injection SQL

Le
Pierre Allken-Bernard
Bonjour,
J'ai un petit site web perso (Apache, Debian).
Je précise que je connais tout ça extrêmement superficiellement (et que je ne suis pas informaticien).
J'ai reçu un mail d'un inconnu qui me dit que mon site est "vulnérable", "injection SQL", "accès
à mon identifiant SQL", etc.
J'ai cru à un spam, mais comme le français était correct,
j'ai répondu pour voir, et comme j'ai reçu une réponse, je me dit que
c'est peut être une vraie personne qui m'a écrit :) voire que mon site est peut être "vulnérable".
Mais plutôt que de prendre conseil avec cette personne (inquiétante et peu bavarde),
je me tourne vers cette aimable liste :

Qu'ai mal fait (ou pas fait) dans la configuration de Apache ?

(je précise que, grosso modo, je n'ai rien fait dans la configuration de Apache)

Merci d'avance.

PS. Dois-je stopper Apache le temps que vous me répondiez ? ;)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110218131835.GB28682@allken-bernard.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
MF Debian List
Le #23137531
On 18/02/2011 14:18, Pierre Allken-Bernard wrote:
Bonjour,
J'ai un petit site web perso (Apache, Debian).
Je précise que je connais tout ça extrêmement superficiellement (et que je ne suis pas informaticien).
J'ai reçu un mail d'un inconnu qui me dit que mon site est "vulnérable", "injection SQL", "accès
à mon identifiant SQL", etc.
J'ai cru à un spam, mais comme le français était correct,
j'ai répondu pour voir, et comme j'ai reçu une réponse, je me dit que
c'est peut être une vraie personne qui m'a écrit :) voire que mon site est peut être "vulnérable".
Mais plutôt que de prendre conseil avec cette personne (inquiétante et peu bavarde),
je me tourne vers cette aimable liste :

Qu'ai mal fait (ou pas fait) dans la configuration de Apache ?

(je précise que, grosso modo, je n'ai rien fait dans la configuration de Apache)

Merci d'avance.

PS. Dois-je stopper Apache le temps que vous me répondiez ? ;)




Bonjour,
Les injections SQL ne viennent pas de la configuration d'Apache mais du
code de l'application que fait tourner ton apache.
Si tu as juste un site web avec du contenu statique (en gros, si tu n'as
pas de base de données derrière), tu ne peux être sensible aux
injections SQL.
Alors utilise-tu une base de données (certainement Mysql ) ?

Comme solution de repli temporaire (Vaut mieux toujours amélirer le
code), tu peux installer un waf : libapache-mod-security


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Yves F. Barbier
Le #23137661
On Fri, 18 Feb 2011 14:18:35 +0100, Pierre Allken-Bernard

il existe des sites (ou des pgms) plutôt en Anglais qui scanne les URLs
(un peu comme un moteur de recherche) et affiche les vulnérabilità ©s,
je me rappelle que chez certains on pouvait envoyer notre propre URL
pour scan et recevoir le résultat sous 48H.

'gade ici: http://sectools.org/web-scanners.html

...
ne suis pas informaticien). J'ai reçu un mail d'un inconnu qui me di t que
mon site est "vulnérable", "injection SQL", "accès à mon i dentifiant SQL",
etc. J'ai cru à un spam, mais comme le français était corr ect,
j'ai répondu pour voir, et comme j'ai reçu une réponse, je me dit que
c'est peut être une vraie personne qui m'a écrit :) voire que m on site est
peut être "vulnérable". Mais plutôt que de prendre conseil avec cette
personne (inquiétante et peu bavarde), je me tourne vers cette aimab le
liste :

Qu'ai mal fait (ou pas fait) dans la configuration de Apache ?

(je précise que, grosso modo, je n'ai rien fait dans la configuratio n de
Apache)




--
... I see TOILET SEATS ...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Michel OLTRA
Le #23137671
Bonjour,


Le vendredi 18 février 2011, Pierre Allken-Bernard a écrit...


