Comment les hackers arrivent t-il a pirater et donc a s'infiltrer dans nos systèmes ?


Une chose est sur, la sécurité est une priorité dans le monde de l'informatique et d'Internet. Chaque année, de nombreuse personne sont victime de piratage ( comptes bancaire, adresse mail, Paypal, compte Facebook ...). C'est un véritable fléau et il temps pour vous d'en apprendre plus dans ce domaine afin de pouvoir sécurisé vos systèmes et éviter toute intrusion.


Les failles dites "Web"


Ils existent une multitude de faille, et même sur les plus gros site (une faille a été découverte sur Instagram et permet de pirater un compte Instagram facilement) mais nous allons dans un premier temps vous montrez toutes failles dites "web", c'est à dire des failles présentent sur vos sites Internet qui peuvent être corrigé dans votre code.


La faille XSS:


la faille xss (Cross-Site Scripting) est une faille qui permet d'injecter du code html ou javascript dans des variables par le biais d'un formulaire. Voici un exemple de script qui permet d'afficher une fenêtre grâce a une faille XSS:

<script>alert('Il y a une faille XSS')</script>


La faille SQL:


La faille SQL est une dés failles les plus exploitées par les hackers, en effet le but d'une faille SQL est de modifier une requete sur un site en injectant des données non filtré. C'est une faille qui peut-être très puissant si elle est bien exploitée.
Pour vous en protéger, il vous suffit de bien sécurisé vos variables GET ( $_GET ) et d'utiliser PDO avec les requéte préparé de ce type:

$req = $bdd->prepare("SELECT * FROM utilisateurs WHERE login= ? AND password= ?");

La faille upload:


Attention a la faille upload ! C'est une faille qui peux ce réveler très dangereuse sur votre site ! En effet si vous proposez a vos utilisateurs de mettre une photo de profil sur votre forum ou bien d'uploder ces photos de vacance, il faut veuillez a ce l'extension du fichier soit la bonne avant de l'uploder sur votre serveur. Une personne mal intentionné pourra ( si ce n'est pas sécurisé ) uploader un shell (type c99php par exemple) sur votre serveur et pourra ensuite en prendre la controle. Pour vérifié le l'extension du fichier que l'utilisateur veux upload, il faut rajouter ces quelques ligne dans le traitement de votre formulaire:


// On crée un tableau avec les extensions autorisées
$legalExtensions = array("JPG", "PNG", "GIF", "TXT");
// On récupère l'extension du fichier soumis et on vérifie qu'elle soit dans notre tableau
$extension = pathinfo($file['MY_FILE'], PATHINFO_EXTENSION);
if (in_array($extension, $legalExtensions)) {
move_uploaded_file($actualName, $path.'/'.$newName.'.'.$extension);
}

Le bruteforce:

Le bruteforce est une technique qui ce base sur un dictionnaire de mot de passe. En effet, un script va envoyer des centaines de robot qui vont essayé une multitude de combinaison pour essayer de trouver le bon mot de passe. C'est une technique très longue mais qui fonctionne dans certains cas. Pour éviter ce type d'attaque, le mieux est d'installer un système de captcha ce qui rendra déjà la tâche plus complexe et plus couteuse.
Pour information, d'après les statistiques, un mot de passe lambda serais composé de 6 à 8 caractéres, voici un petit calcul afin de calculer le nombre de possibilité :D


P = 62^6 + 62^7 + 62^8 = 2.22*10^14 = 221 918 520 426 688

Nous vous rappelons que l'utilisation de ces failles est illégal, nous les expliquons seuelement dans le but de vous aidez a comprendre comment elles fonctionnent pour mieux vous en protéger. Si vous avez une question ou que vous rencontrez un problème avec l'unes des failles présentées ci-dessus, n'hésitez pas a nous contacter grâce a la page mise a disposition pour ceci.


@ Bientot !