Et de savoir qui c'est, pour prendre des mesures supplémentaires. Moi aussi ça me fait saigner les yeux (chez moi) ou hurler (au taf) quand je vois des énormités pareilles... Surtout que c'est moi qui répare. Je pensais sensibiliser suffisamment les développeurs aux problèmes de sécurité, suffisamment pour passer pour parano :) Je ne peux pas passer derrière tout leur code, il n'y a pas que 100k de ligne mais des millions, même un grep ne serait pas simple comme les requêtes sont dans des variables, multilignes, etc il faudrait revoir absolument tout le code. J'ai assisté à quelques salons du hacker (FRHACK, Insomni'hack, ...) et j'en suis ressortis fataliste: si un hacker veut passer, il passera. Ils arrivent à passer les agences gouvernementales (google le nouveau robin des bois), personne ne fait zéro erreur. -- Greg --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : Re: [FRnOG] Attaque par injections SQL
Cela ne sert a rien de lancer un post sur ce forum si tu ne tiens pas comptes des avis qui te sont donnes, je te rappelle que la plus part des personnes inscrites ici sont des PROS de l'info, le probleme que tu decris s'est encore produit des millions de fois dans le monde depuis que j'ai commence a rediger ce mail. Oui et tout le monde dans cette liste s'est arrêté à ce problème, que tout le monde connait. Je me suis peut-etre mal exprimé, j'ai parlé d'injection SQL et de la façon dont ça a été fait, tellement c'était gros... La vrai question était de savoir si on pouvait obtenir plus d'informations à partir d'une simple IP. Fatigue pas la police ils ont des sujets plus serieux a s'occuper, fort heureusement ils sont obliges d'etre polis et enregistrer ta plainte, je suis sur qu'ils ont du rigoler apres ton depart :--)) Je cotois la police régulièrement, et 90% de leur enquêtes concernant Internet sont pour des broutilles bien pire que celle là... Mais vous avez raison, ça ne sert à rien de leur faire perdre du temps avec ça. A la fois, si j'avais laissé passé à chaque fois que c'est arrivé, je pense qu'on serait bien plus embeté. Le plus souvent un simple mail ou coup de tel pour dire on sait qui vous êtes suffit pour stopper les tentatives, c'est une forme de prévention non ? Le sujet dérive des réseaux, je suggère donc d'arrêter de continuer à donner des leçons basiques à la commentcamarche.net et de ne répondre qu'à la question initiale ou d'arrêter le vendredi ce soir :) Cordialement, -- Greg --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : Re: [FRnOG] Attaque par injections SQL
On 28/02/2010 19:08, marc celier wrote: Greg, arrete de t'acharner sur cela, comme te l'ont explique plusieurs personnes deja c'est une perte de temps. On dirait que tu debutes en informatique et que tu decouvres ce phenomene ou tu n'as absolu rien d'interessant a foutre au boulot et que tu essayes de t'occuper. Tu vas voir des pro du metier il y a pas de mal de societes de service qui en font leur pain quotidien, ils te mettront en place une bonne petite solution hyper secure, tu pourras arreter de prendre du lexomil et passer un peu plus de temps avec madame et tes enfants au lieu de lire des millions de code pour chercher une faille. Ce sont des devs qu'il lui faut, pas des poseurs de rustines sur du gruyere. Cela ne sert a rien de lancer un post sur ce forum si tu ne tiens pas comptes des avis qui te sont donnes, je te rappelle que la plus part des personnes inscrites ici sont des PROS de l'info, le probleme que tu decris s'est encore produit des millions de fois dans le monde depuis que j'ai commence a rediger ce mail. Fatigue pas la police ils ont des sujets plus serieux a s'occuper, fort heureusement ils sont obliges d'etre polis et enregistrer ta plainte, je suis sur qu'ils ont du rigoler apres ton depart :--)) Oh, ben ça c'est un moindre mal, occupe les tant que tu le peux, ils sont pas ailleurs comme ça... :) signature.asc Description: OpenPGP digital signature
Re: [FRnOG] Attaque par injections SQL
