Florian Posté 21 Mai 2005 Posté 21 Mai 2005 Bonsoir, n'ayant pas trop de connaissance dans le domaine de sécurité sur un site web je suis donc confronté à un problème aujourd'hui. Le serveur de mon hébergeurs avait mit mon site hors ligne car il le considérais comme mal sécurisé et il disait qu'on pouvait facilement le pirater. Mon hébergeur me l'a bien sur remis en ligne et m'a expliqué qu'il fallait sécurisé un peu plus. Alors si vous avez des conseil la dessus. Mon site comporte un peu de php et beaucoup d'html. Merci d'avance à vous
MS-DOS_1991 Posté 21 Mai 2005 Posté 21 Mai 2005 Bonsoir Florian Avant toute chose, quelle est l'adresse du site concerné ?
Florian Posté 21 Mai 2005 Auteur Posté 21 Mai 2005 voici donc l'adresse www.foirefm.com Espérons qu'il soit encore disponible pour le moment
MS-DOS_1991 Posté 22 Mai 2005 Posté 22 Mai 2005 (modifié) Re-Bonjour, Avant tout, code sécurisé = code propre EDIT: Cette remarque ne s'applique bien évidemment qu'au PHP De ce côté, sais-tu dans quel(s) fichier(s) des failles sont présentes ? Le meilleur moyen est de publier une partie de ton code php (sur le forum ou par MP ) A noter: Les principales failles d'un site se situent le plus souvent autour du forum, du chat, de la newsletter et du livre d'or... A suivre... En ce qui concerne le code html par contre...le rapport du Validateur XHTML signale entre 46 et 189 erreurs de codage. (selon le doctype utilisé) <html> <head> <title>.:: FoireFM ::. </title> <meta name="generator" content="Namo WebEditor v4.0"> <meta name="description" content="FoireFm la 1er WebRadio 100% fêtes foraines"> <meta name="keywords" content="radio, forain, ride, techno, éléctro, fete, foraine"> <style type="text/css"> <!-- .Style1 { color: #4E0081; font-weight: bold; } --> </style> </head> <body bgcolor="#FFF5F5" text="black" link="blue" vlink="purple" alink="red"> <table align="center" style="border-collapse:collapse;" cellpadding="0" cellspacing="0" width="687" bgcolor="white"> <tr> <td width="687" height="65" colspan="4"> <p> <img src="images/img38.gif" width="690" height="73" border="0" alt="img38.gif"> </p> </td> </tr> <tr> <td width="37" height="39"> <p> <a href="foirefmwinamp.m3u" target="_blank"> <img src="images/img39.gif" width="37" height="43" border="0" alt="img39.gif"></a> </p> </td> <td width="37" height="39"> <p> <a href="foirefmreal.ram" target="_blank"> <img src="images/img40.gif" width="37" height="43" border="0" alt="img40.gif"></a> </p> </td> <td width="37" height="39"> <p> <a href="foirefmwm.asx"> <img src="images/img41.gif" width="37" height="43" border="0" alt="img41.gif"></a> </p> </td> <td width="576" height="39"> <p> <img src="images/img42.gif" width="579" height="43" border="0" alt="img42.gif"> </p> </td> </tr> <tr> <td width="687" height="1" colspan="4"> <p> <img src="images/img43.gif" width="690" height="12" border="0" alt="img43.gif"> </p> </td> </tr> <tr> <td width="685" height="5" colspan="4" style="border-right-width:1; border-left-width:1; border-right-color:rgb(78,0,129); border-left-color:rgb(78,0,129); border-right-style:solid; border-left-style:solid;"> <p align="center"> <a href="accueil.htm" target="fram"> <img src="images/img75.gif" width="110" height="53" border="0" alt="img75.gif"></a> <a href="planing.htm" target="fram"> <img src="images/img74.gif" width="110" height="53" border="0" alt="img93.gif"></a> <a href="http://coasterpark.com/chat/" target="_blank"> <img src="images/img73.gif" width="110" height="53" border="0" alt="img73.gif"></a> <a href="equipe.htm" target="fram"> <img src="images/img76.gif" alt="img76.gif" width="110" height="53" border="0"></a> <a href="http://forums.foirefm.com" target="_blank"> <img src="images/img72.gif" alt="img72.gif" width="110" height="53" border="0"></a> <a href="contacts.php" target="fram"> <img src="images/img71.gif" width="110" height="53" border="0" alt="img71.gif"></a> </p> </td> </tr> <tr> <td width="687" height="8" colspan="4"> <p> <img src="images/img44.gif" width="690" height="13" border="0" alt="img44.gif"> </p> </td> </tr> <tr> <td width="685" height="245" colspan="4" style="border-right-width:1; border-left-width:1; border-right-color:rgb(78,0,129); border-left-color:rgb(78,0,129); border-right-style:solid; border-left-style:solid;"> <div align="left"> <table cellpadding="0" cellspacing="0" width="685" bordercolordark="black" bordercolorlight="black"> <tr> <td width="142" height="190" bgcolor="#4E0081"> <table align="center" cellpadding="0" cellspacing="0" width="125"> <tr> <td width="125" height="9" colspan="3"> <p align="center"> <img src="images/img87.gif" width="126" height="20" border="0" alt="img87.gif"> </p> </td> </tr> <tr> <td width="5" height="110" rowspan="4" bgcolor="#810063"> <p align="center"> </p> </td> <td width="112" height="19" bgcolor="#810063"> <p align="center"> <img src="images/img60.gif" width="101" height="19" border="0" alt="img60.gif"> </p> </td> <td width="8" height="110" rowspan="4" bgcolor="#810063" background="img89.gif"> <p align="left"> </p> </td> </tr> <tr> <td width="112" height="10" bgcolor="#C07FB1"> <p align="center"> <font color="white"> <MARQUEE onmouseover='this.stop()' direction=left onmouseout=this.start() scrollAmount=3 scrollDelay="40" width="100"> </font> <font size="1" face="Verdana" color="white"> <strong> <font size="1" face="Verdana"> <strong> <font face="Verdana, Arial, Helvetica, sans-serif"> La WebRadio FoireFM est OFF Line - </font></strong> </marquee> </font></strong> </font> </td> </tr> <tr> <td width="112" height="5" bgcolor="#810063"> <p align="center"> <img src="images/img61.gif" width="74" height="19" border="0" alt="img61.gif"> </p> </td> </tr> <tr> <td width="112" height="49" bgcolor="#C07FB1"> <p align="center"> <OBJECT ID="MediaPlayer" WIDTH="98" HEIGHT="48" CLASSID="CLSID:22D6f312-B0F6-11D0-94AB-0080C74C7E95" STANDBY="Chargement de Windows Media Player..." CODEBASE="http://activex.microsoft.com/activex/controls/mplayer/en/nsmp2inf.cab#Version=6,4,7,8,91112" TYPE="application/x-oleobject"> <PARAM name="filename" value="http://www.foirefm.com/foirefmwm.asx"> <PARAM name="uiMode" value="none"> <param NAME='AutoStart' VALUE='1'> <param NAME='WindowlessVideo' VALUE='0'> <param NAME='PreviewMode' VALUE='0'> <param NAME='AutoSize' VALUE='0'> <param NAME='AnimationAtStart' VALUE='0'> <param NAME='EnableContextMenu' VALUE='0'> <param NAME='ShowStatusBar' VALUE='1'> <param NAME='ShowControls' VALUE='1'> <param NAME='ShowAudioControls' VALUE='1'> <param NAME='ShowPositionControls' VALUE='0'> <param NAME='ShowDisplay' VALUE='0'> <param NAME='ShowTracker' VALUE='0'> <param NAME='ShowGotoBar' VALUE='0'> </OBJECT> </p> </td> </tr> <tr> <td width="125" height="17" colspan="3" bgcolor="#4E0081"> <p align="center"> <img src="images/img88.gif" width="126" height="20" border="0" alt="img88.gif"> </p> </td> </tr> </table> </td> <td width="543" height="360" rowspan="2"> <p align="center"> <iframe src="accueil.htm" name="fram" frameborder="no" width="540" height="360" scrolling="auto" > </iframe> <font color="#4E0081" size="1" face="Verdana"> <b> <br> Diver: .:: </b> <a href="http://foirefm.free.fr/pafiledb.php" target="fram"> <b>Vidéos</b></a> <b>::. .:: </b> <a href="mobile.htm" target="fram"> <b>Mobiles</b></a> <b> ::..:: </b> </font> <font size="1" face="Verdana"> <a href="newletters.htm?user=73006" target="fram" class="Style1">Newletters</a> </font> <font color="#4E0081" size="1" face="Verdana"> <b> ::.