Annonce

Lorsque vous exposez un problème que vous rencontrez sur votre site, n’omettez pas de bien préciser l’adresse de la page (URL) concernée.

Ouvrez un nouveau sujet de discussion pour poser une question, n'utilisez pas une discussion déjà ouverte si votre problème est différent.
Lorsque votre sujet est résolu, indiquez-le en cliquant sur le lien "Passer le sujet en résolu".

Pour les possesseurs de sites Minecraft : Tous les ports TCP/UDP en sortie sont ouverts.
Pour en savoir plus : https://www.franceserv.fr/wiki/minecraft

#1 14/05/2020 02:02:40

elodie
Responsable/CEO FranceServ Hébergement
Lieu : Jura
Inscription : 02/04/2010
Messages : 7 639
Site Web

Nouvelle protection : Pare-feu Web Applicatif

Bonjour,

Je vois parfois dans les journaux du service web, des sites Internet recevoir des requêtes HTTP avec notamment de l’injection SQL. Pour un certain nombre d'entre-eux, ces sites répondent malheureusement favorablement à l'attaquant en exécutant leurs requêtes SQL saisie dans l'URL.

Bien que j'ai pu alerter par mail des propriétaires de ces sites, certains ne répondent pas et laissent alors leurs sites se faire inexorablement compromettre au fil du temps.

J’ai alors mis en place, en plus des protections habituelles, un certain nombre de nouvelles règles sur le serveur Front Nginx afin de réduire l’impact de ces attaques Web et protéger encore plus les sites Internet ciblés.

J’ai divisé ces règles en 5 catégories pour simplifier la gestion de ces protections et j’ai ajouté dans l’interface de gestion pour chacun des sites hébergés, un onglet « Pare-feu » afin de permettre aux hébergés d’ajuster ces réglages, protections actives par défaut et que je recommande fortement de laisser ainsi.

Bien sûr, ces protections n'exemptent pas les hébergés de mettre à jour leurs sites Internet et aux développeurs PHP d'utiliser les bonnes méthodes de développement en utilisant par exemple des requêtes SQL préparées avec des variables liées via PDO ou MySQLi.

Voici la capture écran de ce nouvel onglet :

11be6287e990b6af619d83f06df8e69a.png

Des internautes malintentionnés peuvent à tout moment envoyer via Internet des requêtes HTTP sur votre site de manière à exécuter du code arbitraire. Si le développement PHP de votre site n’est pas sécurisé et n'empêche pas les injections SQL ou tout code malveillant, celui-ci pourrai répondre favorablement à l'attaquant. Voilà pourquoi nous vous recommandons de laisser toutes ces options sélectionnées afin d'améliorer la sécurité de votre site.

Pour en savoir plus sur l'injection SQL et savoir vous en protéger dans vos développements PHP :
https://www.php.net/manual/fr/security. … ection.php


P8OdseCN.gifVous avez une question ?

Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, utilisez alors dans ce cas le formulaire de contact ou alors le téléphone.

Hors ligne

Pied de page des forums

[ Générées en 0.022 secondes, 9 requêtes exécutées - Utilisation de la mémoire : 1.41 Mio (pic d'utilisation : 1.55 Mio) ]