Faille de sécurité formulaire de commentaire
Mich33
-
Mich33 -
Mich33 -
Bonjour,
J'ai développé un site pour une association, il y a environ 2 ans de cela. Il se trouve que récemment, je pense avoir été victime d'une attaque du genre injection SQL, ou faille XSS... Je ne sais pas trop.
Pour chacun des articles de la page, il est possible d'ajouter un commentaire. Seulement voilà, pleins de commentaires venant à priori d'un forum sont automatiquement enregistrés dans la BDD et viennent s'afficher sur mes pages.
Ex de commentaires abondants:
next day tramadol
Posté le 07-03-2013
for unique Tramadolpain used hydroxypropyl visual Tramadol say hydrochloride metabolic prescriptions so, <a href=" http://ericblog.typepad.com/wiki/pad5.html">tramadol online next day</a>, 52467,
tramadol xanax
Posté le 07-03-2013
it for of vlaanderen but ultram it ingredient methyl the pharmacies dose, <a href=" http://ericblog.typepad.com/wiki/pad21.html">tramadol drug class</a>, =[[,
ultram online
Posté le 07-03-2013
ut glycolate operative our Therefore pain indicate number, <a href=" http://ericblog.typepad.com/wiki/pad40.html">buy tramadol now</a>, aps,
tramadol high
Posté le 07-03-2013
relieve's be The Pain the nalgesic they opossums your, <a href=" http://ericblog.typepad.com/wiki/pad9.html">cheap tramadol without prescription</a>, 7926,
tramadol hcl 50
Posté le 07-03-2013
o dose Professor Buy white without dosing gelatin, <a href=" http://ericblog.typepad.com/wiki/pad26.html">tramadol 50 mg tablets</a>, :[[,
order tramadol overnight delivery
Posté le 07-03-2013
overhave as Cod My Online page to those beenthat emergency of names as, <a href=" http://ericblog.typepad.com/wiki/pad29.html">tramadol generic</a>, pyxpf,
tramadol overnight shipping
Posté le 07-03-2013
tramadol was believe moderate it this of is timeliness with, <a href=" http://ericblog.typepad.com/wiki/pad29.html">tramadol generic ultram</a>, =(((,
J'ai pourtant bien (je pense, il est possible que qqch m'est échappé) protégé mon formulaire:
- utilisation des fonctions "nl2br(addcslashes($valeur, '%_'));" sur les données transmises par le formulaire avant de les envoyer dans la BDD
- utilisation de requêtes préparées avec PDO en PHP
- utilisation de la méthode stripcslashes pour l'affichage des commentaires
Comment me débarrasser de tous ces messages abondants? Comment rompre la faille? Plus exactement le fait que ces messages déposés sur un autre site viennent s'enregistrer sur ma BDD????
Merci d'avance pour vos réponses utiles.
J'ai développé un site pour une association, il y a environ 2 ans de cela. Il se trouve que récemment, je pense avoir été victime d'une attaque du genre injection SQL, ou faille XSS... Je ne sais pas trop.
Pour chacun des articles de la page, il est possible d'ajouter un commentaire. Seulement voilà, pleins de commentaires venant à priori d'un forum sont automatiquement enregistrés dans la BDD et viennent s'afficher sur mes pages.
Ex de commentaires abondants:
next day tramadol
Posté le 07-03-2013
for unique Tramadolpain used hydroxypropyl visual Tramadol say hydrochloride metabolic prescriptions so, <a href=" http://ericblog.typepad.com/wiki/pad5.html">tramadol online next day</a>, 52467,
tramadol xanax
Posté le 07-03-2013
it for of vlaanderen but ultram it ingredient methyl the pharmacies dose, <a href=" http://ericblog.typepad.com/wiki/pad21.html">tramadol drug class</a>, =[[,
ultram online
Posté le 07-03-2013
ut glycolate operative our Therefore pain indicate number, <a href=" http://ericblog.typepad.com/wiki/pad40.html">buy tramadol now</a>, aps,
tramadol high
Posté le 07-03-2013
relieve's be The Pain the nalgesic they opossums your, <a href=" http://ericblog.typepad.com/wiki/pad9.html">cheap tramadol without prescription</a>, 7926,
tramadol hcl 50
Posté le 07-03-2013
o dose Professor Buy white without dosing gelatin, <a href=" http://ericblog.typepad.com/wiki/pad26.html">tramadol 50 mg tablets</a>, :[[,
order tramadol overnight delivery
Posté le 07-03-2013
overhave as Cod My Online page to those beenthat emergency of names as, <a href=" http://ericblog.typepad.com/wiki/pad29.html">tramadol generic</a>, pyxpf,
tramadol overnight shipping
Posté le 07-03-2013
tramadol was believe moderate it this of is timeliness with, <a href=" http://ericblog.typepad.com/wiki/pad29.html">tramadol generic ultram</a>, =(((,
J'ai pourtant bien (je pense, il est possible que qqch m'est échappé) protégé mon formulaire:
- utilisation des fonctions "nl2br(addcslashes($valeur, '%_'));" sur les données transmises par le formulaire avant de les envoyer dans la BDD
- utilisation de requêtes préparées avec PDO en PHP
- utilisation de la méthode stripcslashes pour l'affichage des commentaires
Comment me débarrasser de tous ces messages abondants? Comment rompre la faille? Plus exactement le fait que ces messages déposés sur un autre site viennent s'enregistrer sur ma BDD????