</b> </font> </p> </td> </tr> <tr> <td width="142" height="166" bgcolor="#4E0081"> <table align="center" cellpadding="0" cellspacing="0" width="125"> <tr> <td width="125" height="12" colspan="3"> <p align="center"> <img src="images/img87.gif" width="126" height="20" border="0" alt="img87.gif"> </p> </td> </tr> <tr> <td width="6" height="116" rowspan="2" bgcolor="#810063"> <p align="center"> </p> </td> <td width="111" height="19" bgcolor="#810063"> <p align="center"> <img src="images/img62.gif" width="99" height="19" border="0" alt="img62.gif"> </p> </td> <td width="8" height="116" rowspan="2" background="img89.gif"> <p align="center"> </p> </td> </tr> <tr> <td width="111" height="69" bgcolor="#C07FB1"> <P align=center> <A href="http://kurioziteou.free.fr/" target=_blank> <IMG height=31 src="images/bouton2.gif" width=88 border=0></A> <br> </P> <P align=center> <a href="http://www.djradio.fr/"> <img src="images/bouton3.jpg" width="88" height="31" border="0"></a> </P> <p align="center"> <a href="http://feteforaine.net" target="_blank"> <IMG height=31 src="images/bouton.gif" width=88 border=0></a> </td> </tr> <tr> <td width="125" height="19" colspan="3"> <p align="center"> <img src="images/img88.gif" width="126" height="20" border="0" alt="img88.gif"> </p> </td> </tr> </table> </td> </tr> </table> </div> </td> </tr> <tr> <td width="687" height="8" colspan="4"> <p> <img src="images/img45.gif" width="690" height="16" border="0" alt="img45.gif"> </p> </td> </tr> </table> </body></html> Les principales sont: Pas de Doctype Balises meta incomplètes: <meta http-equiv="Content-Type" content="application/xhtml+xml; charset=iso-8859-1" /> <meta http-equiv="Content-Script-Type" content="text/javascript" /> <meta http-equiv="Content-Style-Type" content="text/css" /> <meta http-equiv="Content-Language" content="fr-FR" /> <meta http-equiv="Expires" content="5 days" /> <meta http-equiv="Location" content="http://www.foirefm.com/index.html" /> <meta http-equiv="Window-Target" content="_top" /> [*]Pas de Slash de fermeture des balises <meta />, <img />, <br /> et <param /> (seulement au niveau xhtml) [*]Présence de nombreux attributs propriétaires (bgcolor, bordercolordark, bordercolorlight, etc) [*]Utilisation de balises obsolètes (<marquée>, <font>, etc) [*]Non utilisation du CSS et utilisation intensive des Tableaux: pas de séparation entre contenu et présentation [*]Iframe (puisque tu a la possibilité de faire du php, utilise plutôt des includes ) [*]Pas d'attributs alt (obligatoire) aux images (<img src="puce.gif" alt="*" />) Modifié 22 Mai 2005 par MS-DOS_1991
Dudu Posté 22 Mai 2005 Posté 22 Mai 2005 Re-Bonjour, Avant tout, code sécurisé = code propre Je ne vois pas en quoi du plain html, même codé avec les pieds (ou avec NamoWebEditor ce qui revient globalement au même ), pourrait présenter une faille de sécurité Les principales sont: Pas de Slash de fermeture des balises <meta />, <img />, <br /> et <param /> C'est peut-être une erreur en XHTML mais absolument pas en HTML. Essaies de mettre des slashs à la fin des balises uniques avec un doctype HTML, le validateur risque de faire la gueule (tu utilise PhPBB pour le forum, donc r.a.s de ce côté...) Justement si, là, par contre PhpBB est un gruyère au niveau de la sécurité. En plus la version utilisée n'est pas à jour. Mais vu que le forum n'est pas hébergé sur le même serveur que le site, le site ne risque rien.(pardon, amateurs de gruyère, c'est vrai que le gruyère n'a pas de trous... c'est l'emmental qui en a. Mais bon..)
