Comment se proteger d'une injection sql

Bonjour tout le monde, ou devrais-je dire bonne nuit ?

 Ouioui chez moi il est minuit et je me lève à 6h demain :S 

Mais rassurez - vous ! J'ai une vie x)

Le sujet de cet article L'injection sql. Hier j'ai publié un article pour vous montrer comment faire une attaque de ce genre maintenant vous allez apprendre a vous défendre !  Cette faille ( SQL ) est au niveau de la programmation.

Pour la corriger :

Si vous êtes Hébergeur : VOUS DEVEZ ACTIVER LA FONCTION get_magic_quotes_gpc()

Si vous etes webmaster :

et que votre hébergeur a désactivé la fonction get_magic_quotes_gpc() alors vous pouvez etre victime d'injection SQL.
Pour vous protéger vous et vos membres, utilisez la fonction addlashes() qui rajoute des anti-slashs devant les quotes ' si get_magic_quotes_gpc() est désactivée.

Par exemple :

Code : PHP
$login = addslashes($_POST['login']);
$password = addslashes($_POST['password']);

Si vous êtes un utilisateur :
je vous conseille de bien choisir vos mot de passe, si possible long et avec des chiffres car comme vous avez pu le voir, ils sont bien plus durs à trouver.
Mais si l'hébergeur active la fonction magic_quotes il n'y a aucun probleme

 Mais 4nkynz, outre les problèmes de programmation qu'est-ce que je peut faire pour sécuriser ma base de donné ?

- Tout d'abord, evitez d'utiliser un compte ayant tous les pouvoirs pour l'execution de votre serveur sql si possible.

- Supprimer les fonctions que vous n'utilisez pas

- verifiez les entrees utilisateurs telles que les champs de texte. verifiez aussi que les nombres attendus soient bien des nombres avec une fonction telle que IsNumeric() par exemple.

- verifiez aussi les parametres des URL qui sont ajoutables.

- Utilisez les caracteres et fonctions d'echappement telles que AddStripSlashes() en php, voir les caracteristiques de la fonction et en general les documentations de vos languages de programmation web pour plus d'infos. Cela empechera par exemple l'entree utilisateur du caractere ' en l'echappant à l'aide d'un slash le precedant.

- Vous pouvez aussi empecher d'une maniere generale certaines sequences d'entrees utilisateurs telles que ";", "insert", "select", "//", "--", etc.

- Attention aussi à limiter le nombre de caracteres qu'un utilisateur peut entrer dans un champ de texte, car ceci peut fort bien lui compliquer la tache.

- Pour finir, attention à ce que vous mettez dans les cookies, car un mot de passe (meme crypter en md5) est vite trouvé par une attaque de ce type. Et par la suite un remplacement de cette valeur dans le cookie ïncite l'attaquant à une attaque de type brute force ; c'est donc un joli cadeau. 

Alors voila faites sa et meme moi aurais de la difficulter à pénétrer dans votre site web 

Comment se proteger d'une attaque Man in the middle

Bonjour tout le monde, il y a quelques semaines je vous ai montrer comment faire une attaque man in the middle mais, maintenant je voudrais vous montrer comment vous défendre parce qu'avouons le quand quelqu'un procédé à ce type d'attaque c'est assez chiant, surtout si vous êtes sur un site por... hum embarrassant ... de vous faire découvrir en plus il y a les e-mails, les messages de blogs, les mot de passes. Enfin, tout ce que vous voyez le pirate le vois. Alors pour contrer cette attaque il faut que vous utilisiez une des solutions suivante :
- Passer par un VPN
- Passer par un Proxy
- Demander un certificat de sécurité à la cible ( https )
- Ne pas vous connecter sur un réseau publique ( hot spot )
- S écuriser votre router avec une clé WPA2 d'au moins 15 caractères
- S'assurer qu'il n'y a aucun virus sur les machines voisines
- Installer un anti-virus
- Regarder s'il y a des requêtes arp douteuse passant par votre carte réseaux

Alors si vous faites tous cela vous pouvez être sur de ne JAMAIS être victime d'une attaque MITM.





