Expérimentation filtre d'injections


  • Administrateur

    Bonjour,

    Nous expérimentons la mise en place d'un filtre d'injection de tout type sur nos serveurs mutualisés.
    Le but est de filtrer et de bloquer les injections en amont pour éviter toute intrusion ou altération de fichiers sur les comptes mutualisés et sur nos serveurs.

    Les tests sont très encouragent, en quelques mise en place sur le NS5, nous avons déjà suspendu 3 comptes qui possédais des phpBB ou des livre d'or qui n'étaient pas à jour et qui était plein de code malicieux.

    Il y a encore des faux positif, nous continuons à améliorer le filtre pour l'appliquer ensuite à l'ensemble du parc de machines.

    N'hésitez pas à nous remonter vos bugs sur le NS5.


  • Administrateur

    Bonjour,

    On a encore quelques faux positifs qu'il faut qu'on corrige, mais c'est très intéréssant de voir les résultats. Du type :

    From: 218.6.15.132
    Array
    (
        [msg_author] => tuvw173
        [submit] => OK
        [event] => comment
        [pid] => 48
        [msg_body] => [url=http://sanitaryware-factory.com/Product.aspBigClassName=******%20shower%20room&SmallClassName=Shower%20screen]Shower screen[/url]
    [url=http://sanitaryware-factory.com/Product.aspBigClassName=Sauna%20house&SmallClassName=Sauna%20house]Sauna house[/url]
    [url=http://sanitaryware-factory.com/Product.aspBigClassName=Spa%20and%20Jacuzzi&SmallClassName=Spa%20and%20Jacuzzi]Spa and Jacuzzi[/url]
    [url=http://sanitaryware-factory.com/Product.aspBigClassName=Shower%20panel&SmallClassName=Shower%20panel]Shower panel[/url]
    [url=http://sanitaryware-factory.com/Product.aspBigClassName=Bathroom%20cabinet&SmallClassName=Glass%20basin]Glass basin[/url]
    - http://sanitaryware-factory.com
    )
    
    

    C'est une tentative d'injection sur un livre d'or, qui, pour le coup, est bien protégé d'origine, mais là, l'injection aura été bloqué en amont.



  • mais ta bases de blocage, tu l'as faites toi même ? Ou tu te base sur quoi ?



  • salut mon site sur ns5 ne fonctionne pas encore :cry: :cry:

    N° Dossier : DC19050921322008


  • Administrateur

    @Althalus:

    mais ta bases de blocage, tu l'as faites toi même ? Ou tu te base sur quoi ?

    C'est assez complexe, mais en gros, on fait un regex de toute les données qui passent en POST ou en GET vers le serveur. Si jamais ces données contiennent des fonctions php, javascript, url, etc…, on bloque. Il y a un système de cookie pour que si la visite est légitime, le blocage ne se fait pas. Si le mec envoit les données en direct sur un fichier php sans être passé par le site avant (ce que fait un bot), on bloque.



  • Ouai, donc si j'comprend bien, un gars qui passe légitimement sur le site, en bloquant tout cookies, il va créer plein de faux positifs ?


  • Administrateur

    C'est l'idée oui, il ne pourra pas naviguer sur notre réseau. C'est la politique de la patte blanche.



  • Pour le coup, je ne suis pas sur que le système du cookie soit vraiment un bonne idée. Beaucoup de parano surf en refusant les cookies pour des raisons de sécurité entre autre…

    Le vol de cookie est une attaque classique pour récupérer MDP et login... Naviguer en refusant les cookies n'est pas rare...


  • Administrateur

    L'autre solution serait d'utiliser une solution à base de session, mais je trouve pas la solution séduisante. Pour l'instant, l'expérimentation sur le NS5 est très très bonne.
    On a une trentaine de blocage par jours, et sur ces 30 blocages, je n'ai pas eu de faux positifs (sauf ceux de google, que je vais laisser passer avec une restriction d'IP).



  • Mouai, du coup, si ça arrive, et comme c'est le cas dans beaucoup de boite d'ailleurs, toutes personnes ayant les cookies bloqués se retrouvera "bannis" de FirstHeberg en gros..
    De plus il me semble qu'un utilisateur doit avoir le droit de refuser les cookies, quelque en soit sa nature. Et l'utilisation des cookies doit être explicite pour l'utilisateur également. ( paragraphe 25 http://www.droit-technologie.org/upload … c/91-1.pdf ) C'est ce qui a été décidé par le Conseil européen si j'ai pas mal compris. ;)

    Par contre je suis tout à fait d'accord qu'un filtrage de ce genre est "nécessaire" au vu de certains utilisateurs.


  • Administrateur

    On pousse l'expérience sur le NS12 et NS10.
    250 injections bloqués en 10 heures.



  • Si des injections sont bloqués sur notre site, peut-on le savoir ?
    Car j'aimerais que cette expérimentation me serve si par exemple je suis attaqué sans le savoir.
    Sa me permettrait de voir mon code et de le modifier en conséquence.

    Donc finalement cette expérimentation sera positive pour l'hébergeur et l'hébergé !



  • Bonjour,
    Houlalala, ça ne marche plus là! Je suis sur le ns12 et si je post sur le forum (simple press forum) j'ai ce message:

    Warning: in_array() [function.in-array]: Wrong datatype for second argument in /home/securite9.php on line 7
    Injection blocked !
    

    gros problème!!! :murder


  • Administrateur

    Active les cookies sur ton navigateur, et passe bien par ta page d'accueil avant de faire quoi que ce soit.



  • Bon ben là je n'ai touché à rien et ça remarche :?:

    J'ai eu ce genre de problème lors d'une mise à jour du module ban IP, y'a plein de trolls qui n'ont rien à faire sur mon site, surtout avec des IP d'europe de l'est ou de chine....

    Un simple message d'erreur avec nextgen gallery lors d'une création de gallery, mais tout se déroule correctement, je rafraichis la page et c'est OK.

    Bon, voila les kekes petites misères que j'ai eu ces derniers jours.
    @+


  • Administrateur

    @dimitriuss:

    Si des injections sont bloqués sur notre site, peut-on le savoir ?
    Car j'aimerais que cette expérimentation me serve si par exemple je suis attaqué sans le savoir.
    Sa me permettrait de voir mon code et de le modifier en conséquence.

    Donc finalement cette expérimentation sera positive pour l'hébergeur et l'hébergé !

    Oui, c'est prévu, faut qu'on finalise le module, les résultats sont hallucinants (590 injections sur NS10 et NS12 depuis ce matin).



  • Le souci étant les faux positifs^^

    Bon courage tout de même…

    Petite question, ne pourriez vous pas fournir un tuto pour les nouveaux concernant la sécurisation des données en post ou get, et ce pour leur éviter de créer des failles?

    (En plus de votre propre contrôle... Et ce pour inciter les programmeurs à bien sécuriser leur travail?)



  • J'ai eu pas mal ce message d'erreur cette nuit, aléatoirement sur pas mal de mes pages (j'envoyait des formulaires) cookies activé.

    J'ai également eu ce message sur phpmyadmin !



  • J'ai eu un truc bizarre y'a qq jours, 4 visiteurs, IP différentes et connues, qui ont visité les mêmes pages (ça saute aux yeux). Après recherche de provenance (neotracepro) tout vient de chine! :murder


  • Administrateur

    @dimitriuss:

    J'ai eu pas mal ce message d'erreur cette nuit, aléatoirement sur pas mal de mes pages (j'envoyait des formulaires) cookies activé.

    J'ai également eu ce message sur phpmyadmin !

    Je suis curieux de voir les url des pages en question. On contrôle aussi le User-Agent du navigateur, donc si vous avez des modules pas très net à votre insu sur le pc, ça bloque aussi votre navigation (pour protéger le site contre des vers qui seraient sur votre PC par exemple).


Log in to reply