J'ai reçu un mail d'un inconnu qui me dit que mon site est
"vulnérable", "injection SQL", "accès à mon identifiant SQL", etc.

Qu'ai mal fait (ou pas fait) dans la configuration de Apache ?

(je précise que, grosso modo, je n'ai rien fait dans la configuration
de Apache)

PS. Dois-je stopper Apache le temps que vous me répondiez ? ;)



Ce n'est pas lié à Apache, mais au code du site ouèbe. Une saisie de
formulaire doit être mal traitée et doit laisser passer une chaîne de
caractère qui permet de faire de l'injection sql.

Tu trouveras abondance de documentation sur le ouèbe.

--
jm

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Fabien Givors (Debian packages)
Le #23137641
This is an OpenPGP/MIME signed message (RFC 2440 and 3156)
--------------enig1E41005358EC753B6BE2F0FB
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Le 18/02/2011 14:40, Jean-Michel OLTRA a écrit :

Bonjour,


Le vendredi 18 février 2011, Pierre Allken-Bernard a écrit...


J'ai reçu un mail d'un inconnu qui me dit que mon site est
"vulnérable", "injection SQL", "accès à mon identifiant SQL", etc.





J'ai vu que tu utilisais phpMyAdmin, c'est peut-être une vieille ver sion
qui contient une telle faille.
Je rappelle quand même quelques conseils quand on utilise cette inte rface,
1) on ne met pas de lien vers elle sur la page principale de son site
2) on change l'url à laquelle elle apparaît (plutôt que
http://monsite/phpmyadmin, on peut mettre http://monsite/prout/)

Cela dit, la faille peut également venir d'un des autres services qu e tu
mets à disposition sur ton site. Vérifie que tu utilises bien l es
dernières versions de WebCalendar, etc.

Cordialement,


--------------enig1E41005358EC753B6BE2F0FB
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
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=V8nz
-----END PGP SIGNATURE-----

--------------enig1E41005358EC753B6BE2F0FB--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Michel OLTRA
Le #23137651
Bonjour,


Le vendredi 18 février 2011, Pierre Allken-Bernard a écrit...


Donc Apache est innocenté, au temps pour moi, et c'est mon code php
qui est incomplet, c'est ça ?



C'est ça. Il doit manquer du traitement de protection des saisies sur
les formulaires, genre guillemets simple, par exemple, qui sont
fortement utilisés dans les injections sql.

--
jm

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Pierre Allken-Bernard
Le #23137621
Le 18/02/2011 à 14:35:28, MF Debian List a écrit :
Les injections SQL ne viennent pas de la configuration d'Apache mais du
code de l'application que fait tourner ton apache.
Si tu as juste un site web avec du contenu statique (en gros, si tu n'as
pas de base de données derrière), tu ne peux être sensible aux
injections SQL.
Alors utilise-tu une base de données (certainement Mysql ) ?



Merci.
Oui, mon site utiliser une base de données Mysql, et j'ai quelques pages web qui sont des formulaires
qui renvoient vers des pages en php qui lisent et écrivent dans la base de donnée.
Donc Apache est innocenté, au temps pour moi, et c'est mon code php
qui est incomplet, c'est ça ?

Comme solution de repli temporaire (Vaut mieux toujours amélirer le
code), tu peux installer un waf : libapache-mod-security



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Pierre Allken-Bernard
Le #23137631
Le 18/02/2011 à 14:49:38, Fabien Givors (Debian packages) a écrit :
J'ai vu que tu utilisais phpMyAdmin, c'est peut-être une vieille version
qui contient une telle faille.
Je rappelle quand même quelques conseils quand on utilise cette interface,



Pour moi ce n'est pas vraiment un rappel.

1) on ne met pas de lien vers elle sur la page principale de son site
2) on change l'url à laquelle elle apparaît (plutôt que
http://monsite/phpmyadmin, on peut mettre http://monsite/prout/)

Cela dit, la faille peut également venir d'un des autres services que tu
mets à disposition sur ton site. Vérifie que tu utilises bien les
dernières versions de WebCalendar, etc.



