Forums Développement Multimédia

Aller au contenu

Test de sécuritée

CODE

12 réponses à ce sujet

#1 draad

  • Members
  • PipPipPipPipPipPipPipPip
  • 654 messages

Posté 16 December 2011 - 18:15 PM

Coucou tout le monde !

J'ai fait une premiere version de la sécuritée de mon jeu, comme on me l'avais proposé un peu plus tôt, j'aimerais que la communauté teste la sécuritée de mon jeu a plusieurs niveaux pour voir si tout marche correctement, et si je ne risque pas de :
1 : être attaqué par injections SQL (perte des bases de données, vol de comptes)
2 : me faire voler mes scripts/fichiers AS3

Je suis aussi en train de me pencher sur un systeme d'encodage des variables pour empecher la tricherie ...

Voici le lien de mon jeu : http://straterrestre...aterrestre.html


Merci a tous !

#2 draad

  • Members
  • PipPipPipPipPipPipPipPip
  • 654 messages

Posté 16 December 2011 - 18:26 PM

PS : le loader n'etant toujours pas fait, vous risquez de rester sur une page blanche quelques minutes avant que le jeu ne se lance.

#3 deuxsucres

    Ceinture Marron

  • Members
  • PipPipPipPipPipPip
  • 115 messages

Posté 19 December 2011 - 16:50 PM

Salut,

Je n'arrive pas a créer de compte pour commencer à jouer... mais j'ai réussi a rentrer en me loguant avec un pseudo et un password vides...

Il n'y a pas de retour utilisateur sur les écrans de login et de création de compte. Aucune info comme quoi le login et/ou le mot de passe ne sont pas valides...

#4 Badwolf

  • Moderateur
  • PipPipPipPipPipPipPipPip
  • 667 messages

Posté 19 December 2011 - 16:56 PM

Vu qu'on ne peut pas saisir de quotes (simple ou double), il est impossible de faire des injections SQL.

Par contre concernant ton swf, je ne vais pas le faire, mais quelqu'un d'un peu acharné, peut copier ton .SWF et avec certains "outils" de décompresser en .FLA avec toutes tes sources et médias et ce, même si tu l'as crypté avec certains outils du marché...

tu devrais tester ton application avec un flash player debugger (disponible sur le site d'adobe) , tu verrais que tu as des erreurs (de code certainement) pouvant provoquer des fuites mémoire.

Modifié par Badwolf, 19 December 2011 - 17:00 PM.

Haoooooooooooooooooooooooooooooooooooooooooooooou !!!

#5 deuxsucres

    Ceinture Marron

  • Members
  • PipPipPipPipPipPip
  • 115 messages

Posté 19 December 2011 - 17:47 PM

Voir le messageBadwolf, le 19 December 2011 - 16:56 PM, dit :

Vu qu'on ne peut pas saisir de quotes (simple ou double), il est impossible de faire des injections SQL.

Même si les champs texte Flash sont protégés, on peut sans passer par le jeux générer une requête qui va inclure des quotes. Il faut donc protéger les appels SQL au niveau du seveur.

D'une manière générale, toutes les requêtes faites depuis flash peuvent être faites depuis une autre application. Il est bien de faire des vérification depuis Flash pour éviter des requêtes inutiles (longueur login, chaine vide...) mais ces vérifications doivent également être faites coté serveur.

#6 draad

  • Members
  • PipPipPipPipPipPipPipPip
  • 654 messages

Posté 20 December 2011 - 03:22 AM

Citation

Salut,

Je n'arrive pas a créer de compte pour commencer à jouer... mais j'ai réussi a rentrer en me loguant avec un pseudo et un password vides...

Il n'y a pas de retour utilisateur sur les écrans de login et de création de compte. Aucune info comme quoi le login et/ou le mot de passe ne sont pas valides...


Etrange, chez moi tout fonctionne :/ La creation de compte est effective si les champs sont bien remplis et que le nom de compte n'est pas déja utilisé, sous IE et sous Firefox. As-tu bien utilisé la section "CREER" ?


Citation

Par contre concernant ton swf, je ne vais pas le faire, mais quelqu'un d'un peu acharné, peut copier ton .SWF et avec certains "outils" de décompresser en .FLA avec toutes tes sources et médias et ce, même si tu l'as crypté avec certains outils du marché...

Comment se proteger de cela? Certains m'avaient parlé de logiciels qui servent a changer toutes les occurences des noms de variables, "obliterateur" je crois ? Serais-ce suffisant ?

Citation

tu devrais tester ton application avec un flash player debugger (disponible sur le site d'adobe) , tu verrais que tu as des erreurs (de code certainement) pouvant provoquer des fuites mémoire.

Merci je vais regarder ça.

#7 Badwolf

  • Moderateur
  • PipPipPipPipPipPipPipPip
  • 667 messages

Posté 20 December 2011 - 11:20 AM

Citation

Comment se proteger de cela? Certains m'avaient parlé de logiciels qui servent a changer toutes les occurences des noms de variables, "obliterateur" je crois ? Serais-ce suffisant ?

il existe des logiciels qui font l'inverse des oblitérateurs, donc en gros il est impossible de protéger a 100% un swf, et quelqu'un d'acharné pourra toujours de "voler" tes sources avec du temps. Tu peux juste mettre des protections comme utiliser un oblitérateur, mais au final ça ne fera que décourager les moins acharnés.
Haoooooooooooooooooooooooooooooooooooooooooooooou !!!

