Aller au contenu
  • Veuillez ne pas poster de message pour but d'insulter, incitation à la haine, propos sexuels et tout autre qui ne respecte pas nos conditions générales !

Attaque ddos

damien_c2

Par damien_c2
dans Le café d'InShare

 Partager

Messages recommandés

Invité Remi

Invité Remi

Posté(e)
Posté(e)

Salut,

 

Je crois que la plupart des personnes ont déjà subit des attaques DDoS sur leur rétro, c'est un effet de mode pour certain je crois :x

 

En tout cas moi j'en est déjà subit oui.

Lien à poster
Partager sur d’autres sites
Nagasaki

Nagasaki 117

Posté(e)
Posté(e)

Salut

 

Tu seras jamais en sécurité , nul part et sur aucun site , y'a toujours le risque de ce faire ddos son rétro 

car des gamins font les malins derrière un écran , c'est tellement facile , après leurs parler d'un tête à tête

bizarrement c'est le silence qui règne 

 

Il ne faut pas avoir peur de ces gens là , je sais que hyper relou , ça démotive mais il faut montrer que tu es plus coriace qu'eux

car après tout leurs mission : Détruire le bien des autres par jalousie ou car ils sont trisos 

 

Personnellement ça ne m'ai jamais arrivé , j'ai toujours fais attention mais qui sait un jour x)

 

Ancien Responsable des modérateurs

Mon discord : Nagasaki#5318
 
16 août 2017   ->  16 février 2020
Je m'en vais ..

 

 

                                   

                                         

  • J'aime 1
Lien à poster
Partager sur d’autres sites
Ubrain

Ubrain 30

Posté(e)
Posté(e)
à l’instant, Calypso a dit :

Salut

 

Tu seras jamais en sécurité , nul part et sur aucun site , y'a toujours le risque de ce faire ddos son rétro 

car des gamins font les malins derrière un écran , c'est tellement facile , après leurs parler d'un tête à tête

bizarrement c'est le silence qui règne 

 

 

Comme l'à très bien dit Calypso , on est jamais vraiment en sécurité nulle part car faire une attaque ddos est bien plus simple que ce que l'on peut croire, en trafiquant deux trois trucs sur l'invite de commande et c'est parti, le site est inaccessible et entre développeurs, joueurs et créateurs on sait très bien que des gamins en manque d'amis ne trouvent rien de mieux que de semer la colère en faisant cela.. 

 

Des gamins comme ça il y en aura toujours et malheureusement, mais si tu veux un conseil : installe un anti ddos c'est très pratique et marche vraiment bien que la question de base n'était pas sur la protection de ton retro mais plutôt une question, je vais te répondre (enfin ! Je suis plus hors sujet !) 

 

Parmis les nombreux rétro que j'ai pu développer que ce soit en php ou en SQL, là plupart de ces rétros se faisait ddos mais ce n'est pas la cause principale de la mort des rétros, il faut aussi faire attention aux faille XSS, ForceBrute et autres...

 

J'espère en avoir aidé plus d'un par mes commentaires hors-sujets 

Bonne continuation à tous !

UBrain Dev

 

Ma réponse est utile ? N'hésite pas à mettre un pouce bleu ^^

 

 

  • J'aime 4
Lien à poster
Partager sur d’autres sites
R4x0r3

R4x0r3 48

Posté(e)
Posté(e)
Il y a 5 heures, Ubrain a dit :

 

Comme l'à très bien dit Calypso , on est jamais vraiment en sécurité nulle part car faire une attaque ddos est bien plus simple que ce que l'on peut croire, en trafiquant deux trois trucs sur l'invite de commande et c'est parti, le site est inaccessible et entre développeurs, joueurs et créateurs on sait très bien que des gamins en manque d'amis ne trouvent rien de mieux que de semer la colère en faisant cela.. 

 

Des gamins comme ça il y en aura toujours et malheureusement, mais si tu veux un conseil : installe un anti ddos c'est très pratique et marche vraiment bien que la question de base n'était pas sur la protection de ton retro mais plutôt une question, je vais te répondre (enfin ! Je suis plus hors sujet !) 

 

Parmis les nombreux rétro que j'ai pu développer que ce soit en php ou en SQL, là plupart de ces rétros se faisait ddos mais ce n'est pas la cause principale de la mort des rétros, il faut aussi faire attention aux faille XSS, ForceBrute et autres...

 

J'espère en avoir aidé plus d'un par mes commentaires hors-sujets 

Bonne continuation à tous !

UBrain Dev

 

Ma réponse est utile ? N'hésite pas à mettre un pouce bleu ^^

Tu entends quoi par autres?

Sans compter les injections sql?

