PhpBB et la sécurité

Forum de discussions générales. Les règles sont simples :
- Pas de publicité, pas de SPAM
- Pas de flood
- Pas de support dans cette section

Modérateur: Equipe

Règles du forum
A lire impérativement : Règlement de phpBB-fr.com

Attention, aucun sujet traitant de phpBB ne doit être posté dans cette section.

PhpBB et la sécurité

Messagepar hoffmann2 » 05 Juin 2007 à 19:55

Bonjour,
J'aurai besoin de votre expérience :)

Voila je voudrais savoir jusqu'à quel point un forum phpbb de base empèche des utilisateurs non autorisé à ouvrir un topic à accès restreint...


EXEMPLE : TOPIC A fermé à tous les utilisateurs SAUF au GROUPE 1

le GROUPE 1 est fermé...

Est ce que il est difficile pour un utilisateur mal intentionné de forcer l'ouverture du topic A ?


Merci d'avance
hoffmann2
Posteur néophyte
Posteur néophyte
 
Messages: 60
Enregistré le: 16 Mai 2007 à 18:40

Messagepar Domos » 05 Juin 2007 à 20:07

Si tu as ton forum à jour sans aucun mod, ce sera très difficile pour lui de réussir des actes mal intentionnés ;)
Domos
Apprenti-floodeur
Apprenti-floodeur
 
Messages: 1109
Enregistré le: 14 Avr 2006 à 20:50

Messagepar ErnadoO » 05 Juin 2007 à 20:09

Là ce n'est plus trop une question de sécurité mais plutot de paramétrage des permissions
ErnadoO
 

Messagepar hoffmann2 » 05 Juin 2007 à 20:13

métons pas de MOD du tout...

et que le "méchant" ne connaisse pas les mots de passes admin...
et que toutes les paramétrisations soient correct :p
hoffmann2
Posteur néophyte
Posteur néophyte
 
Messages: 60
Enregistré le: 16 Mai 2007 à 18:40

Messagepar Domos » 05 Juin 2007 à 20:25

Impossible si ton forum est à jour car normalement les màj corrigent toutes les failles connues ;) À moins qu'il y ait étudié le code source 6 heures par jour depuis 3 ans pour tester toutes les possibilités de faille ;)
Domos
Apprenti-floodeur
Apprenti-floodeur
 
Messages: 1109
Enregistré le: 14 Avr 2006 à 20:50

Messagepar hoffmann2 » 05 Juin 2007 à 20:26

great

thanks a lot ;)
hoffmann2
Posteur néophyte
Posteur néophyte
 
Messages: 60
Enregistré le: 16 Mai 2007 à 18:40

Messagepar Crosby » 05 Juin 2007 à 20:41

Domos a écrit:Impossible si ton forum est à jour car normalement les màj corrigent toutes les failles connues ;) À moins qu'il y ait étudié le code source 6 heures par jour depuis 3 ans pour tester toutes les possibilités de faille ;)

Même à cela je crois qu'il serait incapable. :P
ImagePas de support par message privé ou msn !
ImageFormulaire obligatoire pour obtenir du support !
Crosby
Maître des floodeurs
Maître des floodeurs
 
Messages: 2019
Enregistré le: 19 Juil 2006 à 20:51
Localisation: Québec

Messagepar Gryffondor » 07 Juin 2007 à 15:55

Vous en êtes sur? :roll: 8)
Gryffondor
Maître des floodeurs
Maître des floodeurs
 
Messages: 2338
Enregistré le: 31 Juil 2006 à 20:48
Localisation: A Last Survivor : Là où la fin du monde ne fait que commencer!

Messagepar Evil-Angel » 12 Juin 2007 à 12:14

Crosby a écrit:
Domos a écrit:Impossible si ton forum est à jour car normalement les màj corrigent toutes les failles connues ;) À moins qu'il y ait étudié le code source 6 heures par jour depuis 3 ans pour tester toutes les possibilités de faille ;)

Même à cela je crois qu'il serait incapable. :P


un phpbb vierge un exelent hackeur il lui faudras pas moins de 2 minutes pour retourner le forum ,via une injection url ,ou soit une attaque mysql ou eskuel ,ou encore une prise de controlé du serveur ,ou encore exploitation d'un faille tres connue dans les ndd pour remonter tj dans le serveur

un phpBB modifié reprensete encore plus de risques

un phpBB monté avec le cacker tracker ,la c un peu plus dur au niveau de l'attaque du script phpBB via des scripts ,dison 5 minutes pour quelqun d'expirémenté dans la matiere

je sors du sujet pour expliquer un truc ,
recement une banque japonaise monte en reseau leur service , fiers de leur produit et concept ils sont venus narguer la defcon et web hack ,une prime de 25.000 Usd etait offerte au 1er hacker qui penetrais leur systeme banquaire soit disant ultra securisé et inviolable
24 minutes apres 1 hacher etait deja dans le reseau ,au bout d'une heure on etait pas moins de 40 personnes a faire les kangourous dans le reseau bancaire japonais

