injection SQL
Le
Pierre Allken-Bernard
Bonjour,
J'ai un petit site web perso (Apache, Debian).
Je précise que je connais tout ça extrêmement superficiellement (et que je ne suis pas informaticien).
J'ai reçu un mail d'un inconnu qui me dit que mon site est "vulnérable", "injection SQL", "accès
à mon identifiant SQL", etc.
J'ai cru à un spam, mais comme le français était correct,
j'ai répondu pour voir, et comme j'ai reçu une réponse, je me dit que
c'est peut être une vraie personne qui m'a écrit :) voire que mon site est peut être "vulnérable".
Mais plutôt que de prendre conseil avec cette personne (inquiétante et peu bavarde),
je me tourne vers cette aimable liste :
Qu'ai mal fait (ou pas fait) dans la configuration de Apache ?
(je précise que, grosso modo, je n'ai rien fait dans la configuration de Apache)
Merci d'avance.
PS. Dois-je stopper Apache le temps que vous me répondiez ? ;)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110218131835.GB28682@allken-bernard.org
J'ai un petit site web perso (Apache, Debian).
Je précise que je connais tout ça extrêmement superficiellement (et que je ne suis pas informaticien).
J'ai reçu un mail d'un inconnu qui me dit que mon site est "vulnérable", "injection SQL", "accès
à mon identifiant SQL", etc.
J'ai cru à un spam, mais comme le français était correct,
j'ai répondu pour voir, et comme j'ai reçu une réponse, je me dit que
c'est peut être une vraie personne qui m'a écrit :) voire que mon site est peut être "vulnérable".
Mais plutôt que de prendre conseil avec cette personne (inquiétante et peu bavarde),
je me tourne vers cette aimable liste :
Qu'ai mal fait (ou pas fait) dans la configuration de Apache ?
(je précise que, grosso modo, je n'ai rien fait dans la configuration de Apache)
Merci d'avance.
PS. Dois-je stopper Apache le temps que vous me répondiez ? ;)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110218131835.GB28682@allken-bernard.org
Poser une question
Bonjour,
Les injections SQL ne viennent pas de la configuration d'Apache mais du
code de l'application que fait tourner ton apache.
Si tu as juste un site web avec du contenu statique (en gros, si tu n'as
pas de base de données derrière), tu ne peux être sensible aux
injections SQL.
Alors utilise-tu une base de données (certainement Mysql ) ?
Comme solution de repli temporaire (Vaut mieux toujours amélirer le
code), tu peux installer un waf : libapache-mod-security
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
il existe des sites (ou des pgms) plutôt en Anglais qui scanne les URLs
(un peu comme un moteur de recherche) et affiche les vulnérabilità ©s,
je me rappelle que chez certains on pouvait envoyer notre propre URL
pour scan et recevoir le résultat sous 48H.
'gade ici: http://sectools.org/web-scanners.html
...
--
... I see TOILET SEATS ...
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Le vendredi 18 février 2011, Pierre Allken-Bernard a écrit...
Ce n'est pas lié à Apache, mais au code du site ouèbe. Une saisie de
formulaire doit être mal traitée et doit laisser passer une chaîne de
caractère qui permet de faire de l'injection sql.
Tu trouveras abondance de documentation sur le ouèbe.
--
jm
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
--------------enig1E41005358EC753B6BE2F0FB
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
Le 18/02/2011 14:40, Jean-Michel OLTRA a écrit :
J'ai vu que tu utilisais phpMyAdmin, c'est peut-être une vieille ver sion
qui contient une telle faille.
Je rappelle quand même quelques conseils quand on utilise cette inte rface,
1) on ne met pas de lien vers elle sur la page principale de son site
2) on change l'url à laquelle elle apparaît (plutôt que
http://monsite/phpmyadmin, on peut mettre http://monsite/prout/)
Cela dit, la faille peut également venir d'un des autres services qu e tu
mets à disposition sur ton site. Vérifie que tu utilises bien l es
dernières versions de WebCalendar, etc.
Cordialement,
--------------enig1E41005358EC753B6BE2F0FB
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iQIcBAEBAgAGBQJNXnj4AAoJEML91QheKxFeQVwP/1Hn/avB0lej1CZ7Yat/aeH/
/Cx9ApCGZNDdg/TveqFbQ9N5/MJMroyqkyQ4Lzi4rVA8BEHta0YH7qgoVEgmSXPl
laXEkddGZparMBMungnP5L+q1ZM1fweCWg9WUEJjuFOdarLnSA7D+TKv6cthXIef
JLt+XLTvL0b7I6xWLYzNshyLcNmaqzK79Q7mZNVj6F113bK2Ws/BfhDHbey8bwtI
aGr9bfQXvnD4EKfHu5tzx3xfCQtj8P2sM0rKd4ZmhRSliJmVWj9qO1irus1JCoti
H9Ub3ALYYISybgSqVLg4xKPbOdEbGzKbmEjgoBS6g8E6iVQbW7wfV73+0fETRUpn
pMGSHHDsb7PFocEQl6G/ZgaH8yEQxCOqwvX3unSyILtLTzTLTHFCgOWUMNSuxflx
XnY5e8HASRk7rZ933jDpyjtGqd8gMcKd4NQQBzVjoHY19rQz+/f+TzRuH6SiUnRb
2ZP8arx64FuPHC4dr5bpLd2bx0oSATOsp7IsNRo5erE20xa8/YLQPQ0XxbNYRtyX
iwraR4EkfO4CEc8nklveJoRwpHIDm18/smIAPrVscYAvBlhITljnBh9AxTRMcew/
QQwSw38TDZsCTBtTohGOvfwZeHutAFGtDWCpdVdcoPLJ1pnZ+gqxjvHycchPi7iS
dqGu5kc+Y+/C2jNbRUW7
=V8nz
-----END PGP SIGNATURE-----
--------------enig1E41005358EC753B6BE2F0FB--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Le vendredi 18 février 2011, Pierre Allken-Bernard a écrit...
C'est ça. Il doit manquer du traitement de protection des saisies sur
les formulaires, genre guillemets simple, par exemple, qui sont
fortement utilisés dans les injections sql.
--
jm
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/