 

 

 

 

 

Lien à poster
Partager sur d’autres sites
YaZox

YaZox 24

Posté(e)
Posté(e)

Salut :)

J'en n'ai déjà subit aussi, mais bon sa m'atteint pas ce genre de chose.. Que des gamins.

 

~ Développeur en HTML5 ET CSS3 ~

~ Développeur amateur en PHP ~

Lien à poster
Partager sur d’autres sites
Èsska (S-K)

Èsska (S-K) 136

Posté(e)
Posté(e)
Il y a 17 heures, Ubrain a dit :

 

Comme l'à très bien dit Calypso , on est jamais vraiment en sécurité nulle part car faire une attaque ddos est bien plus simple que ce que l'on peut croire, en trafiquant deux trois trucs sur l'invite de commande et c'est parti, le site est inaccessible et entre développeurs, joueurs et créateurs on sait très bien que des gamins en manque d'amis ne trouvent rien de mieux que de semer la colère en faisant cela.. 

 

Des gamins comme ça il y en aura toujours et malheureusement, mais si tu veux un conseil : installe un anti ddos c'est très pratique et marche vraiment bien que la question de base n'était pas sur la protection de ton retro mais plutôt une question, je vais te répondre (enfin ! Je suis plus hors sujet !) 

 

Parmis les nombreux rétro que j'ai pu développer que ce soit en php ou en SQL, là plupart de ces rétros se faisait ddos mais ce n'est pas la cause principale de la mort des rétros, il faut aussi faire attention aux faille XSS, ForceBrute et autres...

 

J'espère en avoir aidé plus d'un par mes commentaires hors-sujets 

Bonne continuation à tous !

UBrain Dev

 

Ma réponse est utile ? N'hésite pas à mettre un pouce bleu ^^

Qu'on sois bien d'accord, on parle pas de failles de sécurité actuellement. Et tu fais quelques erreurs sachant que tu avances le fait que tu gères peut-être mal les failles web. Que ce sois une grosse entreprise ou une petite entreprise ( métaphore quand aux rétros ), il faut savoir qu'il y aura toujours une communauté derrière. Qu'elle sois "pourrie" ou non, ils chercheront forcément pour le moindre d'entre-eux de tester la qualité des services et de ce qu'ils proposent. Et donc ils chercheront à exploiter des failles s'il y en a. Et crois-moi que ça s'arrête pas au brute-force, au XSS, aux injections SQL. Si tu connais que ceux là, tu risques pas d'aller loin, je t'en cite quelques  un:

-> CSRF

-> Include

-> Require

-> Cookies

Et j'en passe.

Ce qui explique que très peu de gens dans la communauté ne connaissent que la base des failles les plus courantes, c'est sûrement car le niveau est très limité. Mais crois-moi que si jamais dans une entreprise tu te fais avoir, en général, c'est jamais pour si peu voir rarement pour pas dire jamais.

Enfin bref, je suis pas venu ici pour faire un cours sur la sécurité, je dis pas que tu es médiocre en tant que développeur, tu devrais éviter d'être hors-sujet.

On parle d'attaque et non d'exploitation de failles.

 

Lien à poster
Partager sur d’autres sites
Ubrain

Ubrain 30

Posté(e)
Posté(e)
Il y a 11 heures, R4x0r3 a dit :

Tu entends quoi par autres?

Sans compter les injections sql?

 

Salut ! Oui c'est vrai que ce que j'ai pu dire était très vague, voici une petite listes des erreurs qui se cachent bien mais dont il est très important d'y faire attentions et certaines de ces failles peuvent être destructrices. 

 

  • Il il y a tout d'abord ce que j'appelle les failles PHP, il en existe plein, en voici deux dont il est important de connaître avant de faire son site : la fameuse faille include() et une faille un peu moins connue, la faille upload. Pur un peu plus d'informations la faille include récupère les données d'une page ne nous appartenant pas et pour upgrade c'est un peu plus technique car c'est de l'injection de code dans le serveur. Je te laisse rechercher pour plis d'infos ^^
  • Le ForceBrute, très connu, il n'agit pas sur le serveur pour une fois, c'est un algorithme en Python qui va tenter des milliers de combinaisons de mot de passe par seconde et donc fini par trouver le mot de passe. Ceci, comme tu peux te l'imaginer peut nous faire accéder à la session d'un administrateur... Pour t'en protéger, il suffit de mettre une variable soit $_COOKIE soit $_SESSION qui va augmenter d'une à chaque tentative de connexion ratée, puis tu rajoute après une vérification (if) qui devrait ressembler à celle-ci : if($_SESSION['forcebrute'] <= 25) { echo '<input type="text" placeholder="Entre ton pseudo et ton mdp">'; } else { echo 'Trop de tentatives échouées !'; } 

C'est les principales failles sur un site il en existe plein d'autres, si je te fais une liste entière j'en ai encore pour dix ans ^^ 

Sur ce, bonne fin de journée !

