Forum francais Minecraft. Serveur de jeu FR-Minecraft et astuces pour Minecraft.

Pages :: 1

#1 30/01/2012 19:05:20

Administrateur

Messages : 3 831

2012-01-28 - Attaque du site

Suite a une attaque du site dans la nuit, j'ai du prendre les mesures pour notre sécurité.

J'ai ainsi déployé ce week end un nouveau système de sécurisation du site. Ce système est censé être totalement transparent pour votre navigation, il se charge d'analyse la navigation et de détecter les comportements anormaux, et de blacklisté les attaquants en cas de tentative d'attaque (réussi ou non).

Durant les premières heures un certain nombre de cas de faux positif ont était signalé, j'ai immediatement corriger les probleme dans le systeme de detection, et debanni les pauvres victimes. Je presente toutes mes excuses pour la vingtaine de victime de ces fausses detection.

Depuis le systeme semble beaucoups plus fiable, et 5 attaques ont était bloqué dans la seule journée de dimanche:
- 2 attaque de type SQL injection
- 2 attaque de type Cross scripting
- 1 attaque de type DOS

Hors ligne


Fondateur et Administrateur de FR-Minecraft.net depuis 2010
Fondateur et Administrateur de Minecraft.Tools depuis 2014

#2 30/01/2012 19:59:40

Membre

Messages : 2

Re : 2012-01-28 - Attaque du site

Bravo pour la correction rapide des failles présentes sur le site web. Par contre, je trouve le système de blacklistage assez méchant. Il suffit d'envoyer une URL piégée à des membres de la communauté pour qu'ils se fassent blacklister. Je pense que le système est à revoir car il y a des moyens plus sympathiques de contrer des attaques.

Ps: J'ai reporté quelques failles XSS (& d'autres types de failles aussi) à un modérateur il y a quelques jours et je souhaiterais bien discuter avec toi. Peux-tu me contacter par PM ? J'ai pas assez de messages pour en envoyer.

Hors ligne

#3 30/01/2012 20:08:10

ex - Admin / Op

Messages : 1 866

Re : 2012-01-28 - Attaque du site

Xifias, on a effectivement eu le retour avec tes liens. Du coup on t'as un peu assimilé au responsable des attaques en question..

Hors ligne

#4 30/01/2012 20:23:44

Membre

Messages : 2

Re : 2012-01-28 - Attaque du site

Mon but est en aucun cas de nuire votre communauté, bien au contraire, je teste et je rapporte les failles aux responsables afin qu'ils puissent les résoudre pour éviter que d'autres personnes mal intentionnées les exploitent. Je n'aime pas détruire ce que les gens font, ce n'est pas mon genre du tout. Si je voulais mener une attaque contre vous j'aurais pu simplement exploiter l'XSS pour récupérer des cookies et me procurer un accès privilégié au site. De plus, je n'aurais pas rapporté les failles dans ce cas-là.
Et l'attaque DoS, ce n'est pas moi car je trouve ce type d'attaque totalement débile et inutile.
J'ai juste testé et non exploité. Mon chapeau est blanc, croyez-moi.

Hors ligne

#5 30/01/2012 23:05:27

ex - Admin / Op

Messages : 1 866

Re : 2012-01-28 - Attaque du site

On a effectivement pensé que tes intentions n'étaient pas mauvaise vu que tu nous a rapporté tout çà ! Merci en tout cas, ça a fait bouger Tronics pour qu'il sécurise le site. Après oui, c'est un peu violent le blacklist, et effectivement les liens "sensibles" peuvent être utilisés à de mauvaises fins.. Mais les ban se sont pas permanent.

Bref, Tronics répondra plus efficacement à tout çà ;)

Hors ligne

#6 31/01/2012 04:18:39

Administrateur

Messages : 3 831

Re : 2012-01-28 - Attaque du site

Salut Xifias,

Alors plusieurs chose:
1/ Je te rassure tout de suite, je n'ai pas eut besoin d'attentre ton retour pour voir ce que tu as fait ne passe pas inaperçu ...

2/ J'ai lu l'integralité des requetes envoyé au serveur, environ 200 test sur l'integralité des pages du site, et je peux confirmer que je n'ai rien vu qui risquer de compromettre le systeme, a partir de la j'ai assumé mes erreurs: le petit faille xss et mon erreur de n'avoir pas codé moi meme certaine parti du site ... J'ai compris et assumé, ca veux dire que j'ai agit en consequense, j'ai developper une protection que je constate que tu as vu, puisque tu as était bloqué dedant 2 fois (si ce n'est plus, au moins 2 IP a toi sur en tout cas) 01 Si je puis me permettre ton bot est con: car passer les 200 test sur toutes les pages de profil de tous les membres, c'est tout simplement ridicule, c'est evidement que si ca passe pas sur une ca passera pas sur les autres xD

3/ les DOS c'est une facon de parler on va dire, tout comportement violent serait plus juste, et autant te dire que ton bot qui me balancait à la clapet 100 requêtes de page par seconde à certain moment n'aurait pas fait long feu ... Sinon effectivement cette attaque ne correspond pas a une IP a toi... Toi ce sont les 2 XSS...

4/ Si tu t'y connais en sécurité tu doit savoir mieux que moi qu'en matière de sécurité il y a une règle d'or, quelque soit le domaine: Il ne faut pas interdire les choses dangereuse, mais autorisé les choses saines. Je prefère un filtre violent avec quelques "victimes" le temps des réglages (entre guillement car pour ces victimes ca n'a jamais durée plus de 2h avant que je les déblackliste et que j'affine mes réglages.
Je prèfère de loin un kikoo boulet qui click sur n'importe quoi n'importe ou banni de mes serveurs que un hackeur qui passe ^^

5/ Je te rassure tout de même, je ne me caches pas derriere ce filtre, car je sais qu'aucun system, aucun filtre n'est infaillible, et je prend grand soins de ne rien laisser passer ! j'ai fait une erreur sur un page du site, j'ai assumé, corrigé, et j'ai maintenant le filtre en plus si une jamais une autre erreur apparaissait ailleur. L'erreur est humaine, donc a defaut d'être infaillible autant mettre toutes les chances de son coté ^^


Concernant le filtre, je crois que la très grande majorité des visiteurs ne s'en sont même pas aperçu du changement, ca signifie donc qu'il n'est pas si terrible que ça. Maintenant si il te gène, a toi de passer outre, c'est toi le pirate, si on t'ouvre les portes ça n'a plus aucun intérêt 17

Hors ligne


Fondateur et Administrateur de FR-Minecraft.net depuis 2010
Fondateur et Administrateur de Minecraft.Tools depuis 2014

Pages :: 1

Pied de page des forums