Asustor Messages insolites dans le journal système...
- Auteur du sujet The Burgund
- Date de début
lanthalas a dit:
Y a pas besoin d'avoir ce type d'appli en fait. Ce qui est fait là, à mon avis, c'est depuis le form de connexion à ADM (à vérifier dans les logs).
L'intérêt de ces commandes n'est pas de chercher à voir s'il existe une appli mail ou autre, mais de voir si la faille existe.
Quand on regarde la commande :
Code:
; DELETE FROM Mail_Receiver WHERE email = 'a'; --Les parties les plus intéressantes ici sont le premier ";" et le "--".
Si une faille existait, elle injecterait ce code SQL au milieu de ta requête de connexion (vérification login/mot de passe) et terminant prématurément ta requête (le ";"), en tentant d'exécuter la requête DELETE et en commentant le reste de la requête initiale (le "--"). Si la requête passe, ça veut dire que la faille existe.
Typiquement, le type de requête le plus majoritairement injecté ressemble plus à :
Code:
admin'; --Ce qui grosso-modo, si la faille existe ainsi que le compte admin, peut donner les droits admin à la personne qui est en train de se connecter, le tout, sans connaitre le mot de passe du compte admin.
Salut julesvil.
Pour moi c'est du chinois, mais il semble que tu maîtrises bien le sujet
Suis-je le seul à avoir eu ce type de tentative d'intrusion ?
Et si connexion en 2 étapes ton code, pour passer sans MdP, est bon ?
Mon compte "admin" est inactif maintenant.
Damien m'a bien aidé à remettre de l'ordre au niveau sécurité dans mon NAS.
Tout à l'air de fonctionner normalement et je n'ai plus ce type de message.
Wait and see et merci pour vos suggestions et aides.
Gérard
Pour moi c'est du chinois, mais il semble que tu maîtrises bien le sujet
Suis-je le seul à avoir eu ce type de tentative d'intrusion ?
Et si connexion en 2 étapes ton code, pour passer sans MdP, est bon ?
Mon compte "admin" est inactif maintenant.
Damien m'a bien aidé à remettre de l'ordre au niveau sécurité dans mon NAS.
Tout à l'air de fonctionner normalement et je n'ai plus ce type de message.
Wait and see et merci pour vos suggestions et aides.
Gérard
Peut-être en ce moment, mais ce n'est pas rare d'en avoir, sur quel serveur que ce soit. Un hacker va pas te cibler toi, Jean DUPONT en particulier, mais balayer une plage d'IPs via un script et tenter la faille sur toutes ces IPs.The Burgund a dit:
Tout dépend de comment est fait le code de l'application attaquée. Ca peut ne rien changer, comme ça peut tout changer.The Burgund a dit:
Alors rapidement, en supposant que vous maitrisez quelques termes techniques, on va prendre un exemple d'une simple application développée en PHP/MySQL :lanthalas a dit:Oui Julesvil, je suis preneur d'un cours sur le sujet
Un requête de connexion à la base de données de l'application pourrait ressemble à celle -là :
Code:
$sql = "SELECT * FROM user WHERE pseudo = '$pseudo' AND password = '$password'";Ici, on met dans une variable PHP la requête de connexion, qu'on prépare à exécuter. Les apostrophes autour de $pseudo et $password qui sont des variables PHP qu'on récupère du formulaire indiquent qu'il s'agit de chaines de caractères.
Si tout se passe bien, que l'utilisateur entre ses identifiants correctement, la requête exécutée pour se connecter pourrait ressembler à :
Code:
SELECT * FROM user WHERE pseudo = 'admin' AND password = 'Mon mot de passe admin super compliqué parce que je pense kil est fort'Ici, on récupère donc correctement le compte admin si son mot de passe compliqué entré est correct.
Maintenant, admettons que la personne pour se connecter n'a pas entré le pseudo "admin" dans le champ du formulaire, mais "admin'; --". On remplace donc $pseudo dans la requête et on regarde ce qui se passe :
Code:
$sql = "SELECT * FROM user WHERE pseudo = 'admin'; --' AND password = 'mot de passe erroné'";Ici, peu importe donc que le mot de passe entré soit erroné, puisque le ";" termine la requête et le "--" met en commentaire le reste (ce qui fait que le mot de passe sera ignoré). La requête qui sera donc effectivement exécutée au serveur sera :
Code:
SELECT * FROM user WHERE pseudo = 'admin'Si le compte admin existe donc bel et bien, le hacker sera connecté sur ton application en tant que admin, sans avoir à connaitre le mot de passe.
Pour se protéger de cette faille, il existe plein d'outils (normalement) connus des développeurs (consciencieux).
Si le sujet t'intéresse, tu peux trouver pas mal d'exemples sur Google en cherchant "SQL injection", que ce soit en anglais ou en français, comme :
https://kinsta.com/fr/blog/injections-sql/
Merci julesvil pour ces explications.
Evidemment, même si je comprends la philosophie, je suis quand même largué en temps que Béotien étant resté au BASIC de l'Atmos
Evidemment, même si je comprends la philosophie, je suis quand même largué en temps que Béotien étant resté au BASIC de l'Atmos
Merci beaucoup pour tes explications.
Effectivement je me rappelle dans mon jeune temps avoir codé du php et qu'il y avait une instruction spéciale pour éviter ce genre de chose . Par exemple tu peux aussi trouver ca dans des commentaires ou tu pourrais passer des commandes sql.
Merci de m'avoir rafraichit la mémoire
Effectivement je me rappelle dans mon jeune temps avoir codé du php et qu'il y avait une instruction spéciale pour éviter ce genre de chose . Par exemple tu peux aussi trouver ca dans des commentaires ou tu pourrais passer des commandes sql.
Merci de m'avoir rafraichit la mémoire