Sécurité - Injection SQL

par AbsoluteGrief Dim 23 Nov 2014 - 15:55

Rappel du premier message :

Détails techniques

Version du forum : phpBB2
Poste occupé : Fondateur
Navigateur(s) concerné(s) : Mozilla Firefox
Personnes concernées par le problème : Tous les utilisateurs
Problème apparu depuis : 23/11/2014
Lien du forum : http://www.absolute-grief.net/

Description du problème

Bonjour,

Un utilisateur malintentionné, localisé en Belgique, a le souhait de hacker mon forum. Il vient de saturer le forum en lançant de nombreuses requêtes, jusqu'à battre mon record du nombre d'utilisateurs en ligne.

Le record du nombre d'utilisateurs en ligne est de 187 le Dim 23 Nov 2014 - 14:02

Cet utilisateur a une bonne connaissance de son sujet. Il fait d'ailleurs du hacking et du booting sur le jeu qui concerne mon forum, et ennuie de nombreux joueurs. Il vient de prétendre de lui même par message avoir fait une Injection SQL et qu'il prendra rapidement possession du compte de deux joueurs et du mien.

Dear YoPlixBoy, This is TryToGrief. You are not gonna go further with this WEBSITE,
Youre website is gonna get SQL INJECTION. btw, change ur databse please i got all ur md5 hashes first im gonna get infinite gamer then onebonehunter then You.
Goodluck,
Greetz TryToGrief

http://www.absolute-grief.net/t519-overflowing-forum#9922

Après une recherche sur Wikipedia, si j'ai bien compris, cela signifie que cet utilisateur serait capable de se connecter sur le compte d'un utilisateur qui aura tapé son mdp pour se connecter? Le mien est enregistré dans mes cookies pour le moment, je n'ai pas besoin de le taper, mais ce n'est certainement pas le cas pour d'autres utilisateurs :
http://fr.wikipedia.org/wiki/Injection_SQL

Par précaution et par sécurité, quelle mesures puis-je prendre dès maintenant? Comment fait une sauvegarde complète du forum à restaurer si besoin. J'ai déjà lu vos 5 sujets principaux concernant la sécurité du forum.

Par mesure de dissuasion, je lui ai indiqué avoir déjà un panel d'informations le concernant lié à son adresse IP. Il ne semble pas avoir utilisé de proxy pour poster son message.
https://ipgetinfo.com/index.php?mode=ip&ip=145.129.29.13

Merci d'avance.

par AbsoluteGrief Ven 12 Déc 2014 - 15:43

Bonjour Chapo,

Merci pour cette réponse complète et rassurante.

Quand je dis "que ce soit sur le jeu ou sur mon forum", c'est parce mon forum a pour thème exclusif un jeu vidéo dans lequel cet utilisateur joue. Donc non, il n'y a pas de lien direct avec Forumactif, c'est juste pour insister sur le fait qu'il nous perturbe aussi sur ce jeu, en bootant les joueurs qui ont des IP fixes par exemple.

Je pense faire preuve de la vigilance que vous décrivez dans votre 2ème point, et en parallèle, c'est rassurant de constater à travers votre 1er point le travail effectué pour la sécurité du forum. Je ne regrette pas à ce jour d'avoir utiliser vos services et supports pour mon forum.

Simplement, pour revenir sur l'activation par l'admin des nouveaux utilisateurs, que proposait FANCH56 dans les messages précédents. Je veux bien contrôler et activer les comptes par moi même, mais comment savoir si le compte nouvellement créé l'a été par lui ou par un autre utilisateur honnête? Comme je dis ici sur mon précédant message, il est caché derrière un VPN suèdois et s'amuse en plus à créer des comptes en usurpant les pseudos d'autres joueurs. Je n'ai pas de moyens de savoir si c'est effectivement lui ou les véritable joueurs lors de la création d'un nouveau compte, c'est problématique.

Aussi, l'utilisateur doit-il absolument poster un message sur le forum pour avoir accès aux informations informatiques le concernant (adresse IP, FAI, etc...). Avoir des infos supplémentaires me permettrait de savoir plus facilement s'il s'agit du même joueur avec déjà un compte, à l'origine de la création d'un nouveau.

Oui nous pourrons fermer le topic juste après.

par **Chapo** Ven 12 Déc 2014 - 16:03

@AbsoluteGrief: Merci pour vos compliments !

Je n'ai pas de moyens de savoir si c'est effectivement lui ou les véritable joueurs lors de la création d'un nouveau compte, c'est problématique

Effectivement, comme vous l'avez remarqué vous ne pouvez pas (ou difficilement) savoir à l'avance si une demande d'inscription est légitime ou non et donc il vous est à priori inutile de mettre en place le système proposé.