sebsauvage.net

Ce site n'est pas le site officiel.
C'est un blog automatisé qui réplique les articles automatiquement

Sécurisation d'applications Web - Système de bannissement en php

Wednesday 7 August 2013 at 18:37

J'ai ajouté mon système de bannissement d'adresse IP au système de login de Codiad. Trop d'essais avec le mauvais mot de passe, et l'adresse IP est bannie pendant 30 minutes. C'est suffisant pour bloquer les attaques de type brute-force. C'est très facile à ajouter, ça m'a pris 2 minutes, et ce genre de manipulation peut se faire sur pratiquement n'importe quelle appli web sans trop de difficultés. Il suffit de localiser l'endroit du code qui vérifie la validité du mot de passe.

Voilà comment procéder pour Codiad: J'ai mis mon petit "ban.php" dans le répertoire /component/user/ de Codiad: http://sebsauvage.net/paste/?7d32a7e48aeefb0f#5gIhzFvURzmZze+XpLVr66T+FBAd5z4u+0t5rtuSBYc=
puis j'ai modifié class.user.php. Voici le diff: http://sebsauvage.net/paste/?444102b53288a3a6#QC80ccMjOCpJJCWl7J9f93RoKzoWsAASOhqLPRNNtVk=

Vous voyez, il n'y a vraiment pas grand chose à changer: 2 lignes à ajouter, et 2 lignes à modifier, et voilà un formulaire de login protégé contre le brute-force.  :-)

La petite subtilité ici, sur la manière dont je l'ai intégré, c'est que le pirate ne pourra pas faire la différence entre un bannissement et un mot de passe incorrecte: S'il est banni, on continuera à lui répondre que le mot de passe est incorrecte, même s'il est bon. Gniark gniark.  (◠‿◠)
(Permalink)

Source: http://sebsauvage.net/links/?AzNPPw