Jump to content
Sign in to follow this  
shenron76

Compte hacké ?

Rate this topic

Recommended Posts

Bonjour,

Je suis le webmaster d'un site sur lequel les membres possèdent des crédits pour jouer à des jeux.

Je possède un compte sur le site (comme si j'étais un simple membre) et un autre compte permettant d'accéder à la partie administration du site.

Vendredi dernier, le 23/05/08, j'ai passé la journée connectée sur Internet (via la connexion wifi d'un ami). Durant cette journée, je me suis connecté plusieurs fois à mon compte "membre", à mon compte "admin" sur mon site.

Hier (samedi 24/05/08), je vais sur la partie admin et là je m'aperçois que le compte comportant l'id "125" a gagné le 23/05/08 aux alentours de 13h50. Sauf que le le compte 125, c'est MON compte "membre" !!!!! Je vais voir un peu plus en profondeur et là je m'aperçois que l'adresse email a été modifiée ! Mon adresse email a été remplacée par l'adresse "iona.i_AT_libero.it" ! Mon mot de passe n'a pas été modifié, mon adresse postale n'a pas été modifiée, bref, juste l'adresse email a été changée et tous les crédits ont été utilisés (je me sert de ce compte pour tester les jeux).

Le problème n'est pas vraiment que mes crédits aient été utilisés (car j'ai évidemment supprimé le gain) mais plutôt que quelqu'un ai réussi à accéder à mon compte "membre" !!!

Pour l'identification j'utilise un système de session (pseudo + mot de passe), le mot de passe est hashé dans la bdd et comporte 11 lettres...

Comment cela a-t-il pu arriver ?

(J'ai pensé à une interception des données via la connexion wifi ?)

Comment protéger d'avantage ?

Merci d'avance à ceux qui pourront m'aider car j'avoue être étonné de cette situation (en 4 ans de webmastering, et développement d'applications web, c'est la première fois que je suis sujet à un tel problème !)

Share this post


Link to post
Share on other sites

Hello,

via un sniffeur Wifi il peut effectivement être très simple de voler la session PHP... voir même les logins/pass que tu utilises pour les formulaires, pour les .htpasswd, pour te connecter en POP, en IMAP, ainsi qu'en FTP.

S'il existe des versions cryptées de ces protocoles, c'est bien parce que la version "classique" n'est pas suffisante.

Et il n'y a pas que le Wifi qui est exposé. La plupart des autres clients de ton hébergeur peuvent facilement "piquer" l'IP de ta machine de temps à autre afin de tracer tout ce qui passe.

Bref. Pour l'espace d'administration, une connexion via SSL serait la bienvenue.

Pour les comptes "normaux", selon l'importance des données un simple mécanisme de protection pour se prémunir du vol de session devrait suffire.

Sans oublier de changer tes mots de passe, évidement.

Pour la connexion Wifi de ton pote, vérifier qu'elle est cryptée en WPA et pas en WEP.

Maintenant si le gars a eu l'occasion de choper tes pass FTP, perso j'effacerais et ré-uploaderais tout le site.

Share this post


Link to post
Share on other sites

Je ne préfère pas donner en public afin de ne pas faire peur aux membres ... :) Car même si c'est la première fois en 4ans d'activité je préfère rester discret...

Share this post


Link to post
Share on other sites

Bonjour,

Si ton id de session circule par lien et non par cookie, ce schéma est envisageable :

- tu ouvres une session sur ton interface d'admin ;

- tu changes de page dans ton navigateur via un lien sans te déconnecter, donc sans détruire ta session ;

- le site suivant où tu vas, dispose dans son système de suivi, de ton referer, donc de ta session.

Si vous saviez le nombre d'interfaces d'administration auxquelles il est possible de se connecter comme ça!

Peut-être cela n'a rien a voir, c'est juste une piste...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×
×
  • Create New...