Bonjour, Pour informations, au Canada tu a tout pleins d'acces Wifi ouvert sans restriction a presque tout les coins de rue, il faut être idiot pour faire un acte malveillant depuis son accès Internet perso. Bonne chance pour tes recherches. Christophe Le 27 février 2010 14:26, Greg g...@easyflirt.com a écrit : Bonjour, cette nuit, et ce matin on a subit des attaques par injection SQL depuis une IP au Canada, dans le but de récupérer des informations. Type: WHERE id='.$_GET['val'] qui devient: WHERE id=0/**/or/**/1=1/**/order/**/by/**/1-- Yen a qui vont prendre cher lundi On va porter plainte, et la police va faire son travail... mais j'aimerais prendre les devants et essayer d'obtenir des infos. J'ai déjà fais un scan (nmap -sS -A -T4) qui ne me retourne aucune infos, tout est filtré: je pense donc que c'est vraiment lui derrière, et pas un PC zombie ni un proxy ni un équipement réseau. Est-ce que vous avez des techniques permettant d'en savoir un peu plus sur Kevin ? -- Greg --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaque par injections SQL
Bonjour, On 02/27/10 14:26, Greg wrote: Bonjour, cette nuit, et ce matin on a subit des attaques par injection SQL depuis une IP au Canada, dans le but de récupérer des informations. Type: WHERE id='.$_GET['val'] qui devient: WHERE id=0/**/or/**/1=1/**/order/**/by/**/1-- Yen a qui vont prendre cher lundi Bienvenue dans le monde ! On va porter plainte, et la police va faire son travail... mais Tu vas y passer du temps au commico si tu portes plainte à chaque petite attaque de ce genre. j'aimerais prendre les devants et essayer d'obtenir des infos. J'ai déjà fais un scan (nmap -sS -A -T4) qui ne me retourne aucune infos, tout est filtré: je pense donc que c'est vraiment lui derrière, et pas un PC zombie ni un proxy ni un équipement réseau. Tu vas y passer du temps derrière ton pc si tu nmap à chaque fois qu'un gars essaie d'injecter un 1' OR 1=1 ' Est-ce que vous avez des techniques permettant d'en savoir un peu plus sur Kevin ? lance un appel sur interpol ! sinon, sécurises tes sites... http://fr.php.net/manual/fr/function.mysql-real-escape-string.php t'y gagneras en temps, en énergie et en efficacité. signature.asc Description: OpenPGP digital signature
Re: [FRnOG] Attaque par injections SQL
Salut, Le 27 févr. 2010 à 14:26, Greg a écrit : Bonjour, cette nuit, et ce matin on a subit des attaques par injection SQL depuis une IP au Canada, dans le but de récupérer des informations. Type: WHERE id='.$_GET['val'] qui devient: WHERE id=0/**/or/**/1=1/**/order/**/by/**/1-- Yen a qui vont prendre cher lundi On va porter plainte, et la police va faire son travail... mais j'aimerais prendre les devants et essayer d'obtenir des infos. J'ai déjà fais un scan (nmap -sS -A -T4) qui ne me retourne aucune infos, tout est filtré: je pense donc que c'est vraiment lui derrière, et pas un PC zombie ni un proxy ni un équipement réseau. Est-ce que vous avez des techniques permettant d'en savoir un peu plus sur Kevin ? Déjà faire $toto=$_GET['val']; en php c'est croire qu'il y a que des bisounours dans le monde. J'appelle ce type de code du travail mal fait et surtout fait en dépit du bon sens. Cherches un peu et trouves des exemples de codes pour faire les choses propres... Si ce genre de code se trouve sur le site en .com de ton adresse mail, tu dois avoir assez de pognon pour te payer un vrai codeur php... et du soucis a te faire Autrement cherches, utilises google et demande a des gens qui codent du php et qui rajoutes de la parano a l'intérieur ou autrement prends un autre langage... Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaque par injections SQL
