Français
Pages: 1
Bonjour,
Je fais quelques tests en environnement local dans le cadre d’un labo/CTF, et j’ai monté une petite instance Piwigo pour comprendre ce qu’un attaquant pourrait voir pendant la phase de reconnaissance.
Pour la partie découverte de répertoires, j’ai utilisé un outil type Dirb (bruteforce de chemins).
Pour ceux que ça intéresse, j’avais rédigé un article expliquant le ***********.
Sur l’instance Piwigo que j’ai déployée, Dirb remonte quelques répertoires liés aux plugins ou aux uploads. Rien de critique en soi, mais c’est intéressant de voir la surface d’exposition quand l’install n’est pas encore durcie.
Est-ce que certains ici ont déjà fait ce genre de tests en local ?
Des répertoires qui vous ont surpris ou des bonnes pratiques particulières pour réduire ce qui est visible ?
Je précise que c’est uniquement sur une instance personnelle en VM.
Dernière modification par ddtddt (2025-11-21 06:48:33)
Hors ligne
azrman, si tu as fait du brutforce, cela signifie que tu as fait de nombreux essaie, de nombreux appel.
On pourrait imaginer qu'au bout de X appel, on bloque l'ip temporairement. Bien entendu, de mon point de vue, c'est une action non pas à faire à haut niveau, au niveau de l'application web, mais à plus bas niveau.
J'ai souvent entendu lire, parler de fail2ban. Tel que j'ai pu comprendre, le logiciel lie dans les fichiers de log d'accès du serveur Web (ngnix, apache, ..). Si le logiciel rencontre un grand nombre d'accès avec la même ip, le logiciel bloque alors l'ip en interrogeant le parefeu.
On m'a également parlé de nftables que je ne connais pas, mais qui permettrait de le faire, mais encore à plus bas niveau, mais qui demanderait peut-être un peu plus de lecture, et un peu plus compliqué au début pour le prendre en main.
Hors ligne
Bonjour,
@lexi: oui fail2ban fonctionne parfaitement
sur l'instance accessible depuis internet, plus 105 000 adresses IP sont maintenant bloquées.
La vague de tentative sur les serveurs apaches est clairement visibles sur le page de suivi d'activité de piwigo (v15)
cf la copie d'écran : https://ibb.co/xt75QGYQ
@azrman: j'ai pas fait ce type de test, mais je suis très intéressé par ce sujet.
dans le post il est fait référence à un article, mais ne manquerait il pas un lien? / Merci !
A quand un hackaton sur piwigo pour encore plus améliorer la sécurité ?
Dernière modification par Phil35 (2025-11-26 10:47:12)
Hors ligne
Pages: 1