Tout cela pour dire si un hacker veux reelement passer outres d'armadas de secus il le fera
PhpBB n'a pas l'etoffe d'un script ultra securisé .
petite note rassurante , les vrais hacker comme je parle ne passent pas leur temps a venir secouer un phpBB ,ce serait pathétique de faire cela
mais il existe pas mal de cretins sur le net qui on eu la malchance de tomber sur des tutos et de les apliquer a la lettre pour casser des forum
et ça je trouve que c encore plus ultra pathétique

neamoins je vous donne une formule utra simple pour ultra securiser votre forum phpBB
des sauvegarde tt les jour, voir si via votre compte hebergé si y a moyen de faire des tache de sauvegardes automatiques
De plus les bon hebergeurs on tj un set de sauvegardes sous la main generalement sur des ftp exterieurs
de plus le commun des hebergeurs sont montés en Raid , donc meme si on casse le forum placé sur raid 0 ,pas de stress raid1 est la pour recuperer la copie conforme du forum
Donc 1 save manuelle perso ,une save hebergeur ,une save raid 1 ,et si possible une save auto via votre compte hebergé
avec cette recette les hackeurs peuvent venit tt casser ,ça prends 1 min pour remettre en ligne un tuc que le hackeur a peut etre mis 2 h pour casser ,c pas poilant a souhait comme truc ça ?
moi je trouve ;)
Evil-Angel
 

Messagepar Saint-Pere » 12 Juin 2007 à 12:26

t'as dis un truc qui est totalement faux.. le raid est automatique.. il te protege donc en cas de crash disque mais en aucun cas d'un delete ou d'un hack du serveur. Le raid fonctionne par copie conforme de chaque bit modifié sur le disque maitre. Ca n'a donc rien a voir avec des backups.


Comme tu l'as dis les vrais hackers ont autre chose de plus intéréssant à faire que de pénétrer un script donc le code source est publié.. C'est nettement plus marrant de pénétrer un site dont le code est personnel et donc secret.

Par contre si tu mets à jour ton forum régulierement tu limites les risques de te faire hacker. Ceux qui se font défacer sont ceux qui ne mettent pas à jour régulierement.
Saint-Pere
Apprenti-floodeur
Apprenti-floodeur
 
Messages: 1138
Enregistré le: 26 Mar 2004 à 15:05
Localisation: Sur Malleo

Messagepar Evil-Angel » 12 Juin 2007 à 12:42

salut Sp , tu fais bien de me reprendre avec les Raids
effectivement tu a raison ,si un mini bit est changé le mirroir le sera aussi
dans le cadre d'utilisation d'un £Raid de type 1 et le plus courrant en domaine d'hebergements
maintenant on parle de plus en plus du Raid5 , c le meme que le raid 0 et 1 ,mais ce qui change avec le 5 c que des morceaux de sites-forum trainent un peu partout dans le reseau hébergé
raaa j'ai tro difficile d'expliquer avec mes mots
la ici ;) http://fr.wikipedia.org/wiki/Redundant_ ... %28RAID%29

sinon c clair un pirate qui vien bousiller un forum au script publique moi je lui decerne pas de medailes
le genre de gugus qui s'amuse a faire cela generalement c'est des ados boutoneux en crise d'identité et d'adrenaline qui on chopé un tool et generalement ils leur faut 1 mois pour comprendre le fonctionement lol

la mise a jours du forum est une chose a faire de maniére scupuleuse
pour limiter la casse
en 2.022 les failles sont bien presentes ,mais reelement pas faciles a exploiter pour le commun des mortels
donc on monte dans une categorie de gens plus eveillés pour pouvoir faire de la casse
donc on en reviens a dire un bon hacker ne viendra jamais casser un phpBB ,car c meme pas fun

ps: pour raid je parle du raid 5 orthogonal
Evil-Angel
 

Messagepar Saint-Pere » 12 Juin 2007 à 13:09

raid de 0 à 5 ca ne change rien.. plus t'augmente en technologie RAID plus tu augmentes tes performances d'acces lecture/ecriture disque, tes performances en cas de crash disque.. MAIS ca ne changera rien dans le cas d'une attaque de hacker qui va supprimer un ou des fichiers, modifier un ou des enregistrements SQL..

Il faut faire des backups c'est la seule sécurité : soit en automatique par l'hebergeur (le plus simple), soit manuellement avec pourquoi pas un systeme de tache CRON qui vont aller sauvegarder tes backup ailleurs (autre serveur/ autre hebergeur) ensuite..