Bonjour, Le 27/02/10, Christophe Gasmirekca...@gmail.com a écrit : Bonjour, Pour informations, au Canada tu a tout pleins d'acces Wifi ouvert sans restriction a presque tout les coins de rue, il faut être idiot pour faire un acte malveillant depuis son accès Internet perso. Dans ce cas c'est celui qui fournit l'accès WiFi qui prend. Et c'est normal. Il faut savoir ce qu'on veut: - Laisser n'importe qui faire n'importe quoi sur Internet, - Mettre des verrous au milieu du réseau, - Rendre chaque extrémité du réseau responsable de ce qui entre et sort de sa connexion. Bonne chance Greg :) Rémi. Bonne chance pour tes recherches. Christophe Le 27 février 2010 14:26, Greg g...@easyflirt.com a écrit : Bonjour, cette nuit, et ce matin on a subit des attaques par injection SQL depuis une IP au Canada, dans le but de récupérer des informations. Type: WHERE id='.$_GET['val'] qui devient: WHERE id=0/**/or/**/1=1/**/order/**/by/**/1-- Yen a qui vont prendre cher lundi On va porter plainte, et la police va faire son travail... mais j'aimerais prendre les devants et essayer d'obtenir des infos. J'ai déjà fais un scan (nmap -sS -A -T4) qui ne me retourne aucune infos, tout est filtré: je pense donc que c'est vraiment lui derrière, et pas un PC zombie ni un proxy ni un équipement réseau. Est-ce que vous avez des techniques permettant d'en savoir un peu plus sur Kevin ? -- Greg --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaque par injections SQL
On 02/27/10 16:44, Rémi Bouhl wrote: Bonjour, Le 27/02/10, Christophe Gasmirekca...@gmail.com a écrit : Bonjour, Pour informations, au Canada tu a tout pleins d'acces Wifi ouvert sans restriction a presque tout les coins de rue, il faut être idiot pour faire un acte malveillant depuis son accès Internet perso. Dans ce cas c'est celui qui fournit l'accès WiFi qui prend. Et c'est normal. Tu as raison ! nul n'est censé ignorer la loi, nul n'est censé ignorer le mode d'emploi du 802.x non plus. Cohérant. la prochaine étape c'est quoi ? Responsabiliser les hebergeurs ? Une bien bonne idée ça aussi, pour les hebergeurs de petite/moyenne taille, c'est la mort au premier procès, pour les autres c'est no-impact et part-de-marché++. Ce serait bien que les rêves sécuritaires du gouvernement français (entre autres) ne soient pris ni pour des exemples, ni pour des normes. Il faut savoir ce qu'on veut: - Laisser n'importe qui faire n'importe quoi sur Internet, - Mettre des verrous au milieu du réseau, - Rendre chaque extrémité du réseau responsable de ce qui entre et sort de sa connexion. Bonne chance Greg :) Rémi. Bonne chance pour tes recherches. Christophe Le 27 février 2010 14:26, Greg g...@easyflirt.com a écrit : Bonjour, cette nuit, et ce matin on a subit des attaques par injection SQL depuis une IP au Canada, dans le but de récupérer des informations. Type: WHERE id='.$_GET['val'] qui devient: WHERE id=0/**/or/**/1=1/**/order/**/by/**/1-- Yen a qui vont prendre cher lundi On va porter plainte, et la police va faire son travail... mais j'aimerais prendre les devants et essayer d'obtenir des infos. J'ai déjà fais un scan (nmap -sS -A -T4) qui ne me retourne aucune infos, tout est filtré: je pense donc que c'est vraiment lui derrière, et pas un PC zombie ni un proxy ni un équipement réseau. Est-ce que vous avez des techniques permettant d'en savoir un peu plus sur Kevin ? -- Greg --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ signature.asc Description: OpenPGP digital signature
Re: [FRnOG] Attaque par injections SQL
Salut, Ton nmap ne donnerai de résultat que si l'adresse IP est fixe. D'autant qu'effectivement, le Canada est empli de points d'accès libres ! J'ai lu dans les réponses c'est le fournisseur de l'AP qui est responsable ... quelqu'un a vérifié que c'était le cas avec le droit Canadien ? Perso, non, et je suis pas sur que ce soit le cas, j'ai pas connaissance d'un équivalent canadien à Godfrain... d'autant que tu peux pas prouver grand chose. Ne confondons pas la France et le monde ! Surtout sur le plan des lois relative à l'IT ! Greg, très franchement, si tu te prend la tête avec la moindre petite tentative, tu risque d'y laisser bien du temps. Surtout, ça va te coûter cher en procédure, surtout internationale ! Autant investir dans la sécurisation, pour faire que ces méthodes ne passent pas. En plus, tu aura une chance de réussite. Là, tu compte demander à la police d'enquêter sur une tentative d'effraction numérique : mêmes s'ils avaient les compétences et ressources dispo pour ça, sache que tant que tu te sera pas fait piquer des millions, ta demande n'a pas plus d'intérêt qu'une plainte contre X pour bris de vitre ... De plus, si tu découvre ça aujourd'hui, c'est probablement que tu viens de regarder pour la première fois tes logs et/ou que c'est le premier site pour lequel tu prend le temps de faire ça... attend un petit mois, et tu verra que c'est monnaie plus que courante ! Bon courage, néanmoins, si tu décide quand même de faire valoir tes droits ;) Seb Greg a écrit : Bonjour, cette nuit, et ce matin on a subit des attaques par injection SQL depuis une IP au Canada, dans le but de récupérer des informations. Type: WHERE id='.$_GET['val'] qui devient: WHERE id=0/**/or/**/1=1/**/order/**/by/**/1-- Yen a qui vont prendre cher lundi On va porter plainte, et la police va faire son travail... mais j'aimerais prendre les devants et essayer d'obtenir des infos. J'ai déjà fais un scan (nmap -sS -A -T4) qui ne me retourne aucune infos, tout est filtré: je pense donc que c'est vraiment lui derrière, et pas un PC zombie ni un proxy ni un équipement réseau. Est-ce que vous avez des techniques permettant d'en savoir un peu plus sur Kevin ? -- DRASTIC - Sébastien BAUDRU Sécurité des architectures informatique et des systèmes d'information __ http://www.drastic-securite.com Z.I. Petite Savate - 59600 Maubeuge (Nord, France) sebast...@drastic-securite.com 03.27.64.66.50 06.37.89.36.31 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaque par injections SQL
Bonjour Je crois qu'en dehors du débat sur la loi et sur le wifi et le machin chose au Canada, il faut surtout souligner ce que Xavier a dit, à savoir que Easyflirt fait assez de fric pour embaucher des mecs un peu consciencieux mais c'est pas le cas, et si tu crois que Lundi la super police va mettre sous les verrous le Kevin du Canada tu rêves totalement, c'est juste hallucinant de lire ça en venant chouiner ici en pensant qu'on va te rendre justice. Le 27 février 2010 16:57, Arthur Fernandez arthur.fernan...@toile-libre.org a écrit : On 02/27/10 16:44, Rémi Bouhl wrote: Bonjour, Le 27/02/10, Christophe Gasmirekca...@gmail.com a écrit : Bonjour, Pour informations, au Canada tu a tout pleins d'acces Wifi ouvert sans restriction a presque tout les coins de rue, il faut être idiot pour faire un acte malveillant depuis son accès Internet perso. Dans ce cas c'est celui qui fournit l'accès WiFi qui prend. Et c'est normal. Tu as raison ! nul n'est censé ignorer la loi, nul n'est censé ignorer le mode d'emploi du 802.x non plus. Cohérant. la prochaine étape c'est quoi ? Responsabiliser les hebergeurs ? Une bien bonne idée ça aussi, pour les hebergeurs de petite/moyenne taille, c'est la mort au premier procès, pour les autres c'est no-impact et part-de-marché++. Ce serait bien que les rêves sécuritaires du gouvernement français (entre autres) ne soient pris ni pour des exemples, ni pour des normes. Il faut savoir ce qu'on veut: - Laisser n'importe qui faire n'importe quoi sur Internet, - Mettre des verrous au milieu du réseau, - Rendre chaque extrémité du réseau responsable de ce qui entre et sort de sa connexion. Bonne chance Greg :) Rémi. Bonne chance pour tes recherches. Christophe Le 27 février 2010 14:26, Greg g...@easyflirt.com a écrit : Bonjour, cette nuit, et ce matin on a subit des attaques par injection SQL depuis une IP au Canada, dans le but de récupérer des informations. Type: WHERE id='.$_GET['val'] qui devient: WHERE id=0/**/or/**/1=1/**/order/**/by/**/1-- Yen a qui vont prendre cher lundi On va porter plainte, et la police va faire son travail... mais j'aimerais prendre les devants et essayer d'obtenir des infos. J'ai déjà fais un scan (nmap -sS -A -T4) qui ne me retourne aucune infos, tout est filtré: je pense donc que c'est vraiment lui derrière, et pas un PC zombie ni un proxy ni un équipement réseau. Est-ce que vous avez des techniques permettant d'en savoir un peu plus sur Kevin ? -- Greg --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaque par injections SQL
Bonjour, Si vous portez plainte des qu'un bot essaye de l'injection SQL, vous n'avez pas fini, c'est tres courant . Le plus sur contre ce type d'attaques reste la formation des programmeurs a la securité informatique . En 2010 je considere comme criminel de mettre un argument recupéré sur la query string dans une requete SQL sans l'avoir verifié, escapé, etc . La formation des programmeurs, eventuellement un equipement style IDS et/ou IPS me semblent un minimum aujourd'hui . Je ne pense pas que porter plainte vous sera d'une quelconque utilité, a part vous faire perdre du temps . Cordialement, Salim At 27/02/2010 14:26, Greg wrote: Bonjour, cette nuit, et ce matin on a subit des attaques par injection SQL depuis une IP au Canada, dans le but de récupérer des informations. Type: WHERE id='.$_GET['val'] qui devient: WHERE id=0/**/or/**/1=1/**/order/**/by/**/1-- Yen a qui vont prendre cher lundi On va porter plainte, et la police va faire son travail... mais j'aimerais prendre les devants et essayer d'obtenir des infos. J'ai déjà fais un scan (nmap -sS -A -T4) qui ne me retourne aucune infos, tout est filtré: je pense donc que c'est vraiment lui derrière, et pas un PC zombie ni un proxy ni un équipement réseau. Est-ce que vous avez des techniques permettant d'en savoir un peu plus sur Kevin ? -- Greg --- Liste de diffusion du FRnOG http://www.frnog.org/ *** Gasmi Salim - SdV Plurimedia http://www.sdv.fr Directeur technique / C.T.O PGP Key available at: http://www.gasmi.net/pgp.txt ***
Re: [FRnOG] Attaque par injections SQL
En général, en PHP on utilise les casts pour éviter ce genre de blague, par exemple : if (isset($_GET['id'])) $get_id = (int)($_GET['id']); ++ On Feb 27, 2010, at 2:26 PM, Greg wrote: Bonjour, cette nuit, et ce matin on a subit des attaques par injection SQL depuis une IP au Canada, dans le but de récupérer des informations. Type: WHERE id='.$_GET['val'] qui devient: WHERE id=0/**/or/**/1=1/**/order/**/by/**/1-- Yen a qui vont prendre cher lundi On va porter plainte, et la police va faire son travail... mais j'aimerais prendre les devants et essayer d'obtenir des infos. J'ai déjà fais un scan (nmap -sS -A -T4) qui ne me retourne aucune infos, tout est filtré: je pense donc que c'est vraiment lui derrière, et pas un PC zombie ni un proxy ni un équipement réseau. Est-ce que vous avez des techniques permettant d'en savoir un peu plus sur Kevin ? -- Greg --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Attaque par injections SQL
Christophe Gasmi Pour informations, au Canada tu a tout pleins d'acces Wifi ouvert sans restriction a presque tout les coins de rue, il faut être idiot pour faire un acte malveillant depuis son accès Internet perso. +1; pareil ici Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaque par injections SQL
Le 27/02/2010 17:57, Stephen a écrit : En général, en PHP on utilise les casts pour éviter ce genre de blague, par exemple : if (isset($_GET['id'])) $get_id = (int)($_GET['id']); ++ If faudrait presque faire les 2 : a) protéger son code comme indiqué, b) se faire filtrer les URL en amont (exemple : Apache+mod_security) On Feb 27, 2010, at 2:26 PM, Greg wrote: Bonjour, cette nuit, et ce matin on a subit des attaques par injection SQL depuis une IP au Canada, dans le but de récupérer des informations. Type: WHERE id='.$_GET['val'] qui devient: WHERE id=0/**/or/**/1=1/**/order/**/by/**/1-- Yen a qui vont prendre cher lundi On va porter plainte, et la police va faire son travail... mais j'aimerais prendre les devants et essayer d'obtenir des infos. J'ai déjà fais un scan (nmap -sS -A -T4) qui ne me retourne aucune infos, tout est filtré: je pense donc que c'est vraiment lui derrière, et pas un PC zombie ni un proxy ni un équipement réseau. Est-ce que vous avez des techniques permettant d'en savoir un peu plus sur Kevin ? -- Greg --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaque par injections SQL
Salut, Porter plainte est une perte de temps - pour toi _et_ pour la police. Quel crime tu va reporter ? Que penses-tu que la police ferait si tu reportais que quelqu'un a toqué a ta porte et regarde si la porte été ferme mais repart sans rien faire de plus. Le niveau de compétence informatique de la police est tellement bas qu'ils ne comprendront surement pas de quoi tu parles. Je n'ai pas le chiffre exact et recent, mais il doit y a avoir moins de 50 officiers en Angleterre pour gérer les crimes informatique. http://en.wikipedia.org/wiki/Police_National_E-Crime_Unit http://lmgtfy.com/?q=Police+e-crime+unit+budget (un des lien reporte 45 personnes) Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaque par injections SQL
Le samedi 27 février 2010 à 14:26 +0100, Greg a écrit : WHERE id='.$_GET['val'] Franchement, lire du sale code comme ça en 2010, ça fait saigner les yeux... Si vous avez tu temps, au lieu de le perdre à balancer des nmap, se pencher sur l'amélioration de la sécurité de votre code me semblerait plus judicieux. Sinon, on trouve aussi des framework très bien pour développer des applis PHP plus potables que la moyenne. Genre: http://framework.zend.com/ -- http://sid.rstack.org/ PGP KeyID: 157E98EE FingerPrint: FA62226DA9E72FA8AECAA240008B480E157E98EE Hi! I'm your friendly neighbourhood signature virus. Copy me to your signature file and help me spread! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaque par injections SQL
Salut, Il y a aussi symfony (framework web php objet) et son plugin intégrant doctrine (orm php object). Il permet aussi d'importer le schema de la bdd en classes php5 (du reste j'imagine qu'il n'est pas le seul, mais il fait ça plutôt bien, pourvue que la db soit bien faite...). Bref, vive l'outsourcing ? ;-) Before Printing, Think about Your Environmental Responsibility! Avant d'Imprimer, Pensez à Votre Responsabilitée Environnementale! 2010/2/27 Cedric Blancher blanc...@cartel-securite.fr Le samedi 27 février 2010 à 14:26 +0100, Greg a écrit : WHERE id='.$_GET['val'] Franchement, lire du sale code comme ça en 2010, ça fait saigner les yeux... Si vous avez tu temps, au lieu de le perdre à balancer des nmap, se pencher sur l'amélioration de la sécurité de votre code me semblerait plus judicieux. Sinon, on trouve aussi des framework très bien pour développer des applis PHP plus potables que la moyenne. Genre: http://framework.zend.com/ -- http://sid.rstack.org/ PGP KeyID: 157E98EE FingerPrint: FA62226DA9E72FA8AECAA240008B480E157E98EE Hi! I'm your friendly neighbourhood signature virus. Copy me to your signature file and help me spread! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaque par injections SQL
La différence ici c'est que le gars ne s'est pas contenté de faire mumuse avec notre site, il a essayé de voler des informations, ce n'est pas juste un bot de passage. Si je veux creuser plus loin, c'est pour essayer de savoir si c'est un concurrent. On subit régulièrement des attaques, des bots, du phishing des (gros) concurrents outre-atlantique. Et ils s'en sortent ! Le fait d'avoir lancer une enquête les empêche de continuer pour quelques mois voir années. Et de savoir qui c'est, pour prendre des mesures supplémentaires. Moi aussi ça me fait saigner les yeux (chez moi) ou hurler (au taf) quand je vois des énormités pareilles... Surtout que c'est moi qui répare. Je pensais sensibiliser suffisamment les développeurs aux problèmes de sécurité, suffisamment pour passer pour parano :) Je ne peux pas passer derrière tout leur code, il n'y a pas que 100k de ligne mais des millions, même un grep ne serait pas simple comme les requêtes sont dans des variables, multilignes, etc il faudrait revoir absolument tout le code. J'ai assisté à quelques salons du hacker (FRHACK, Insomni'hack, ...) et j'en suis ressortis fataliste: si un hacker veut passer, il passera. Ils arrivent à passer les agences gouvernementales (google le nouveau robin des bois), personne ne fait zéro erreur. -- Greg --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attaque par injections SQL
On Sat, 2010-02-27 at 16:21 +0100, Arthur Fernandez wrote: sinon, sécurises tes sites... http://fr.php.net/manual/fr/function.mysql-real-escape-string.php t'y gagneras en temps, en énergie et en efficacité. il est a noter que d'autres interfaces de bases de données proposent des trucs plus efficaces encore : http://fr.php.net/manual/fr/function.pg-query-params.php --- Liste de diffusion du FRnOG http://www.frnog.org/
