Les scanners de vulnérabilité de site web sont des logiciels qui analysent les pages d’un site web (“crawling”), puis effectuent des requêtes HTTP en ajoutant des codes malicieux dans l’URL (ainsi que dans les variables POST, etc.) et analysent le contenu de la page obtenue pour détecter si le code malicieux a été filtré ou non.
L’utilisation de scanners est intéressante dans le cadre de l’audit de sécurité d’un site (à noter que l’usage non autorisé d’un de ces logiciels sur un site est susceptible de relever de l’article 323 du code pénal).
En revanche, ces scanners de vulnérabilité sont dangereux lorsque ce sont des pirates qui les utilisent.
Par ailleurs, certains scanners sollicitent fortement le serveur (exemple : 2 millions de requêtes en 15 heures de scan). Enfin, les variations d’URL, effectuées par les scanners de vulnérabilité, remplissent inutilement le cache de SPIP (exemple : 59 900 fichiers ajoutés dans le cache de second niveau SPIP au bout d’une heure de scan).
Les objectifs de ce plugin sont les suivants :
- Ne pas donner les véritables pages au scanner de vulnérabilité, afin de l’empêcher de conduire ses recherches de vulnérabilité.
- Réduire le temps de traitement des pages demandées par le scanner de vulnérabilité (une fois détecté).
- Diminuer l’impact, sur le cache de SPIP, des variations d’URL envoyées par le scanner de vulnérabilité.
Le bannissement est temporaire, afin de limiter l’impact d’éventuels faux positifs. Une réponse compréhensible avec un décompte de temps est affichée en cas de bannissement.
Différentes mesures effectuées, montrent que les gains obtenus avec le plugin CISEC, lors d’un scan de vulnérabilité, sont conséquents (cf. documentation ci-jointe).
Le périmètre porte sur le site public uniquement. Le périmètre ne porte pas sur les attaques de type spam (un plugin pour SPIP existe déjà sur ce sujet), ni sur les attaques de type déni de service ou déni de service distribué.
Pour plus de détails, se reporter à la documentation ci-jointe.
Version 1.2 du plugin CISEC
- Ajout de la raison du bannissement dans le courriel, qui est automatiquement envoyé, ainsi que dans le fichier de log "cisec_detail.log".
- Si la constante _CISEC_EMAIL est définie dans un fichier d’options, avec comme valeur une adresse email avec une syntaxe valide, le courriel sera envoyé à cette adresse email (et non pas à l’adresse du webmestre qui figure dans le menu configuration de SPIP).
Exemple : define(’_CISEC_EMAIL’,’assistance@test.fr’) ;
- Possibilité d’augmenter les seuils (mais pas de les diminuer) via deux constantes dans un fichier d’options :
- Au moins N POST d’une même adresse IP pendant une seconde.
- Au moins M POST d’une même adresse IP pendant 10 secondes.
Exemple :
define(’_CISEC_MAX_POST_EN_1_S’,5) ;
define(’_CISEC_MAX_POST_EN_10_S’,15) ;
Version 1.3 du plugin CISEC
Ajout d’une règle qui rejette les tentatives d’injection qui utilisent dans l’URL une double occurrence de page=recherche
Version 1.5 du plugin CISEC
Apporte la compatibilité avec PHP 8.0 et 8.1, ainsi que la compatibilité avec SPIP 4.1.
Version 1.6 du plugin CISEC
Apporte la compatibilité avec SPIP 4.2.
Discussions par date d’activité
2 discussions
Bonjour
J’utilise avec bonheur ce plugin.
Est-ce qu’une version pour Spip 4.2.3 et php 8.2 est envisagée ?
Merci
Hello,
je l’utilise déjà depuis la sortie de spip 4.2.6
toutefois mon paquet.xml m’indique
compatibilite="[3.0.0;]"
Dans paquet.xml, la ligne ci-dessous signifie que CISEC nécessite une version de SPIP supérieure ou égale à 3.0.0.
Pour en savoir plus : https://plugins.spip.net/redaction-du-paquet-xml.html , chapitre « Compatibilite »
Répondre à ce message
Bonsoir
J’avais posté un message ici en début d’été (?), mais il a dû rester coincé en modération.
La question était, et reste celle d’une compatibilité future de Cisec avec Spip 4.2 ?
Merci
Bonjour,
Si vous rencontrez un problème avec CISEC sous SPIP 4.2, il convient de me le signaler et je modifierais CISEC.
Sur un site passé en Spip 4.2, en changeant les bornes de compatibilité, les log de cisec montrent l’activité du plugin.
