Livre:

WatchFire


Vidéo:
Cours Sécurité:
  • Définitions Niveau : Débutant (Français)
    tout les mots que vous voulez savoir mais que vous n'osez demander.
  • Histoire Niveau : Débutant (Français)
    un peu d'histoire pour ceux qui aiment
  • Cours Metasploit Niveau : Intermediaire (Français)
    Le Framework Metasploit est un environnement complet pour écrire, tester et utiliser des exploits. Cet environnement fournit une plateforme solide pour les tests d'intrusion, le développement de shellcodes, et la recherche de vulnérabilités. La majorité du Framework est composée de code orienté objet Perl, avec des composants optionnels écrits en C, assembleur, et Python.
  • hackers_guide Niveau : Avancé (Anglais)
    Se placer du point de vue de l'attaquant pour améliorer sa propre sécurité. - Telecharger le rar: hackers_guide.rar
  • Reseaux de neuronnes Niveau : Avancé (Français)
    Les objectifs, l'histoire, les applications. Le modèle d'un neurone, fonction de transfert, architecture de réseau. Les outils mathématiques : algère linéaire, espace vectoriel, produit scalair, norme, orthogonalité, transformation linéaire. Les apprentissages : supervisé, non-supervisé et autres. Le perceptron multicouches, les nuées dynamiques (K-means, fuzzy k-means...). Les réseaux de Kohonen. Reseaux GNG, Architecture ART. ACP et apprentissage hebbien. - Telecharger le zip: RNF
  • Crackage et durcissement de mots de passesNiveau : Débutant (Français)
  • Securiser un forum PhpBBNiveau : intermediaire (Français)
Tutoriaux
Tutoriaux Failles Web
Divers
Articles
Source : NoFutur, Noway, NoRoute, Jokers, Hacker2020, Phrack, libertad, lotfree, Wikipédia, etc..
Retour à la liste des articles
SOURCE:http://www.aidoforum.com/tutoriaux-161-securiser-votre-forum-phpbb.html
-> Sécuriser votre forum phpbb


Etape 1 : Les dossiers

Pour commencer, juste après l'installation de votre forum, il vous faut supprimer les dossiers install et contrib à la racine de votre forum (le dossier et tout son contenu).

Après, vous supprimez les dossiers (et toujours leur contenu) suivant :
  • db/schemas/
    (seulement le dossier schemas/ et son contenu, n'effacez pas le dossier db/ et les fichiers s'y trouvant)
    docs/
  • Maintenant, il faut augmenter la sécurité de certains répertoires. L'opération se déroule grâce à un fichier htaccess. Créez un fichier texte et incrivez dedans cette unique ligne (sans espace après le dernier mot, ni saut de ligne) : deny from all

    Vous l'enregistrez sous le nom htaccess.txt

    Ensuite vous le transférez par FTP (en mode ASCII, cette fonction dépend de votre logiciel FTP) dans les répertoires qui suivent et vous le renommez ensuite en .htaccess :
  • includes/
    db/
    language/
  • Pour finir cette première étape de protection, il nous faut supprimer les fichiers inutiles de votre forum.
  • templates/subSilver/install.tpl
    (subSilver est à remplacer par le nom de votre template), supprimez le fichier install.tpl
    db/
    effacez les fichiers qui ne correspondent pas à votre type de base de données. Pour MySQL par exemple, vous laissez seulement les fichiers db2.php, mysql.php, mysql4.php (pour MySQL 4.x), et index.htm

  • Etape 2 : Protection du fichier config.php

    Le fichier config.php se trouve par défaut à la racine de votre forum. Pour plus de sécurité, nous allons le déplacer dans un nouveau répertoire.

    Pour cela, créez un répertoire à la racine de votre forum et appelez-le comme vous voulez (en respectant ces seules conditions : pas de majuscules ni d'espaces). Dans mon exemple, je le nommerais includes_toto. Cette opération effectuée, ajoutez dans le répertoire nouvellement crée un fichier .htaccess comme décrit dans le message précédent. Pour finir, déplacez le fichier config.php dans le nouveau répertoire (n'oubliez pas se supprimer le fichier config.php à la racine du forum).

    Maintenant, il faut modifier un autre fichier pour que cette modification soit prise en compte. Editez avec le bloc-note par exemple, le fichier common.php situé à la racine du forum et faites comme suit :


    ----[ Ouvrir ]----

    common.php

    ----[ Trouver ]----

    include($phpbb_root_path . 'config.'.$phpEx);

    ----[ Remplacer par ]----

    include($phpbb_root_path . 'includes_toto/config.'.$phpEx);


    le répertoire includes_toto est à changer par le nom que vous avez donné à votre nouveau répertoire contenant le fichier config.php.

    Enregistrez et transférez le fichier common.php modifié par FTP à la racine de votre forum (remplacez l'ancien).

    Astuce supplémentaire

    Vous pouvez mettre un fichier config.php servant de leurre à la racine de votre forum, celui-ci contenant de mauvaises informations pour les variables $dbname, $dbuser, $dbpasswd et $table_prefix.