Merci d'avance pour vos réponses utiles.
A voir également:
- Faille de sécurité formulaire de commentaire
- Question de sécurité - Guide
- Whatsapp formulaire opposition - Guide
- Votre appareil ne dispose pas des correctifs de qualité et de sécurité importants - Guide
- Formulaire de réclamation facebook compte désactivé - Guide
- Mode securite - Guide
4 réponses
Salut,
il s'agit de robots envoyant du spam. Il faut mettre en place un captcha. Sur mon blog, j'ai mis en place un systeme de question secrète (un simple addition) et à cela, j'ai rajouter un filtrage par mot clé genre pharmacie, medicament bleu pour ne pas le citer etc...
il s'agit de robots envoyant du spam. Il faut mettre en place un captcha. Sur mon blog, j'ai mis en place un systeme de question secrète (un simple addition) et à cela, j'ai rajouter un filtrage par mot clé genre pharmacie, medicament bleu pour ne pas le citer etc...
c'est peut être tout simplement les gens de ce site peu scrupuleux qui postent des commentaires directement dans ton formulaire d'ajout de commentaires
tu peux essayer de mettre un filtre en php
voir la fonction preg_match sur G.....
sur 'ericblog.typepad.com' et si positif tu interdit l'enregistrement
et mettre un capcha sur ton formulaire pour bloquer les robots qui remplissent automatiquement les formulaires en ligne
tu peux aussi signaler cet agissement frauduleux sur le site:
https://www.internet-signalement.gouv.fr/PortailWeb/planets/Accueil!input.action;jsessionid=DB4572B56345F7DEAD1BCB572382A9F5.route1!input.action
tu peux essayer de mettre un filtre en php
voir la fonction preg_match sur G.....
sur 'ericblog.typepad.com' et si positif tu interdit l'enregistrement
et mettre un capcha sur ton formulaire pour bloquer les robots qui remplissent automatiquement les formulaires en ligne
tu peux aussi signaler cet agissement frauduleux sur le site:
https://www.internet-signalement.gouv.fr/PortailWeb/planets/Accueil!input.action;jsessionid=DB4572B56345F7DEAD1BCB572382A9F5.route1!input.action
Merci pour ta réponse Alain_42!
Les messages sont vraiment nombreux. Par exemple, je les ai supprimé hier soir, et ce matin il y en avait 1408!
Donc je ne pense pas que ce soit directement les gens du site peu scrupuleux qui postent directement. Il doit y avoir un robot ou un script derrière tout cela...
Je vais essayer comme tu dis d'appliquer un filtre php.
Pour le capcha, cela va entraîner plusieurs impacts sur mon site, donc plus long à mettre en oeuvre. Mais c'est prévu que je l'instaure dans les évolutions futures. Finalement je vais peut-être l'intégrer plus vite que prévu...
Les messages sont vraiment nombreux. Par exemple, je les ai supprimé hier soir, et ce matin il y en avait 1408!
Donc je ne pense pas que ce soit directement les gens du site peu scrupuleux qui postent directement. Il doit y avoir un robot ou un script derrière tout cela...
Je vais essayer comme tu dis d'appliquer un filtre php.
Pour le capcha, cela va entraîner plusieurs impacts sur mon site, donc plus long à mettre en oeuvre. Mais c'est prévu que je l'instaure dans les évolutions futures. Finalement je vais peut-être l'intégrer plus vite que prévu...