Sarc Posté 22 Mai 2005 Posté 22 Mai 2005 Salut Ton hébergeur t'a pas dit où le site pouvait poser problème au niveau de la sécurité ? Ce n'est pas dans ton code HTML mais plus dans ton code PHP à mon avis qu'il faut fouiller... Demande à ton hébergeur ce qui lui fait dire que ton site est un emmental, et puis si tu ne trouves pas de problèmes dans le code qu'ils te donnent, tu pourras nous le montrer et on t'aidera rapidement à arranger ce problème
Dudu Posté 22 Mai 2005 Posté 22 Mai 2005 Y'a une faille de sécurité monstrueuse dans PhpArena, la version de paFileDB que tu utilises est-elle à jour ? Tous les sites de sécurité/exploit/h4ck3r2 & cie parlent justement de la version 3.1 (dont tu te sers)
Florian Posté 22 Mai 2005 Auteur Posté 22 Mai 2005 Bonsoir à tous, beaucoup de réponse ont été donné à mon sujet merci beaucoup. Je vais essayer de vous répondre à tous De ce côté, sais-tu dans quel(s) fichier(s) des failles sont présentes ?Le meilleur moyen est de publier une partie de ton code php (sur le forum ou par MP ) Non je ne sais pas du tout dans quel(s) fichier(s) les failles de sécurité son présente. Ensuite pour mon code php seul le code pour afficher les musiques en cours de diffusion est en php (sur l'index) et il fait appèlle à mon streaming. Justement si, là, par contre PhpBB est un gruyère au niveau de la sécurité. En plus la version utilisée n'est pas à jour. Mais vu que le forum n'est pas hébergé sur le même serveur que le site, le site ne risque rien.(pardon, amateurs de gruyère, c'est vrai que le gruyère n'a pas de trous... c'est l'emmental qui en a. Mais bon..) Oui mon forum n'est pas encore à jour car je n'est pas accès au ftp. Sinon il va bientôt se retrouver sur le même serveur donc là je vais installé la mise à jour. Salut Ton hébergeur t'a pas dit où le site pouvait poser problème au niveau de la sécurité ? Ce n'est pas dans ton code HTML mais plus dans ton code PHP à mon avis qu'il faut fouiller... Demande à ton hébergeur ce qui lui fait dire que ton site est un emmental, et puis si tu ne trouves pas de problèmes dans le code qu'ils te donnent, tu pourras nous le montrer et on t'aidera rapidement à arranger ce problème Non mon hébergeur ne m'a pas dit d'où pouvais venir la faille de sécurité et m'a proposer de faire mon site en xhtml je crois que c'est ça et il c'est proposer pour me le faire gratuitement (mais le problème c'est que je change d'hébergeur dans quelques jours ) Y'a une faille de sécurité monstrueuse dans PhpArena, la version de paFileDB que tu utilises est-elle à jour ?Tous les sites de sécurité/exploit/h4ck3r2 & cie parlent justement de la version 3.1 (dont tu te sers) Je ne sais pas si elle est à jour, de plus elle se trouve sur un hébergeur gratuit donc je ne pense pas que la faille vient de ça
Dudu Posté 22 Mai 2005 Posté 22 Mai 2005 Ah oui, je n'avais pas fait gaffe que paFileDB était sur l'hébergement Free. En tous cas, mets la à jour, parce que çà + PhpBB sur un même espace, tu vas bousiller ton compte Free Non mon hébergeur ne m'a pas dit d'où pouvais venir la faille de sécurité et m'a proposer de faire mon site en xhtml je crois que c'est ça et il c'est proposer pour me le faire gratuitement (mais le problème c'est que je change d'hébergeur dans quelques jours ) Pile le genre de trucs qui me rend méfiant AMHA, tu fais bien de quitter cet hébergeur...
Florian Posté 22 Mai 2005 Auteur Posté 22 Mai 2005 Pour le forum et PafileDb je vais le mettre à jour avant de l'up sur mon nouvelle hébergeur et je ne sais pas si je fais bien de changer d'hébergeur car c'était un très bon hébergeurs pas cher et avec un service client vraiment génial enfin bon on verra bien avex le nouveau
Sarc Posté 22 Mai 2005 Posté 22 Mai 2005 "Bonjour, vous avez des failles de sécurité, faut passer votre site en xHTML, on vous le fait gratuitement contre une augmentation de votre forfait" Merci l'hébergeur Rapport sécurité / xHTML ? Faudra me dire Suis l'avis de Dudu lol
Florian Posté 22 Mai 2005 Auteur Posté 22 Mai 2005 Lol non je ne pense pas qu'ils auraient augmenter mon forfait contenu que c'était en quelques sorte un ami enfin bon je n'ai pas accepter de toute façon et je crois que j'ai bien fait
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant