Un billet court: pour vous dire que je viens de mettre en ligne un proxy.

Informations sur ce proxy

Je pense vraiment que les proxys sont une arme importante pour combattre la censure et garder un minimum d’anonymat sur Internet. La plupart des sites sur le Web proposants des proxys en ligne sont bourrés de publicités, très lent et ne fonctionnent jamais correctement.

Certains sont même source d’infections et de virus.

La particularité du proxy de ce blog est d’être léger et sans la moindre publicité. Il fonctionne parfaitement et a été testé plusieurs fois avant d’être mis en ligne à votre disposition. En plus d’être simple d’utilisation ce proxy est entièrement paramétrable.

Il est mon arme primaire pour combattre les censures que pratiquent nos fournisseurs d’accès internet au Maroc (Inwi, Maroc Telecom et Meditel).

Fayçal ELK

Une base de donné dit souvent BDD sert à regroupé des donnés de façon organisé. C'est comme un tableau. Le tout en forme de colonnes et de lignes. Les colonnes représentent les attributs. Les lignes sont les tuples.

Ça va jusqu'ici ? Très bien.

Vous voulez en savoir plus sur l’injection SQL ? N'ayez pas honte, suffit de le dire, c'est la technique utilisé pour saisir des données malveillantes dans une instruction SQL, qui serait donc l'actuelle vulnérabilité sur la couche des bases de données.

Pété de rire ! Il semble que Kevin qui a récemment pris l'apprentissage d'un langage de développement web a essayé la technique sur son site Web préféré. Heureusement pour ce site, cette technique n'est pas du tout difficile à s'en protéger.

Exemple, des livres classés dans une bibliothèque : bases de données.

SQL (prononcez «ESS-qu-el») signifie Structured Query Language. SQL est utilisé pour communiquer avec une base de données. Selon la norme ANSI (American National Standards Institute), il est le langage standard pour les systèmes de gestion de bases de données.

Les instructions SQL sont utilisées pour effectuer des tâches telles que mettre à jour des donnés sur une base, ou de récupérer des données d'une base.

Nous pouvons donc commander l'envoie de la liste des utilisateurs inscris sur un site ou fofo sinon le titre des billets sur une page d'accueil d'un blog. Les deux requêtes sont indépendantes des internautes parcourant le site. Par exemple (avec la table précédente) :

Grâce à cette commande (requête, j'évite d'utiliser des mots techniques qui peuvent vous faire perdre d'orientation) on peut avoir la liste des marques contenues dans la table ordinateur du tableau.

Un système de connexion sur site va utiliser une requête SQL pour vérifier si le pseudo et le mot de passe saisis correspondent vraiment à un internaute inscrit dans le site.

Et comme ces donnés sont stockés dans une base de données, il faudra alors comparer avec tous les internautes présents dans la table correspondant aux membres. Ainsi la requête est utilisé dépendante des informations de l'utilisateur, elle les utilise dans sa requête. Exemple :

Je vous laisse deviner que $pseudo représente le pseudo que l'utilisateur a tapé dans la zone de saisie, le même cas pour $pass qui représente le mot de passe. Normalement, si la transmission se fait par POST, elles auraient la forme $_POST['pseudo'] et $_POST['mdp'].

L'injection SQL c'est le fait de saisir des informations qui vont être utilisées dans une requête afin de modifier le fonctionnement de cette BDD.

Simple, il faut modifier la requête comme on veut.

En fait le principe, c'est d'ajouter un caractère en fin de chaîne dans le champ de saisie puis insérer ce que l'on veut ensuite ou terminer la requête.

Disons que je veux taper dans le champ "pseudonyme" par exemple "Fayçal", niveau requête ça donne ceci:

Normalement vous allez devoir vous apercevoir qu'il n'y aura plus besoin de mot passe, la connexion est réussite.

Compris le principe ? Okey. Next step.

L'injection SQL est une phrase très effrayante. C'est grâce à ça que les pirates down les sites des responsables gouvernementaux majeurs, des milliers de pages d'accueil personnelles et tout le reste.

Pourtant, croyez-le ou non, se prémunir contre l'attaque est simple comme un couple de lignes de code.

On va utiliser une fonction nommé mysql_real_escape_string(). Elle désactivera les caractères de fins de chaînes comme ' ou ". Des des antislashs serons alors automatiquement ajouté pour échapper à ça.

A savoir que ces antislashs seront reconnu comme étant de simples caractères. Ça donne ceci:

La sécurité est maintenant assuré.

• Une BDD est constitué de: tuple et attribut, cela forme alors une table
• Les caractères de fin de chaîne peuvent permettre d'insérer du code dans votre requête
• mysql_real_escape_string() est une fonction qui permet de se protéger

Fayçal ELK

Je partage l'information comme l'ont fait Seb et Timo. Un chercheur de CERN a été emprisonné sans raison valable. Pourquoi ? Allez leur demander. Et ces gens la en costard cravate veulent nous faire croire qu'ils essayent de mettre en place un système de liberté d'expression ou encore des droits de l'homme.

Putain, mais sérieux ou va ce monde ?

Faites tourner l'information.

Fayçal ELK