[PHP] [TUTO] Anti Brute Force

[SonGoku]

Bonjour à tous !

Voici aujourd'hui un Tuto ( assez simple ) pour vous proposer d'empêcher des personnes malveillantes d'essayer de casser les mots de passe de votre site internet, en utilisant la méthode du Brute Force.​

Donc voilà comment faire ?
Identifier l'ordinateur qui essaye de se logger
Vérifier si il a déjà rentré plusieurs mdp faux
En fonction du résultat lui autoriser ou non l'accés​

Dans le tuto il y aura la présence d'un système
de login il ne sera pas expliqué ici car il n'y en a pas grande utilité je vous signale juste qu'il utilise mysql​

Le code​

Tout d'abord il vous faudra créer une table mysql. Elle doit contenir les champs user(en texte), timestamp(en
bigint(20)) et pour finir tentative(en decimal(10,0)).

Ensuite, il faut connaître la personne qui essaye de se logger. Nous allons utiliser les fonctions:

gethostbyaddr => donne le DNS de l'adresse ip.
REMOTE_ADDR => Avoir l'ip de l'utilisateur

Voilà maintenant on sait qui a essayé de se connecter

Vous devriez en être à ce point là :) .

Bilan => utilisateur identifié et recherché dans la bdd.

Ensuite nous allons essayer de nous logger.

Voilà on a essayé de se logger. Aller on va dire que nous sommes malveillants et que nous avons utilisé un
système de brute force pour essayer de nous logger. Bien sûr le mot de passe, à moins d'une chance inimaginable ne
sera pas bon( une chance sur 2.4815578026752E+014 pour un mot de passe à 8 caractères alphanumérique).​

Que va-t-il se passer maintenant ?​

S'il y a eu plus de 1 minute depuis les 5 erreurs on remet la valeur de tentative à 0.​

S'il n'y a jamais eu d'erreur alors on crée les valeurs dans la table de la bdd.​

Et s'il y a déjà eu une tentative on augmente la valeur de 1.

Maintenant rappelez vous, nous avions dit plus haut
Citation : plus haut​

// Si les tentatives de login sont inférieures à 5 (même si la valeur et 4 au départ le champ 'tentative' n'a
pas de valeur dans la bdd).​

Mais si elles sont égales à X (où X est le nombre de tentatives) ?​

Il y a 2 solutions : soit ça fait plus de 60 secondes que les tentatives ont été faites et alors on supprime l'utilisateur
de la bdd de brute force​

Si non, s'il y a eu plus de 5 tentatives en 60 secondes alors bah là c'est à vous de voir soit vous pouvez bannir
l'utilisateur, soit vous pouvez laisser couler le mec va se casser les dents car il ne pourra faire que 5 tentatives
toutes les 60 secondes ce qui sera extrêmement long et donc je pense qu'il finira par abandonner​

Corriger​

Voilà je vous ait expliqué pas à pas le code donc je pense qu'il ne devrai pas avoir de problème
Voilà quand même tout le code .​

Et voilà !!

Cordialement

SonGoku

sources : Ce lien n'est pas visible, veuillez vous connecter pour l'afficher. Je m'inscris!

 

[Astropilot]

Très intéressant comme tutoriel, merci beaucoup :)

 

[Nen-uphar]

Je savais meme pas que des gens faisaient ca (le naif), merci du tutoriel !

 

[Evaelis]

mysql_connect est supprimé sur les dernières versions de PHP, check du cote de la class PDO ou de mysqli.
Ensuite rarement tu brutes force sans proxy mais l'idée reste intéressante.
Escape le HOST (Change X-Forwarded-For header in between each request. The IP we submit through this header will be passed to gethostbyaddr()), ce serait con de prendre une injection.

 

[SonGoku]

mysql_connect est supprimé sur les dernières versions de PHP, check du cote de la class PDO ou de mysqli.
Ensuite rarement tu brutes force sans proxy mais l'idée reste intéressante.
Escape le HOST (Change X-Forwarded-For header in between each request. The IP we submit through this header will be passed to gethostbyaddr()), ce serait con de prendre une injection.

Disons qu'un débutant qui veut brute force, ça va le ralentir :) Après c'est sur qu'un expérimenté, ça va le faire rire.

 

[Evaelis]

Disons qu'un débutant qui veut brute force, ça va le ralentir :) Après c'est sur qu'un expérimenté, ça va le faire rire.

Quoiqu'il en soit, la faille SQL ca c'est dangereux.
Mais c'est un bon tutoriel.
A noter que Microsoft a arrete ce système pour hotmail lorsqu'il y avait des bloqueurs de compte.

 

[SonGoku]

Quoiqu'il en soit, la faille SQL ca c'est dangereux.
Mais c'est un bon tutoriel.
A noter que Microsoft a arrete ce système pour hotmail lorsqu'il y avait des bloqueurs de compte.

Je savais pas qu'ils avaient arrêté, d’accord

 

[• CrG •]

Je savais pas qu'ils avaient arrêté, d’accord

J ai adoré ta façon de lui repondre. Preque avec légèreté.

 

[SonGoku]

J ai adoré ta façon de lui repondre. Preque avec légèreté.

C'était avec légèreté, @Evaelis est a traiter avec soin.

 

[• CrG •]

Nivea le soin beauté
Nivea la touche professionnel

 

[Evaelis]

D'ailleurs maintenant qu'on en reparle, cette faille est vraiment dangereuse kappa

 

[SonGoku]

D'ailleurs maintenant qu'on en reparle, cette faille est vraiment dangereuse kappa

Ça ajoute du piquant comme ça.
Dangereuse ça dépend pour qui ^^

 

[Raayz]

merci beaucoup ça pourrait m'aider pour plus tardd

 

[w8ing]

Dans le cas d'une tentative de bruteforce il est plus intéressant de stocker tout ça sous forme de fichier, ça évite les requêtes inutiles pouvant saturer le serveur et c'est beaucoup plus rapide.

 

[Vente_Or_S2]

Merci à toi je peuxx me protéger mnt

 

[AstonishingBoy]

Great

 

[Zealey]

Ceci est toujours d'actualité ? Je sais que l'injection SQL l'ai toujours mais vous pensez que ça marcherait à protéger contre les injections sql ?

 

[orangekush]

thanks

 

[skyledtouri]

Merci, ça pourrai servir un jour !

 

[wospix]

Pas mal. mais plus vraiment d'actu !