3w.ID-RÉSEAUX.info

Le Site | Le Blog | |
Sécurisation | Sauvegarde | Récupération | Mise en Réseau | Création Web | Formations
Les Tests | Vos Traces | Site Web
Phishing | Hoax | Virus | Rootkit
Sécurité | Utilitaires | Pack
Obsolète | Vulnérabilité | Mise À Jour
subglobal6 link | subglobal6 link | subglobal6 link | subglobal6 link | subglobal6 link | subglobal6 link | subglobal6 link
subglobal7 link | subglobal7 link | subglobal7 link | subglobal7 link | subglobal7 link | subglobal7 link | subglobal7 link
subglobal8 link | subglobal8 link | subglobal8 link | subglobal8 link | subglobal8 link | subglobal8 link | subglobal8 link

Votre site ... small logo

... a été hacker !

Pas étonnant, actuellement une nouvelle vague d'attaque sévie sur le Web. Les hackers utilisent une nouvelle faille de sécurité qui concerne les script-PHP. Le danger est réel. Vous allez découvrir sur cette page comment se protéger de tels agissements.

Comment se protéger contre les hackers ?

Htaccess

Pour plus de sécurité, protéger l'accès et la partie configuration avec un fichier .htaccess.

Les principales raisons d'utilisation des fichiers .htaccess sont :
Gérer l'accès à certains fichiers.
Ajouter un mime-type.
Protéger l'accès à un répertoire par un mot de passe.
Protéger l'accès à un fichier par un mot de passe.
Définir des pages d'erreurs personnalisées.

A savoir :
Apache fournit un outil permettant de générer facilement des mots de passe cryptés (aussi bien sous Windows que sous Unix), il s'agit de l'utilitaire htpasswd accessible dans le sous-répertoire bin d'Apache.

...en savoir plus

Outil de contrôle Tester vos pages avec l'outil de contrôle "Chorizo-Scanner" et confronter votre hébergeur avec les vulnérabilités découverte.

Chorizo Scanner est un service en ligne pour améliorer la sécurité des applications PHP. Il effectue des tests automatiques pour les vulnérabilités les plus courantes, et permet de rapporter rapidement les erreurs de validations les plus courantes.
Le principe de Chorizo est de faire des tentatives d'injections de valeurs invalides dans les scripts PHP, pour voir comment l'application se comporte.
Le scanner est constitué par un proxy : pour analyser votre application Web, il suffit de configurer votre navigateur pour utiliser le proxy de Chorizo : ce dernier s'installe entre vous et votre application. À partir de là, vous pouvez naviguer directement sur votre site, et demander au scanner de passer en revue différentes pages au fur et à mesure de votre navigation.

Les tests présentés sont complets : outre les classiques XSS, on trouve aussi des attaques HTTP, les sessions PHP, l'inclusion de code PHP et les injections. Des attaques plus mystérieuses sont aussi testées (Apache, Morcilla Base).
+ d'infos

Scanner de pages Scanner régulièrement vos pages avec HackDetect, pour détecter une intrusion. Aussitôt qu'un hacker réussit à manipuler des pages web et/ou serveurs , il peut là détruire, modifier ou ajouter des contenus. Ils peuvent ainsi par exemple : modifier des paramètres, diffusser des virus, échanger des copies voler, envoyer du spam, utiliser votre site pour des attaques de phishing, récupérer des infos sur les cartes de crédit ou mettre en place des vidéos terroristes.

Le logiciel fonctionne par comparaisons de données. Scanner tout d'abord la structure complète de votre site, pour créer une image référence. Lorsque des données sont modifier, une alerte est lancer.

Module de sécurité ModSecurity est un moteur de détection et de prévention d'intrusion Open Source pour les applications Web Apache ou d'autres serveurs si on l'utilise en mode proxy. Il intègre plusieurs dispositifs permettant d'augmenter la puissance de protection contre des attaques web.

Ces dispositifs sont le filtrage de requêtes, les techniques anti-évasion, l'analyse du contenu lors de l'utilisation de la méthode POST, la journalisation des requêtes, le filtrage HTTPS, le filtrage des données compressées.

La version 2.0 de ModSecurity est composée de trois projets :
- ModSecurity for Apache
- ModSecurity Core Rules
- ModSecurity Console.

Le premier est le moteur, c'est-à-dire le module Apache. Le second est un ensemble de règle de filtrage et le troisième une console permettant de surveiller le filtrage effectué.
+ d'infos

Copie de sécurité Faite régulièrement, au minimum une fois par semaine, une copie de vos données. Sécurisé aussi vos bases de données.

Script de confiance N'utiliser que des scripts recommandés et qui sont régulièrement contrôlés. Les fournisseurs de script permettent des abonnements à la newsletter ou flux RSS, pour être informé rapidement des Updates.

Mot de passe Choisisser si possible un mot de passe relativement long (12 caractères), avec des majuscules, minuscules, et chiffres.

Vous trouverez sur cette page les différentes façons de protéger une page, mais aussi une critique sur la sécurité de chaque système et les différents moyens de les contourner.

Vérifier les formulaires Vérifier aussi vos formulaires et les script d'envoie. Et posez vous ces questions :
Est-ce que l'adresse email du correspondant est vérifier ? Est-ce que le script contrôle l'envoie multiple d'email senblables ?
Les formulaires non-sécurisé sont appréciés des spammeurs.

Hébergeur Web Tester la sécurité auprès de votre hébergeur web. Son considéré comme sûr les paramétrages (dans php.ini) des fonctions suivantes : magic_quotes_gpc=on, register_globals=off, safe_mode=on. Faite le test avec la fonction phpinfo().

Auto-Formation S'auto-former sur le thème de la sécurité web et maintenir une veille sécuritaire et technologique. Livre, revue et site internet sont les bons réflexes à acquérir. Vous pouvez par exemple vous inscrire à la "BugTraq Mailing List" de SecurityFocus.

Les dernières failles PHP Il est fortement recommandé de toujours utiliser la version la plus récente de la technologie choisie et de veiller aux publications de correctifs. Une recherche sur les moteurs de recherche ainsi que sur le site de l'éditeur vous permettra de définir la version la plus récente de votre plate-forme de développement.

About | Privacy Policy | Plan Site | | ©2007 ID-réseaux