Re: Tentatives possible réussies attaque serveur
Le 9 oct. 2015 à 16:46, Eric Degenetais <edegenetais@henix.fr> a écrit :
> Le 9 octobre 2015 16:24, Dominique Asselineau
> <asseline@telecom-paristech.fr> a écrit :
>> Un script peut tout à fait retourner une réponse HTTP autre que 200.
>> C'est ce que je fais lorsqu'on demande une ressource qui n'existe pas
>> ou qui n'est pas autorisée pour la requête.
>
> Certes...mais il y a des cas où il vaut mieux retourner 200 tout le
> temps. Après tout, index.php existe, l'URL est donc correcte, donc 404
> n'est pas tout à fait une réponse adaptée. Quand un robot fait du
> sondage en masse, lui retourner un code d'erreur sauf si ça tappe
> juste peut l'aider à trouver.
… et inversement !
> Par exemple, renvoyer un 200 uniquement en cas de succès de login est
> de nature à faciliter les attaques en force…
Ce n'est pas garanti. J'ai des milliers de requêtes en 403 sur mes pages de login, et cela
ne les dérange pas plus que ça.
Sur le principe, la page c'est "/index.php" ou "/index.php?login=machin&passwd=bidule" ?
Dans le premier cas, le serveur doit renvoyer un code 200 quels que soient les arguments
passés en variable.
Dans le deuxième cas, non et je suis d'accord avec Sylvain. Mais alors… il n'y aurait qu'un
login et un mot de passe ?
Bon, en fait quel que soit le code de réponse renvoyé, et vu que ça n'affecte pas les chieurs,
je crois que c'est un faux problème.
Les seuls qui vaillent la peine que l'on s'attarde de façon pratique, c'est de bien vérifier que
les variables demandées ne s'affichent pas sur la page et de créer un fichier dans Fail2Ban
pour envoyer les demandeurs aux pelotes.
>
> ______________
> Éric Dégenètais
> Henix
>
>
> http://www.henix.com
> http://www.squashtest.org
>
Reply to: