Site de guilde

Venez poser vos question et proposer vos codes ici.

Moderators: Animateurs, Responsables

Post Reply
User avatar
Black Hat
Membre aguerri
Membre aguerri
Posts: 1311
Joined: Sat 23 Jun 2007 01:25

Site de guilde

Post by Black Hat » Mon 28 Dec 2009 16:39

Bon voila je compte faire un petit site de guilde pour l'alliance sgc avec cartouche et touti quanti.

Je voudrais que ca soit bien securisé pcq jack serait capable de tenté de la hacké.
Au pire les attaques type DDos, c'est pas trop grave, mais faudrait surtout pas que les infos puissent être recuperée.

Je prévois déjà pour régler le problème du "facteur humain" de faire des rang, et d'envoyer les mdp in-changeable par mp aux joueurs directement sur le jeux.
Mais c'est surtout le coté technique qui m'inquiete, alors si vous avez des conseils a donné ca serait sympa.
Image

User avatar
bulton
Directeur développement
Directeur développement
Posts: 2102
Joined: Sat 13 Oct 2007 16:50
Location: Dans le serveur oO
Contact:

Re: Site de guilde

Post by bulton » Mon 28 Dec 2009 16:53

Tu peux déjà commencer en regardant de ce côté la : http://www.siteduzero.com/tutoriel-3-64 ... nnees.html
(Pour les requêtes préparé, tu n'es pas non plus obligé si tu ne veux pas les utiliser ;) )

Sinon bas bien vérifier si la personne à les droits d'accès à la page, qu'importe la page ;)

Que dire de plus ..... après c'est avoir de la logique dans les codes et bien tout vérifier avant d'ouvrir au public ;)


PS : Même si tu le penses, j'aime pas trop voir des accusations comme tu l'as fait trainer sur le forum, il n'y a rien de telle pour relancer les querelles ;)
À ce propos, pas de hors sujet sur ça ou ça va mal ce passer (j'aurais prévenu).
Chef de projet et développeur pour Gatewars.eu v3.
Vive la famille souris !!! (I'm little mouse)

@bulton_fr - www.bulton.fr - @gatewars_eu

User avatar
Black Hat
Membre aguerri
Membre aguerri
Posts: 1311
Joined: Sat 23 Jun 2007 01:25

Re: Site de guilde

Post by Black Hat » Mon 28 Dec 2009 17:02

Normalement tout passe par la page index et est importer selon les besoins via les get/post, mais bon ca vérifie avant s'ils ont accès, sinon ils ont pas acces.
C'est une bonne solution ?

PS:Sinon pour jack, il a les connaissance pour le faire, et il m'a dit lui meme qu'il en a fait du hacking.
Je ne dit pas qu'il va le faire, mais bon vaut mieux prévenir que guérir donc je veux le sécurisé un max.
Image

User avatar
bulton
Directeur développement
Directeur développement
Posts: 2102
Joined: Sat 13 Oct 2007 16:50
Location: Dans le serveur oO
Contact:

Re: Site de guilde

Post by bulton » Mon 28 Dec 2009 17:22

Black Hat wrote:Normalement tout passe par la page index et est importer selon les besoins via les get/post

Sur cette technique, il y a la bonne et la mauvaise façon de faire (même si personnellement je n'utilise plus cette technique depuis que je travail pour gtw ^^).

La mauvaise c'est de mettre dans le get ou le post le nom de la page, du genre "coucou.php" et ensuite de l'inclure en faisant juste include($ton_get_ou_post);
Alors la tu peut être sur que c'est piratable à 100% ^^
Si je remplace coucou.php par http://mon_site/ma_page.php et je peux tout récupérer, tout modifier etc, enfin je peux agir sur ton site comme si c'était une page que tu avais fait et qui est prévu pour le site.

La bonne c'est de mettre du genre "coucou" en get ou post au lieu du nom de la page, et ensuite de vérifier que ton mot clé mis en get/post corresponde à une page (défini dans le script ¹), que la page existe bien sur le serveur ( file_exits() ) et si c'est bien le cas, alors de l'inclure.

Ça fait beaucoup de vérification, ça aussi fait un peu usine à gaz mais ça sécurise un minimum pour ce genre de technique ;)

Mais comme je disais, je n'utilise plus cette technique depuis que je suis sur gtw (enfin même avant je l'utilisais très très peu) parce que la première règle en programmation c'est "Ne jamais faire confiance à l'utilisateur" ..... et comme tu le sais surement, un get comme un post est modifiable par l'utilisateur donc c'est une technique que je considère personnellement comme la plus risqué ;)

¹ : Ne pas obligatoirement faire coucou -> coucou.php, mais plutôt du genre accueil -> home.php ;)

Edit : Je viens de vérifier sur la doc pour include, donc ça supporte bien les fichiers distants (ce que je disais) mais php semble quand même bloqué plus ou moins le truc, enfin ton serveur traitera avec le résultat que donne mon script, je ne pourrais donc apparemment pas agir via les variables et fonction que tu as défini avant l'inclusion si j'ai bien compris la doc. Mais ça reste tout de même une faille ;)
Chef de projet et développeur pour Gatewars.eu v3.
Vive la famille souris !!! (I'm little mouse)

@bulton_fr - www.bulton.fr - @gatewars_eu

User avatar
Black Hat
Membre aguerri
Membre aguerri
Posts: 1311
Joined: Sat 23 Jun 2007 01:25

Re: Site de guilde

Post by Black Hat » Mon 28 Dec 2009 18:39

ouep je comptais faire un switch case et faire comme t'as dit de toutes facon.

Ps: au passage je vous chipe 2 images de pm pour mon cartouche, si ca vous dérange pas.
Image

User avatar
Simbad
Grand(e) habitué(e)
Grand(e) habitué(e)
Posts: 62
Joined: Mon 25 Oct 2010 16:51
Contact:

Re: Site de guilde

Post by Simbad » Thu 24 Feb 2011 19:46

Je ne hack plus, je ne fais que du développement maintenant =) finis depuis longtemps le hacking et encore c'est un bien grand mot que de se dire hacker...j'étais plus un bidouilleur très rusé qu'autre chose =)

Edit bubu : Tu m'expliques l'intérêt de répondre à un topic qui a 2ans ?
Edit massa : histoire de dire que c'est pas lui qui a hacker mon compte :mrgreen:
Image
Co-dirigeant de l'alliance - D3stiny. Pseudo ingame : Jack =), oui le jack d'ATF de la v1 etc...pour ceux qui me posent sans cesse la question.

User avatar
Simbad
Grand(e) habitué(e)
Grand(e) habitué(e)
Posts: 62
Joined: Mon 25 Oct 2010 16:51
Contact:

Re: Site de guilde

Post by Simbad » Tue 1 Mar 2011 06:36

Bulton avec tout le respect que je peux avoir, pas la peine d'être agressif, ensuite les sujets qui ont deux ans si on veut que personne n'y répondent car ils sont vieux, on les met à la poubelle, si c'est là j'ai le droit d'y répondre, un peu de tact serait sympathique, je fais preuve de pas mal de tact de mon coté depuis un sacré moment il serait bon d'en faire autant!

Amicalement.

Jack =)
Image
Co-dirigeant de l'alliance - D3stiny. Pseudo ingame : Jack =), oui le jack d'ATF de la v1 etc...pour ceux qui me posent sans cesse la question.

Post Reply