Bon après faut pas non plus être parano.. il y a pas des hackers ou plutôt crackers à chaque coin de rue. Le gros risque est de passer dans le filet d'un script kiddies qui recherche des forum de version 2.X dont des failles sont exploitables.. là ca passe par google par exemple donc t'y peux rien (sauf faire les maj)... faut pas non plus embetter les crackers.. même si ils sont cons faut pas sortir de St Cir pour savoir appuyer et faire un pouet pouet défacage de site.
Saint-Pere
Apprenti-floodeur
Apprenti-floodeur
 
Messages: 1138
Enregistré le: 26 Mar 2004 à 15:05
Localisation: Sur Malleo

Messagepar Evil-Angel » 12 Juin 2007 à 15:09

parano non ,mais initié
c'est vrais que certaine info forum sont identiques ce qui permets justement de laisser au jojo hacker la possibilité de rechercher des forums bien precis et de casser le forum


le pire etant
Powered by phpBB © 2001, 2005 phpBB Group
Traduction par : phpBB-fr.com


et l'ultra pire etant les vieux forums ou l'on voyait encore la version exploitée
dans le cas des vieux forum fo pas avoir fait l'université pour taper une page ou deux php ou perl sur ftp et d'injecter tout cela avec une requete dans l'url de la victime

Ceci dit a partir de la version 2.020 les failles sont de plus en plus raides a exploiter ,et heureusement ^^

Raid 5 ? raid 5 n'est pas monté en mirroir et par la suite une fois encore tout le bazard est repartis dans la grappe des disques durs ?^
Ceci dit rien de tel que le backup manuel et de tout reinmporter sur le pc sois meme comme un grand ,pour moi c'est la plus grosse secu que l'on peu mettre en place
Evil-Angel
 

Messagepar Saint-Pere » 12 Juin 2007 à 15:26

oui s'est réparti entre les disques durs mais qu'une modif soit faite naturelement par ton user apache par exemple, ou par l'admin sur la machine, ou un script sur ton site ou un hacker.. un bit ajouté/modifié/supprimé reste un bit. La carte controleur raid est bete et méchante et se contente d'effectuer les actions de copie/parité/répartition des données spécifiée par son algo.
Saint-Pere
Apprenti-floodeur
Apprenti-floodeur
 
Messages: 1138
Enregistré le: 26 Mar 2004 à 15:05
Localisation: Sur Malleo

Messagepar Evil-Angel » 12 Juin 2007 à 17:33

sp ,tention je narre le raid 5 orthogonal ,lui seul permet un mirroir geré par un controleur hardware (ou software qui est pas si mauvais que ça)
donc tu a bien dans ce cas un mirroir de dd0 sur dd1 ,ou la c vrais le moindre bit changé sera reecris en temps reel sur dd1

la ou raid5 orthogonal se differencie c'est que dans la grappe de dd tu peu recuperer tes billes ,qui elles sont a l'abris du fait que la structure de la grappe se mets a jours toutes les 24 h ou autre via les paramétres assignés dans la console admin

ce systeme est nickel ,car on a determiné que le materiel raid etait pas si fiable que ça du fait qu il a ete inventé pour mettre en place de l'hebergement a faible prix et faible cout de materiel

regarde par exemple une tres salle attaque sur un serveur via d'autres serveurs ou pc fantomes ,apres du flood intensif que se passe t il ?
Le dd0 ecris et lis comme c pas possible ,le dd1 se mets en continu a jours pour rien enfait ,et la plus part du temps le controleur raid pete un plomb apres ce genre de maltraitance informatique ,le controleur raid endomagé va mettre la panade sur dd1 et au passage dd0
apres une salle attaque generalement la maintenance doit changer le controleur ,et bien souvent les 2 dd

tu va me dire que des filtres sont present pour limiter le flood serveur
mais bon la encore c assez facile a dejouer comme truc via des boucle ou autres truc du genre

donc le reel interet du raid 5 ortho ,est justement de recuperer les billes perdues dans la grappe

Maintenant moi je prefere payer un peu plus cher mon hebergement et benificier d'un hebergement ou que je sais que le prestataire fera appel a une compagnie exterieure pour les backups

Autres choses qui pourrais bien etre dit ,c'est que le prestatataire d'hebergement est tennu de sauvegarder tes données journanelement ou derogations par contracts ,c la loi l'hébergeur se doit de mettre a l'abris toutes activités logs appache et donnéee client plus de six mois meme apres fermeture du compte

Donc avoir un forum cassé chez un hebergeur xyz ,si celui-ci ne peu le restaurer ,fuiez l'hebergeur car il est soit de mauvaise volonté soit hors la loi ;) ou alors un gros et eternel imcompetent :twisted:
Evil-Angel
 

Suivante

Retourner vers Discussions générales

 


  • Articles en relation
    Réponses
    Vues
    Dernier message

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 1 invité