Par contre, je ne reçois plus aucun mél « Bannissement temporaire de l’adresse IP www.xxx.yyy.zzz (Partie d’URL suspecte page=recherche&page=recherche) ».
Mais il se peut que ce soit en lien avec un réglage serveur qui a changé.
Merci
Est-ce que, en dehors du plugin CISEC, l’envoi de mail fonctionne sur le site ?
Est-ce qu’il y a des informations intéressantes :
- dans les logs de SPIP ?
- dans le log d’erreur d’Apache ?
Je viens d’effectuer le test suivant :
a) Partie d’URL suspecte (page=recherche&page=recherche) => bannissement
b) Attente de la fin du bannissement puis partie d’URL suspecte (page=recherche&page=recherche) => nouveau bannissement
c) Attente de la fin du bannissement puis partie d’URL suspecte (page=recherche&page=recherche) => nouveau bannissement
Il y a bien une trace, du déclenchement de l’envoi de mail par CISEC, dans le fichier de log cisec_mail.log.
Remarques :
- L’envoi de mail a lieu en cas de récidive.
- Il y a au plus un mail par tranche de 1 heure pour une même adresse IP pour éviter de saturer la boite aux lettre du webmestre.
Alors :
En dehors de Cisec, je n’ai aucun pb pour l’envoi de mails.
Dans les logs de spip, je ne vois rien de particulier.
Le serveur est un Nginx dont je ne suis pas administrateur.
Dans les logs de Cisec je n’ai pas de cisec_mail.log...
J’ai cisec_post.log ; cisec_detail.log ; cisec_bannir.log
Est-il possible d’effectuer exactement le test précité (points a, b et c) puis de regarder s’il y a un fichier cisec_mail.log ?
Dès l’étape a, ça ne fonctionne pas :
Après saisie de la recherche (page=recherche&page=recherche), la page des résultats de la recherche s’affiche.
Je n’arrive pas à reproduire le problème.
1) Est-ce que la constante _CISEC_PARTIES_URL_SUSPECTES a été définie dans un fichier d’options (mes_options.php ou le fichier d’options d’un autre plugin) ?
2) Créer un fichier test.php, à la racine du site, avec le contenu suivant :
Appeler ensuite dans le navigateur l’URL adresse_du_site/test.php et regarder la valeur de REQUEST_URI. Est-ce qu’elle comprend page=recherche&page=recherche ?
3) Quelle est la version de PHP utilisée ?
Pour :
1) Je n’ai redéfini la constante _CISEC_PARTIES_URL_SUSPECTES nulle part.
2) Avec appel du fichier test.php, je n’ai pas « page=recherche&page=recherche ? » dans REQUEST_URI :
Seulement : ’REQUEST_URI’ => ’/test.php’
3) La version de PHP est la 8.2.7
Pour le point 2, il convient d’appeler dans le navigateur l’URL : adresse_du_site/test.php ?page=recherche&page=recherche
Le résultat est :
- banissement de 30 secondes
- après récidive : page blanche
- rafraîchissement de la page (F5) : affichage du banissement 3 minutes
- après récidive : page blanche
- rafraîchissement de la page (F5) : affichage du banissement 3 minutes
Mais toujours pas de mail signalant le banissement.
Qu’est-ce qui a été modifié pour passer du premier résultat cité :
« Dès l’étape a, ça ne fonctionne pas :
Après saisie de la recherche (page=recherche&page=recherche), la page des résultats de la recherche s’affiche ».
au second résultat cité :
« Le résultat est :
- banissement de 30 secondes »
Et bien :
Encore à l’instant, si dans le formulaire de recherche du site, je saisis « page=recherche&page=recherche », le site affiche le résultat de la recherche.
Mais quand je saisis l’url mon site/test.ph ?page=recherche&page=recherche, cela m’affiche le décompte du banissement.
Bonjour,
CISEC regarde si une URL demandée contient page=recherche&page=recherche.
Lorsqu’on renseigne page=recherche&page=recherche dans le formulaire de recherche, l’URL demandée se termine par recherche=page%3Drecherche%26page%3Drecherche car elle est encodée (par la fonction urlencode de PHP).
Aussi, il est normal que CISEC ne la détecte pas.
Si on souhaite que CISEC détecte recherche=page%3Drecherche%26page%3Drecherche il convient de définir la constante _CISEC_PARTIES_URL_SUSPECTES avec les contenus souhaités (séparés par le caractère pipe) dans un fichier d’options (mes_options.php ou le fichier d’options d’un autre plugin).
Répondre à ce message
Ajouter un commentaire
Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :
Merci d’avance pour les personnes qui vous aideront !
Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.
Suivre les commentaires : |