En fait, il n'y a pas grand chose à jour. Je vais supprimer ce
que je n'utilise pas, et mettre à jour ce que j'utilise,

Merci.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Bernard Yata
Le #23137721
Bonjour Pierre,

Comme déjà répondu par la liste, la problématique se positionne au
niveau du code de l applicatif embarqué avec Apache, je suppose du php ici.
Il existe des outils te permettant une premiere analyse et detection des
url vulnérables, parmis les débianisés :

- wapiti
- nikto
- openvas (anciennement nessus)
- certains modes de nmap
- paros proxy

non débianisé mais qui est à noter : burp proxy


Bien à toi,

Jean-Bernard

--
Best regards,

--

Jean-Bernard Yata
System Engineer

Debian France Mirror Maintainer : debian.revolsys.fr
--

Linux Debian User Group & Community :
IRC : irc.debian-mirror.com/#linux
WWW : http://www.debian-mirror.com

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Dominique Asselineau
Le #23137751
Pierre Allken-Bernard wrote on Fri, Feb 18, 2011 at 02:18:35PM +0100
Bonjour,
J'ai un petit site web perso (Apache, Debian).
Je précise que je connais tout ça extrêmement superficiellement (et que je ne suis pas informaticien).
J'ai reçu un mail d'un inconnu qui me dit que mon site est "vulnérable", "injection SQL", "accès
à mon identifiant SQL", etc.
J'ai cru à un spam, mais comme le français était correct,
j'ai répondu pour voir, et comme j'ai reçu une réponse, je me dit que
c'est peut être une vraie personne qui m'a écrit :) voire que mon site est peut être "vulnérable".
Mais plutôt que de prendre conseil avec cette personne (inquiétante et peu bavarde),
je me tourne vers cette aimable liste :

Qu'ai mal fait (ou pas fait) dans la configuration de Apache ?

(je précise que, grosso modo, je n'ai rien fait dans la configuration de Apache)



Le fichier de config contient très probablement les login et mot de
passe d'accès à la base de données, et peut-être y a-t-il un moyen de
lire en clair ce fichier de config, par un autre protocole que HTTP
par ex. ou en HTTP s'il y a un défaut de config du serveur Apache, ou
bien si l'application n'est vraiment pas secure (param. de config dans
un fichier texte non filtré par Apache).

Et puis la base de données ne devrait pas être accessible depuis une
machine externe, du moins pas avec les mêmes codes d'accès.

Dominique
--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
MF Debian List
Le #23137761
On 18/02/2011 14:51, Jean-Bernard Yata wrote:
Bonjour Pierre,

Comme déjà répondu par la liste, la problématique se positionne au
niveau du code de l applicatif embarqué avec Apache, je suppose du php
ici.
Il existe des outils te permettant une premiere analyse et detection
des url vulnérables, parmis les débianisés :

- wapiti
- nikto
- openvas (anciennement nessus)
- certains modes de nmap
- paros proxy

non débianisé mais qui est à noter : burp proxy


Bien à toi,

Jean-Bernard



Je suis Ok avec ces Outils, on a encore w3af et toutes la série de l'OWASP.
Bon OpenVAS, c'est un peut tirer une roquette pour une fourmi
et si je me rappelle bien, Pierre a signalé qu'il était débutant en
informatique, donc l'interprétation des résutats peut-être compliquée,
surtout avec les nombreux faux négatifs que ça amène.

le plug-in firefox sql Inject est peut-être moins efficace, mais il a
l'avantage d'être simple et d'indiqué où est l'injection et quels sont
les caractères non-échappées.
Après, d'un point de vue personnel, Paros Proxy me paraît le meilleur
d'entre eux, au moins pour vérifier que le mail reçu n'est pas un canular.

Après vérification,Pierre, de toute façon, le mieux est que tu te
rapproches du code.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme