sécuriser une page contact

[alain]

Bonjour ,


J'essaye d'améliorer la page contact et livre d'or de mes 2 ou 3 sites.
Je voulais savoir si par un formulaire on peut faire des injections de langage php qui pourrait ensuite nuire au site.

merci

[dcz]

Question sécurité et injection de code, tout dépend de la façon dont est construit ton script.

Dans l'ordre des précautions à prendre, ne pas utiliser register global est une très bonne chose qui évite bon nombre de possibilités d'injection de code.
Car il n'y a plus confusion entre les variables internes (dans le script) et les variables $_POST et $_GET.

Ensuite, ne pas faire l'économie d'initialiser ses variables, c'est tout bête, mais si on le fait pas, une injection réussie ne serait pas écrasée par l'initialisation.

Il faut également filtrer un minimum les variables susceptible de venir de l'extérieur, ce qui est fait de manière générale pour phpBB dans common.php :

[alain]

Bonjour dcz,

Je trouve ton post très intéressant.... je pense que je reviendrai dessus dès demain.
a+

Alain

[alain]

Bonjour,

Après recherche, pour ceux qui ne peuvent pas mettre register_globals sur off, j'ai trouvé un code sympa et qui marche (je l'ai vérifié). Il se palce en début de page php, et il "émule" la page comme si register_blobals était sur off:

[dcz]

Carrément, une vrai bonne solution pour ceux qui n'ont pas le choix du réglage mais qui n'ont pas non plus besoin de register global.

Un bon petit plus coté sécurité, ça doit aussi un peut aider la vitesse de se débarrasser de toutes ces variables qui traîne directe, bien entendu, moins que si on ne les enregistre jamais (register_global off) mais tout de même.

Ils pensent à tout sur php.net

++

[alain]

Bonjour ,


et du coté du controle des données provenant de formulaires (page contact, livre d'or), tu conseillerais quoi par exemple?

Phpbb contient sans doute des controles intéressants des posts avant validation non? Sachant que ces posts entrent dans une base et donnée et sont ensuite affichés... Il doit y avoir la totale ou pas loin non?
A quel endroit du code trouver tout ca?



a+
Alain

[dcz]

[alain]

Bonjour ,


et merci pour tes infos...
la fonction htmlspecialchars a l'air vraiment très bien.

Par contre quel est l'intérret exact de la fonction trim?
Son role est d'enlever les premier et dernier blans d'une variable.

Quel est le rappart avec la sécurité du forumulaire?
merci...


Alain

[dcz]

trim(), c'est juste une bonne habitude, car tu pourrais conditionner certains évènements à la taille d'une chaîne de caractères, et te faire gruger par un espace malicieux

++

[alain]

ok....

[alain]

Bonjour dcz,

suite de l'aventure....

D'abord le principe de mon livre d'or
******************************
Quand un message est posté, un mail m'est envoyé pour me demander si je veux le valider pour l'afficher (livre d'or modéré).

mon livre d'or a chauffé à blanc aujourd'hui.
J'ai eu environ 20 fois des envois de mail par ma page livre d'or.

remarque 1
*********
C'est vraiment bizarre. Je viens de regarder et en fait ca fait plusieurs moi, que 'javais des message non validé (livre modéré) du type:

[MOD]Pas la peine de leur faire de la pub, même sans lien actifs on peut résumer en disant qu'il utilisent des combinaison de bbcode URL et de liens html [/MOD]

Dans la pratique, cela veut dire que les spammeurs mettent dans leur message, à un endroit des syntaxes avec des crochets , et qu'ailleurs ces crichets sont remplacés par des < et des >.... sinon je vois pas l'interret.

remarrque 2:
***********

Les exemples ci-dessus datent de plusieurs mois. Voila des exemples d'aujourd'hui:

C'est un message que j'ai recu pour validation:

*******************
département: h*tp://www.spammeur.net/?mforum=carrera#viagraget viagra<a href=\"ht*p://www.spammeur.net/?mforum=carrera#viagra\">viagra sale</a> [url=h*tp://www.spammeur.net/?mforum=carrera#viagra]viagra sale[/url]

message:

ht*p://www.spammeur.net/?mforum=carrera#viagraget viagra<a href=\\\"ht*p://www.spammeur.net/?mforum=carrera#viagra\\\">viagra sale</a> [url=ht*p://www.spammeur.net/?mforum=carrera#viagra]viagra sale[/url]

