Discussion :

[Alexandre T]

Bonjour,

Je suis en train de monter un serveur Web de jeux en lignes avec un ami. Les premiers jeux marchent très bien. Mais certains malins essaient de faire de l'injection SQL pour gagner plus de sous Afin de tester la sécurité de mon site, je tiens à tester deux trois fonctions.

J'aimerais savoir si il existe un outil qui me permet d'intercepter une requête HTTP que j'envoie, de l'analyser et éventuellement de la modifier. Comme un firewall qui me dirait : Internet explorer essaie de se connecter sur le port 80 de 192.x.x.x (mon serveur de test). Voici le paquet envoyé. Je le chope, je le modifie et je confirme l'envoi.

Le but est de tester toutes mes pages de formulaires pour être sûr que si un tricheur modifie un peu les données envoyées, mon application puisse le détecter et repérer le suspect. J'ai déjà fait un gros travail en amont mais je veux voir comment réagi mon apllication si on essaie de truander les formulaires et notemment les valeurs en "hidden".

[Celelibi]

Lol, ça me rappelle de souvenirs...
Je me suis déjà ammusé à tricher à certains jeux en ligne. (pas d'argent en jeu, je suis pas stupide non plus :p)

Alexandre T le tout n'est pas de modifier les valeurs hidden, il faut aussi savoir quoi mettre dedans. Et comme tu possède le code source des applications tu dois être en mesure de savoir quelles valeurs illégales seraient suceptibles de passer, et donc de modifier le code pour les interdire.


Bref, pour intercepter et modifier des requêtes HTTP, tu as l'extension pour firefox LiveHTTPHeaders qui te permets de voir les requêtes et de les modifier avant de les renvoyer. Mais si tes requêtes HTTP ne sont pas effectués par le navigateur lui même tu peux toujours les capturer avec un sniffeur.
Ah tien dernière chose, pour afficher tous les champs hidden d'une page il suffit de mettre ce bout de code dans la barre d'adresse.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

javascript&#58;h=document.getElementsByTagName&#40;'input'&#41;; for &#40;i=0; i<h.length; i++&#41; if &#40;h&#91;i&#93;.type=='hidden'&#41; h&#91;i&#93;.type='text'; void 0;

[Alexandre T]

Merci énormément , cela répond parfaitement à ma question

[Invité4]

Moi aussi sur mon jeu, je me bats contre ce genre de choses
Si ton code est solide, normalement ça devrait être relativement sûr.