#8 Badwolf

  • Moderateur
  • PipPipPipPipPipPipPipPip
  • 667 messages

Posté 20 December 2011 - 11:21 AM

Voir le messagedeuxsucres, le 19 December 2011 - 17:47 PM, dit :

Même si les champs texte Flash sont protégés, on peut sans passer par le jeux générer une requête qui va inclure des quotes. Il faut donc protéger les appels SQL au niveau du seveur.

D'une manière générale, toutes les requêtes faites depuis flash peuvent être faites depuis une autre application. Il est bien de faire des vérification depuis Flash pour éviter des requêtes inutiles (longueur login, chaine vide...) mais ces vérifications doivent également être faites coté serveur.
encore faudrait-il connaitre les noms des variables $_POST utlisés au sein du script PHP.
Haoooooooooooooooooooooooooooooooooooooooooooooou !!!

#9 deuxsucres

    Ceinture Marron

  • Members
  • PipPipPipPipPipPip
  • 115 messages

Posté 20 December 2011 - 13:44 PM

Voir le messageBadwolf, le 20 December 2011 - 11:21 AM, dit :

encore faudrait-il connaitre les noms des variables $_POST utlisés au sein du script PHP.

Il suffit d'utiliser firebug ou tout autre outil de développement intégré au navigateur pour voir les requêtes faites au serveur et donc obtenir les noms des paramètres et voir s'ils sont passés en POST ou en GET.

#10 Logic

  • Honoris
  • PipPipPipPipPipPipPipPip
  • 2733 messages

Posté 20 December 2011 - 15:53 PM

Voir le messageBadwolf, le 20 December 2011 - 11:20 AM, dit :

il existe des logiciels qui font l'inverse des oblitérateurs, donc en gros il est impossible de protéger a 100% un swf, et quelqu'un d'acharné pourra toujours de "voler" tes sources avec du temps. Tu peux juste mettre des protections comme utiliser un oblitérateur, mais au final ça ne fera que décourager les moins acharnés.

Depuis le temps que j'entends parler de l'existence de ces "acharnés" capable de récupérer des sources obfusquées, sans jamais en rencontrer, je suis curieux.

Saurais-tu le faire ?

#11 Logic

  • Honoris
  • PipPipPipPipPipPipPipPip
  • 2733 messages

Posté 20 December 2011 - 15:58 PM

Draad, 1er test.

J'ai essayé de pourrir ta base de données en automatisant des créations de compte. J'ai utilisé le script suivant:


var loader:URLLoader;
var req:URLRequest;

this.addEventListener( "enterFrame", onFrame );

function onFrame(e:Event):void
{
        loader = new URLLoader();
        req = new URLRequest();
        req.url = "http://straterrestre.franceserv.com/creation.php";
        req.method = URLRequestMethod.GET;
        req.data = new URLVariables();
        req.data.pseudo = getRandString();
        req.data.password = getRandString();
        req.data.mail = getRandString() + "@" + getRandString() + ".com";
        loader.load( req );
}

function getRandString():String
{
        var n:String = "";
        while( n.length < 6 )
                n = Math.round(Math.random()*10000000).toString(16);
        return( n );
}
 


Vérifie dans ta base de données si je n'ai pas fichu trop de bazar. Mais à priori jusque là tout va bien, les créations de compte ont échoué (impossible de me connecter en utilisant l'un d'eux).

#12 dcz.switcher

  • Community Manager
  • PipPipPipPipPipPipPipPip
  • 2532 messages

Posté 20 December 2011 - 15:59 PM

Citation

Depuis le temps que j'entends parler de l'existence de ces "acharnés" capable de récupérer des sources obfusquées, sans jamais en rencontrer, je suis curieux.

C'est un peu comme les fameux internautes qui n'ont ni javascript, ni flash, sous windows 95 en 800x600
"Ce que l'on conçoit bien s'énonce clairement et les mots pour le dire arrivent aisément"

embryon de site

#13 draad

  • Members
  • PipPipPipPipPipPipPipPip
  • 654 messages

Posté 20 December 2011 - 19:13 PM

Ha oui Obfuscateur et non Obliterateur XD hihihihi !

Citation

Vérifie dans ta base de données si je n'ai pas fichu trop de bazar. Mais à priori jusque là tout va bien, les créations de compte ont échoué (impossible de me connecter en utilisant l'un d'eux).

La base de donnée n'a pas bronchée d'un poil :) Merci pour ce premier test !

Citation

il existe des logiciels qui font l'inverse des oblitérateurs, donc en gros il est impossible de protéger a 100% un swf, et quelqu'un d'acharné pourra toujours de "voler" tes sources avec du temps. Tu peux juste mettre des protections comme utiliser un oblitérateur, mais au final ça ne fera que décourager les moins acharnés.

Bon je fais pas non plus un truc gouvernemental, j'veux juste empecher les petits malins de faire n'importe quoi mais je me doute bien que je ne ferais pas le poids face a hackeur professionel. Si je peux deja empecher les hackeur de niveau moyen, ca me va :)



1 utilisateur(s) li(sen)t ce sujet

0 membre(s), 1 invité(s), 0 utilisateur(s) anonyme(s)