[ Sécurité ] Cachez vos informations sensibles !

 dans CMS, Dokuwiki, Drupal, Failles, Linux, Outils, Sécurité, Serveur, WordPress

Bonjour les geeks !

Je vois de plus en plus souvent des problèmes sur le développement de certains sites.
Certains affichent des informations confidentielles comme la version du PHP ou encore le mot de passe BDD en clair en cas de saturation des connexion ( c’est grave ).

PHP : La version du PHP

Lorsque vous installez PHP sur votre serveur, celui-ci installera des fichiers de configuration comme le « php.ini » ( ce qui est normale hein ).
Le problème est qu’il définie aussi la fonction « expose_php » à « on » ce qui permet l’affichage de la version de votre PHP dans les headers.

Est-ce le cas pour vous ? Il vous suffit de le tester :

wget -S -O /dev/null www.monsite.com

Par mesure de sécurité, il faut passer cette valeur à « off » dans le fichier « php.ini » et recharger votre service http ( Apache / Nginx ).

MySQL : Too Many Connections

Cette erreur de « Too Many Connections » se produit lorsque votre base de données est saturée en nombre de connexion. L’erreur est assez explicite quand même !
Lorsque cette erreur se produit, voici un exemple de ce que vous pouvez avoir sur votre page ( visible aux visiteurs ) :

monsite/libraries/drivers/Database/Mysql.php [69]:
mysql_connect() [function.mysql-connect]: Too many connections
Stack Trace
monsite/libraries/drivers/Database/Mysql.php [69]:
mysql_connect( ***DB LOCATION******DB USER******DB PASSWORD***, 1 )
monsite/libraries/Database.php [221]:
Database_Mysql_Driver->connect( )
monsite/libraries/Database.php [1258]:
Database_Core->connect( )

Le plus grave dans l’histoire, c’est que cette erreur vous fournis à l’écran le nom de votre base de données, l’utilisateur ainsi que le mot de passe en clair.
En gros, le hacker aura juste à défoncer votre site pour saturer la base de données ( faire aussi des connexions en Sleep sur la BDD ), afficher l’erreur puis de trouver votre phpMyAdmin !

Pour limiter cela, je vous recommande de rajouter cela directement dans votre code :

error_reporting(E_ALL & ~E_STRICT);
ini_set('display_errors', 'Off');

Je dit bien dans votre code cat dans le cas ou vous le mettez dans le « htaccess », il peut encore être surchargé par votre code.

Peut être que d’autres articles arriverons sur le même goût ( à voir selon la demande ).
En attendant, soyez prudent avec vos informations !

A bientôt

 

Articles recommandés