logo

Knowledge Is Power

 
 

- Reinit des nouveaux posts -

- Recherche -

Messages Privés - Derniers posts
S'enregistrer - Login - Liste des membres
Vous logger : Login Pass

Programmation - Scripting, langages interprétés >> [help me!!!] Comment empêcher efficacement le flood? Newtopic | Reply
poster txt
yoplay
Inscrit le 03-06-2013
Posté le 03-06-2013 08:29

Bonjour à tous,

Je suis un programmeur très novice qui rame à comprendre le PHP, pourtant j'essaie.
Il y a 5 ans j'avais eu une mésaventure à cause d'un script d'upload mal programmé que j'avais installé sur un de mes sites: le site avait subi une attaque...

C'est pourquoi pour pas que ça se renouvelle que j'ai commencé à coder mon propre script, ce qui me permet de le protéger des failles (c'est en fait un script très simple).
Un formulaire en html est fourni à l'utilisateur qui doit entrer des données. Ces données sont envoyées à un fichier php qui les enregistre dans un fichier texte.
Il n'y a (à mon avis) pas de danger puisque le fichier texte affichera les données envoyées comme le javascript, le html, le php sous forme de texte.
Ce qui m'inquiète ce sont les personnes avec un niveau moyen en sécurité qui peuvent flooder le fichier d'enregistrement en php: je crois savoir qu'il existe des logiciels permettant d'envoyer des requêtes GET à l'infini... Sur mon site ça aurait la conséquence de créer des centaines voire des milliers de fichiers, si un utilisateur mal intentionné le voulait.

J'ai donc prévu un arsenal de contre-mesures pour emmerder un tel attaquant:
- Inclure une entrée de variable "hidden" non-visible sur la page et demandée dans le fichier d'enregistrement des fichiers textes;
- A la fin de l'enregistrement du fichier texte l'utilisateur est redirigé vers une page de remerciement par un header:location;
- Dans les fichiers html, je laisse au début de chaque code source un blanc équivalent à plusieurs dizaines de pages (pour que la réaction soit: il est où le code source? Lol!);
- Dans les fichiers html, crypter le code source;
Est-ce que vous pensez que je psychote et que le flood est impossible ou que c'est possible? Si c'est non j'aimerais que vous me donniez des contres-mesures:
- J'ai pensé à captcha (celui de google par exemple), mais j'ai compris qu'il ne protège que le formulaire (alors que l'on peut créer un formulaire sur son ordinateur pour envoyer les données par exemple: la protection serait inefficace);
- J'ai testé les variables sleep (permettant de faire une pause dans un script d'une page: ça ne marche pas... je peux mettre sleep(15000000000000); : le programme s'exécute de la même façon et s'en fout; (j'ai aussi testé int_sleep)

J'ai pensé à une solution mais je n'ai pas trouvé de script pour le faire (et je suis un noob en programmation). (si vous connaissez un tel script je vous serais reconnaissant de me l'indiquer).

L'idée c'est de capturer l'adresse IP de la personne qui envoie, puis de la stocker.
Ensuite, de voir si les 7 dernières adresses IP stockées sont les mêmes.
Si c'est le cas faire une redirection vers une page signifiant que l'accès est refusé.
Pour résumé, je demande juste comment éviter le flood de mon script ^^.
Voilà, j'espère que quelqu'un pourra m'aider.
Merci!
profil | edit | quote
homme-machine
Inscrit le 30-05-2013
Afficher/Masquer
casskroot
Inscrit le 01-11-2003
Posté le 10-06-2013 14:23

Laisse tomber, c'est un schizophrène qui n'a rien d'autre à faire de sa vie que de poster des messages qui servent à rien.


Pour répondre à tes questions, je suppose que tu te prends un peu trop la tête. Y a-t-il vraiment des chances pour que tu subisses un flood ?
Met en place un captcha et te prend pas la tête avec le reste (les solutions que tu as mis en place sont à mon avis inutiles car inefficaces).
_________________________

profil | mail | edit | quote
jehv
Inscrit le 29-08-2006
Posté le 10-06-2013 15:38

dsl yoplay j'ai accidentellement effacer ton post en voulant revenir en arrière

Pour ton prblm tu mets un captcha, utiliser une base de donnée et n’autoriser qu'une seule entrée par IP ou plus débile mettre un ban sur le formulaire après l'avoir rempli .

Quote:
Ces données sont envoyées à un fichier php qui les enregistre dans un fichier texte.

il est temps d'apprendre a utiliser une base de donnée
_________________________
it's all about life
profil | edit | quote
yoplay
Inscrit le 03-06-2013
Posté le 12-06-2013 07:47

Merci à toi jehv.
Je vais faire ça.
Si je n'utilise pas de base de donnée c'est parce que j'ai peur justement de faire des trous de sécurité (je préfère faire gaffe)... menfin.
profil | edit | quote
jehv
Inscrit le 29-08-2006
Posté le 12-06-2013 15:17

j'avais découvert ca a l’époque sur le forum de Vulnerabilite.com http://sourceforge.net/projects/greensql/
http://www.lestutosdenico.com/tutos-de-nico/greensql
_________________________
it's all about life
profil | edit | quote
Newtopic | Reply

Online : DonaldKip, ejodaxi, firjife, iegoyanurr, igeqyisonozbt, ojefenes, osupeyofep, paacolugidapo, RichardseapY et 73 Guests


Retour Index NewFFR Repository : http://taz.newffr.com
Cagades à Stick : http://alcane.newffr.com
Forum HTML et Archive -> ici
ForumFR Sql/Xml (2006/04) (SF pas à jour du tout...) - Alive since 2001 Newffr.com
Pour toute plainte ou problème -> Contacter Borax, Hyatus, Tweakie ou Stick par message privé (ou Gueulez sur le forum :) )
Retour haut de page