*********************

on retrouve le meme principe des crochets

il y a la en plus,plusieurs anomalies.
je fait notamment un test sur la taille de la variable département. Si elle dépasse 3 ou 4 caractère le message n'aurait pa du etre accepté... comment se fait-il que le test n'ai pas marché?
Voivi mon test:
if (strlen($departement) > 3)
{ $anomalie = 'oui'; // tentative de spam
}
C'est incroyable ce truc non?
D'autant plus que j'ai la propriété
register_globals = off



remarque 3:
**********
Sur les 20 tentatives d'envoi de spam, une seule a donné lieu à une proposition de message à valider (celle ci-dessus).
Toutes les autres ont données lieux à un message d'alerte du type suivant (notez que j'ai à chaque fois une adresse ip... est-ce que je peux en faire quelque chose) qui me sont envoyées.


******************************
manoeuvre frauduleuse
******************************
quelqu'un vient de tenter une manoeuvre tendancieuse sur votre site
machin.com page livre d'or :

url en question : /livre.php
adresse ip de la personne en question: 210.114.183.194

message : <a href=\\\"h*tp://spammeur.com/?24429\\\">viagra pharmacy</a> [url=h*tp://spammeur.com/?24429]viagra pharmacy[/url] <a href=\\\"h*tp://spammeur.com/?24427\\\">viagra prescription</a> [url=ht*p://spammeur.com/?24427]viagra prescription[/url] <a href=\\\"ht*p://spammeur.com/?24430\\\">cheapest viagra</a> [url=ht*p://spammeur.com/?24430]cheapest viagra[/url] <a href=\\\"ht*p://spammeur.com/?24428\\\">purchase viagra</a> [url=ht*p://spammeur.com/?24428]purchase viagra[/url]

prenom: Pennsylvania

Si autant de ces messages ont été envoyés, c'est qu'ils marchent effectivement (sinon le robot aurait arreté).
Voici la ligne qui envoie le mail d'alerte:

if (($anomalie1 == 'oui') ou ($anomalie2 == 'oui'))
{ mail($mail_webmestre,"spam sur machin.com?",$message_d_alerte);
}

C'est peut-etre juste une mauvaise manip de l'internaute
Bonne journée

Voila, donc c'est sur , le message doit partir...mais comment arreter ca?

J'ai 2 idées immédiates:

* tronquer d'emblée, tout message qui dépasse le nombre de caractères imposés par le formulaire.
* il est clair que les spammeurs, doivent utiliser avec brio tous les en_tete de mail qu'ils injectent peut-etre dans le message proprement dit ou au moins dans une variables qui est utilisées dans le mails... il faudrait que je trouve les tests à faire sur les champs, pour supprimer les messages qui comporteraient ces en-tetes...

Mais il est clair qu'il faut quand meme que mon test sur la taille de la variable marche... et apparemment, la il y a moyen de le contourner.



Merci pour vos idées...
Je pense que ca vaut le coup de se battre pour que ce genre de truc arrete.

[alain]

Bonjour,


Je viens de trouver plusieurs problèmes dans ma page qui sont réglé.
J'ai rajouté la fonction trim sur mes variables.
J'ai trouvé pourquoi le test sur ma variable n'avait pas marché: il y avait une faute d'orthographe dessus!
J'ai ragardé pourquoi , le robot n'a pas utilisé ma page contact... en effet j'y tronque tous le champts trop long... c'est ce que je viens de faire.

de plus je fait un test sur la présence de crochet.

de plus j'ai décortoqué plusieurs spam, que j'ai noté certain en-tete de message qui n'apparaissent pas avec une utilisation normale de ma page livre, cela veut dire que ces en-tete sont forcément ajouté dans les variables des forumulaire... donc je controle toutes mes variables pour voire si elles contiennent ces en-tete.

Je pense que la j'ai bétonné.
j'avoue que la, il faut etre plus que motivé pour envyer du spam depuis ce site...

Mais effectivement pour la petite histoire, le moteur de spam s'attaquait toutes les 30 mn à mon site... c'est assez impressionnant.

A partir du moment, ou ca ne marchait plus, il est parti sans revenir...

Pour la petite histoire, je dirais que le moteur de spam était très intelligent, car il a du tester patiemment toutes les variables du formulaires, pour trouver celle qui était utilisable (sans taille limite). Et il l'a trouvée... Comme quoi il travaille très méthodiquement avec de vrais algos...



a+
Alain

[dcz]

Intéressant en effet.

Pour le coup des [ à la place des <, c'est bizarre, d'un coté on pourrait se dire que les spammeur on deux de QI, ce qui est possible, et qu'il se soucient à moitié de ce qu'il postent, moitié bbcode, moitié html, mais vu les efforts déployés, il se peut que ce soit une partie de leur stratégie.
Je pense qu'ils essaient à tout prix de poster des liens actifs, donc ils essaient le bbcode URL, très répandu, et aussi, un petit coup de html pur au cas ou.

C'est intéressant de voir qu'un test automatiser de formulaire semble être mis en place, peut être qu'un captcha (confirmation visuelle) performant serait un complément intéressant.

Pour les Ip que tu as récolté, je pense que tu pourrais :

1) voir si certaine se répètent parmi les essais listés;
2) voir si elle ne sont pas utilisés à autre chose dans tes logs serveur autour des même horaires, principalement tentatives d'accès à des dossier protégés (admin/, includes/ db/) ou à des scripts d'inscription;
3) si tu trouves des IP pas mal utilisées pour du spam ou pire, un petit tour sur http://www.dnsstuff.com/ pour un petit WHOSI lookup sur ces ip. Là en gros, tu devrais pouvoir déterminer si l'IP est dynamique et d'où elle viens.
Une IP à des chances d'être dynamique si elle appartiens à un fournisseur d'accès pour particulier, comme wanadoo etc ... et ce n'est pas forcement très efficace de bannir dans ce cas, mais si tu tombe sur des IP de faculté (.edu), d'administration ou de boite obscure et provenant d'un pays pas très regardant, alors un petit ban et/ou un spam report (tu as le mail pour ça dans le WHOIS), peut être très efficace.

En effet, il y a fort à parier qu'un tel soft de spam soit utilisé par pas tant de personnes que ça, et donc pas tant d'ip que ça, surtout s'agissant d'une seul site cible (peut de chances que 50 spammeurs différents aient utilisés ce soft sur ton site).
Un ban d'IP au niveaux serveur est tout simplement radical, et le message est très clair, le spammeur saura tout de suite qu'une veille active existe sur ce site et qu'à terme il risque de perdre ses IP (à force de spam report), ce qui je le pense devrait convaincre une bonne partie d'entre eux de se concentrer sur le reste du oueb

Ban IP par .htaccess :

[alain]

Bonjour dcz,

Rien qu'aujourd'hui, j'ai eu plus de 10 saisie 'frauduleuses' sur ma page contact.
j'ai vérifié les ip, sur l'outils que tu m'a donné.... les résultats sont délirants: le brézil, la chine , l'allemagne, le penjab....

Bref, il est clair que les ip ont l'air complètement bidon....

Je sais plus trop quoi faire....

a+
alain

[dcz]

Et bien, le plus simple, c'est de bannir les plus exotiques de ces ip.

Pour t'organiser un peut, tu peux mettre la date en commentaire pour chaque ip (avec des # en début de lignes dans un .htaccess), pour que tu puisses remettre les compteur à zéro de temps en temps.

Après une ip chinoise ou russe qui ne fait que des tentatives de hack, c'est pas bien grâve de la bannir plus longtemps, pas beaucoup de risques de refouler de vrai visiteurs.

Pour les cas les plus graves, parce que lourdement répétitifs ou utilisant manifestement plusieurs IP, j'envoie un spam report (en général, il y a un mail dans le WHOIS), pas certain que ça serve, mais y'a pas de raisons de tout laisser faire.

En tous cas, le ban au niveau serveur est la meilleur garantie de faire passer un message clair, fatalement le spammeur s'en rendra compte (plus aucun accès possible sur tout le site) et aura des chances de ne pas vouloir trop insister, car il est toujours possible qu'un spam report porte ses fruit et qu'il perde l'usage de cette IP, assez souvent utilisée frauduleusement (hack ou usage abusif de proxy publiques).
Et les IP, c'est bien le nerf de la guerre du spammeur et du hacker.

++