UBrainDev

 

 

Lien à poster
Partager sur d’autres sites
Èsska (S-K)

Èsska (S-K) 136

Posté(e)
Posté(e)
à l’instant, Ubrain a dit :

 

Salut ! Oui c'est vrai que ce que j'ai pu dire était très vague, voici une petite listes des erreurs qui se cachent bien mais dont il est très important d'y faire attentions et certaines de ces failles peuvent être destructrices. 

 

  • Il il y a tout d'abord ce que j'appelle les failles PHP, il en existe plein, en voici deux dont il est important de connaître avant de faire son site : la fameuse faille include() et une faille un peu moins connue, la faille upload. Pur un peu plus d'informations la faille include récupère les données d'une page ne nous appartenant pas et pour upgrade c'est un peu plus technique car c'est de l'injection de code dans le serveur. Je te laisse rechercher pour plis d'infos ^^
  • Le ForceBrute, très connu, il n'agit pas sur le serveur pour une fois, c'est un algorithme en Python qui va tenter des milliers de combinaisons de mot de passe par seconde et donc fini par trouver le mot de passe. Ceci, comme tu peux te l'imaginer peut nous faire accéder à la session d'un administrateur... Pour t'en protéger, il suffit de mettre une variable soit $_COOKIE soit $_SESSION qui va augmenter d'une à chaque tentative de connexion ratée, puis tu rajoute après une vérification (if) qui devrait ressembler à celle-ci : if($_SESSION['forcebrute'] <= 25) { echo '<input type="text" placeholder="Entre ton pseudo et ton mdp">'; } else { echo 'Trop de tentatives échouées !'; } 

C'est les principales failles sur un site il en existe plein d'autres, si je te fais une liste entière j'en ai encore pour dix ans ^^ 

Sur ce, bonne fin de journée !

UBrainDev

Une fois de plus tu te dépasse! Je m'y attendait pas. Et "Brute-Force"*******

 

-> Le Brute-Force n'est pas forcément fait qu'en Python. Il peut être fait en plusieurs langages différents, ça reste le même procédé.

Ce système déjà pour bloquer le brute-force, est facilement contournable, et par la même façon, il va bloquer un utilisateur lambda si il n'y a pas de durée sur l'erreur "Trop de tentatives échouées". Donc il ne suffit pas de faire ça. Pour contourner, suffit de rajouter la fonction de vider le cache à chaque entrée de donnée toutes les tranches de x tentatives, et donc, ça bypass de loin ton système. Faire une liste entière de failles, c'est impossible sachant que chaque jour, de nouvelles failles sont dévoilées et il y a plusieurs moyens d'exploiter un site. Par ses serveurs ou par les ouvertures liées aux codes. Enfin bref. Pour ce qui est de la faille upload par la même occasion, elle est plutôt connue. Car lorsqu'on envoi un fichier dans notre serveur, il faut bien se douter que ça peut être gênant si quelqu'un arrive à entrer n'importe quoi. Enfin bref, je vais te contre-dire pendant pas mal de temps si jamais je reste plus longtemps sur ce commentaire.

Lien à poster
Partager sur d’autres sites
Ubrain

Ubrain 30

Posté(e)
Posté(e)
à l’instant, Èsska (S-K) a dit :

Une fois de plus tu te dépasse! Je m'y attendait pas. Et "Brute-Force"*******

 

-> Le Brute-Force n'est pas forcément fait qu'en Python. Il peut être fait en plusieurs langages différents, ça reste le même procédé.

Ce système déjà pour bloquer le brute-force, est facilement contournable, et par la même façon, il va bloquer un utilisateur lambda si il n'y a pas de durée sur l'erreur "Trop de tentatives échouées". Donc il ne suffit pas de faire ça. Pour contourner, suffit de rajouter la fonction de vider le cache à chaque entrée de donnée toutes les tranches de x tentatives, et donc, ça bypass de loin ton système. Faire une liste entière de failles, c'est impossible sachant que chaque jour, de nouvelles failles sont dévoilées et il y a plusieurs moyens d'exploiter un site. Par ses serveurs ou par les ouvertures liées aux codes. Enfin bref. Pour ce qui est de la faille upload par la même occasion, elle est plutôt connue. Car lorsqu'on envoi un fichier dans notre serveur, il faut bien se douter que ça peut être gênant si quelqu'un arrive à entrer n'importe quoi. Enfin bref, je vais te contre-dire pendant pas mal de temps si jamais je reste plus longtemps sur ce commentaire.

 

Oui, merci pour les petites corrections S-K, 

Mais après tu n'as fait que répéter ce que j'ai dit :)

 

 

 

Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant
 Partager
Aller sur la liste des sujets
×
×
  • Créer...