Nouvelle protection : Pare-feu Web Applicatif

Les annonces officielles de FranceServ Hébergement.
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7937
Inscription : 2 avril 2010 à 20:14

Bonjour,

Je vois parfois dans les journaux du service web, des sites Internet recevoir des requêtes HTTP avec notamment de l’injection SQL. Pour un certain nombre d'entre-eux, ces sites répondent malheureusement favorablement à l'attaquant en exécutant leurs requêtes SQL saisie dans l'URL.

Bien que j'ai pu alerter par mail des propriétaires de ces sites, certains ne répondent pas et laissent alors leurs sites se faire inexorablement compromettre au fil du temps.

J’ai alors mis en place, en plus des protections habituelles, un certain nombre de nouvelles règles sur le serveur Front Nginx afin de réduire l’impact de ces attaques Web et protéger encore plus les sites Internet ciblés.

J’ai divisé ces règles en 5 catégories pour simplifier la gestion de ces protections et j’ai ajouté dans l’interface de gestion pour chacun des sites hébergés, un onglet « Pare-feu » afin de permettre aux hébergés d’ajuster ces réglages, protections actives par défaut et que je recommande fortement de laisser ainsi.

Bien sûr, ces protections n'exemptent pas les hébergés de mettre à jour leurs sites Internet et aux développeurs PHP d'utiliser les bonnes méthodes de développement en utilisant par exemple des requêtes SQL préparées avec des variables liées via PDO ou MySQLi.

Voici la capture écran de ce nouvel onglet :

Image

Des internautes malintentionnés peuvent à tout moment envoyer via Internet des requêtes HTTP sur votre site de manière à exécuter du code arbitraire. Si le développement PHP de votre site n’est pas sécurisé et n'empêche pas les injections SQL ou tout code malveillant, celui-ci pourrai répondre favorablement à l'attaquant. Voilà pourquoi nous vous recommandons de laisser toutes ces options sélectionnées afin d'améliorer la sécurité de votre site.

Pour en savoir plus sur l'injection SQL et savoir vous en protéger dans vos développements PHP :
https://www.php.net/manual/fr/security. ... ection.php
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Répondre