*** Dans cet article jai utilisé MITM pour dire Man in the middle
ou homme du millieu. Je dis cela pas parce que je vous prend pour des cons mais parce qu'au début javais moi-meme mal compris cette abréviation xD

Comment se proteger d'une attaque DDOS

Bonjour tout le monde il y a quelque semaines de cela jai fait un petit article sur comment faire une attaque DOS, aujourdhui je vais vous montrez comment vous defendre.

Se defendre d'une attaque DDOS est tres dur car elle viens de plusieurs machines
Pour les grosses entreprises il existe des solutions firewall, grosse connexion permettant d'encaisser l'attaque.
Mais pour les particuliers ou les petites compagnie. Il en existe peu car comme je le disais plus tot cet attaque viens de plusieurs ordinateurs
les logiciels comme fail2ban pour bannir les connexions ne servent absolument à rien car la connexion entrerait puis se ferait bannir. Donc le DOS marcherait tout de meme. Si vous avez un maximum de bande-passante fermez l'ordinateur le plus vite possible. Malheureusement il y a un risque de vous faire voler votre adresse ip par un pirate. Mais bon il faut choisir :D

Donc, si des pirates s'en prennent a vous par une attaque DDOS je vous souhaites bonne chance car il n'existe aucune defence pour ce type d'attaque nous l'avons vu l'an passee autour du mois mars-avril les anonymous en action avec Sony. Pendant quelque semaines l'infrastructure a ete indisponible.

Protection VBs ( Virus dans une page web)

Bon maintenant je vous ai montrez comment exploiter certaine faille sur internet. Mais la protection, vous en faites quoi?!

Alors aujourdhui je vous montrerez comment vous proteger face au Vbscript dans une page web.

Sur Mozilla il existe un petit programme nommé Noscript il permet, entre-autre d'empecher certain script de fonctionner le javascript et le VBscript. Il vous permet d'ajouter des exceptions. Tres pratique!

En réponse a l'article Virus .bat/html

Windows vs. Linux

Bonjour tout le monde, je vous écrit car jai lu quelque part sur internet que windows a annoncé la sortie de windows 8 en octobre 2012.

Donc, la question est : Dois-je acheter Windows 8?

Ou pas!

Personnellement étant un fervant defenseur du open source je vous dirais Linux, mais vous êtes assez grand pour choisir vous-meme. Je vais vous présenter les points forts et faibles de chacun.

Windows :

+Il possède plus de 90% du marcher

+Un travail est facile a trouver

+Les Jobs sont payantes

+Support rapide

+Politique de dédomagement pour les entreprises

-Communauté de Lamers, qui au-lieu d'avouer qu'ils ne savent pas la réponse nous envoi promener

-Virus nombreux

-Firewall OBLIGATOIRE

-Anti-virus OBLIGATOIRE

-PAYANT

-Faille Nombreuses

-Virus VBS prossible ( voir l'article comment mettre un virus dans une page web

Linux / Unix

+Sécuritaire

+Application facilement installable grace a la logithèque

+Open Source

+Ne néssécite pas, laplupart du temps d'anti-virus ou de pare-feu

+Peu ou pas de virus

+Plus leger

+Application Wine permettant de faire tourner les programmes windows sur sa machine

+GRATUIT

+Communauté interractive

+Gestion Avancée d'utilisateurs

-Possede environ 5% du marche

-Job peu payante

-Job dure a trouver

+/- Je n'ai jamais appeler le support je n'en n'ai jamais eu de besoin mes questions étaient déjà poser sur le site officiel d'Ubuntu

-Politique de dédomagement pour entreprises Inexistante

Alors voilà en esperant vous avoir aidé et éclairci dans votre choix