    (merci à FX pour son sujet sur lequel je me suis basé pour les étapes 1 et 2)

    Etape 3 : Protection du dossier admin

    Le dossier admin/ étant une pièce maîtresse d'un forum phpBB, tout ceux ayant le rang d'administrateur (de façon officielle comme officieuse) peuvent modifier l'intégralité d'un forum. Il convient donc de sécuriser cette zone. Pour cela, la création d'un système HTaccess composé de deux fichiers nommés .htaccess et .htpasswd est une protection efficace, qui oblige donc tout administrateur à rentrer un indentifiant et un mot de passe pour accéder à l'administration.

    Certains hébergeurs proposent depuis le panel de gestion d'un compte la possibilité de créer des protections sur les répertoires présents sur le ftp. Si ce n'est pas le cas, il reste la méthode manuelle. Là encore, tout dépend de votre hébergeur, car la manipulation peut se révéler différente suivant celui-ci. Par exemple, pour ceux étant sur un hébergement Free, il vous faut suivre ce qui se trouve sur cette page (Free uniquement). Il vous sera expliqué comment créer un fichier .htaccess et .htpasswd pour un répertoire spécifique. Donc, renseignez-vous auprès de votre hébergement s'il existe une page spéciale détaillant la marche à suivre, sinon passez par un tutorial disponible sur internet
    PHPdébutant
    SiteduZer0

    Sources supplémentaires:

    Il existe quelques outils annexes pour générer un système HTaccess, ou bien pour crypter le contenu du fichier .htpasswd. Voici deux adresses parmis celles disponibles sur internet:

    htaccess generator
    ce script vous permettra de générer simplement des fichiers .htaccess et .htpasswd.
    htpasswd Content Generator
    cette page vous permettra de crypter rapidement le contenu du fichier .htpasswd.

    Etape 4 : Garantir une sécurité accrue dans l'ACP

    L'ACP (Administration Control Panel) permet donc de gérer la totalité d'un forum phpBB, et même la base de données associée. Or, si une personne malveillante arrive à avoir accès au panneau d'administration, il peut facilement supprimer entièrement la base de donnée. Je préconise deux choses pour éviter ce résultat, n'avoir aucun accès à la base de données depuis l'ACP, et ne gérer cette base de donnée que depuis un module extérieur également sécurisé. J'entends par là, par exemple, l'utilisation de PhpMyAdmin (fourni la plupart du temps par l'hébergement et sécurisé par défaut). Renseignez-vous auprès de votre hébergeur.

    Pour empêcher l'accès à la base de données depuis l'ACP, supprimez depuis votre ftp les fichiers suivants:
  • admin/admin_db_utilities.php
    templates/subSilver/admin/db_utils_backup_body.tpl
    templates/subSilver/admin/db_utils_restore_body.tpl
  • Bien entendu, évitez par la suite d'installer des Mods permettant de lancer des actions directement dans la base de données (par exemple: un Mod pour ajouter des requêtes SQL, un Mod pour réparer ou optimiser la base de données). Toutes ces actions doivent être effectuées depuis PhpMyAdmin ou tout autre module extérieur, module sécurisé bien évidemment. Si un hébergeur fourni PhpMyAdmin, son accès est le plus souvent sécurisé. Si rien n'est disponible par votre hébergeur, vous pouvez vous-même installer PhpMyAdmin
    (ou bien eSKUeL) et en protéger l'accès via un HTaccess.

    Etape 5 : Identifiants et mots de passe

    Pour que la sécurité de votre forum soit vraiment efficace, il faut avant toute chose bien choisir vos mots de passe, ou plutôt ne pas les choisir du tout. Préférez des mots de passe assez longs (6-12 caractères étant une bonne moyenne) composés d'une succession aléatoire de chiffres et de lettres, n'ayant aucun rapport avec votre vie. Donc ne choisissez pas la plaque d'immatriculation de votre voiture, et encore moins votre date de naissance. Si vous voulez les noter, comme pense-bête, ne le faites que dans un endroit sûr de votre PC, ou sur un support autre qu'informatique.

    Deuxième point important, et cela concerne la plupart du temps les équipes administratives d'un forum, ne laissez aucune traces d'identifiants et de mots de passe dans les sections privées d'un forum ou dans un message privé. Si une personne malveillante récupère un rang d'administrateur, elle pourrait avoir accès facilement à ces données. si vous devez passer ces informations à une autre personne, faites le d'une manière indépendante au forum.

    Etape 6 : Indexation des répertoires

    Par défaut, le contenu d'un répertoire est visible par tous s'il ne contient pas au moins un fichier index.htm(l). Ce fichier empêche simplement qu'un visiteur puisse visualiser le contenu d'un répertoire. Le dossier templates/ en contient un par exemple (taille: 169 octets). Si vous avez ajouté des répertoires dans votre forum, contenant des images ou autres fichiers, copiez dans ceux-ci ce fichier index.htm pour ne pas lister son contenu.

    (tutorial par reddog - EzCom)

    Par reddog, le 13 Avril 2005 à 18h06