[OUILLE]

Coucou tout le monde !

Un copain m'a dit de venir demander de l'aide ici pour les failles dans mon site.
En fait mon site s'est fait piraté samedi dernier, on a réussi à limité les dégats, à restaurer, mais c'était pas beau à voir !

Pour éviter que ça se reproduise on a essayé de corriger des failles.
On en a corrigé, plein, mais je suis sûre qu'il en reste...
Donc je fais appel à vous ! Testez mon site ! Mais ne faites rien de mal svp =( .

Merci d'avance =) !

Voici un lien vers mon site: http://planete.mangas.free.fr
La preuve que c'est mon site: http://planete.mangas.free.fr/preuve.txt
Et enfin, mon pseudo sur le tchat: babuuu


PS: désolée, j'avais lu les règles trop rapidement, et j'avais pas vu ce forum (pas les yeux en face des trous moi) donc j'ai un peu gaffé pour mon premier post...

[TorTukiTu]

Je regarderai le truc plus attentivement demain, mais déjà peut-être possibilité d'injection SQL ici:

hxxp://planete.mangas.free.fr/ddl.php?anime=63%20AND%202=1
hxxp://planete.mangas.free.fr/ddl.php?anime=63%20OR%201=1

La tortue.

[OUILLE]

Euh, tu es sûr ?

J'ai testé pourtant:
[code:1:9d1aacb9e5]$test = '63 AND 2=2';
echo (int) $test;[/code:1:9d1aacb9e5]
ça affiche 63...

Merci quand même.

PS: peut être que j'ai corrigé involontairement ;)

[TorTukiTu]

C'est bon, tu as corrigé.

Autre chose, voici mon pseudo: ' OR 'a'='a

Quand je vais dans modifier mon profil, les quotes sont bien filtrés.
Bienvenue \' OR \'a\'=\'a

Mais ce n'est plus le cas dans proposer une news.
Bienvenue ' OR 'a'='a

J'ai pas vérifié mais si les quotes ne sont plus filtrés, il y a des chances que les autres caractère spéciaux ne le soient pas non plus. XSS ?

Fais un tour de ce côté ci.

----------------------------------------------------------------------------------

Dans le Form à la page hxxp://planete.mangas.free.fr/membre.php?m=s, champ sans nom à vérifier. J'obtiens parfois des 302, je sais pas pourquoi.

Results:
Server Status Code: 302 Found
Tested value: 1 AND 1=1
Server Status Code: 302 Found
Tested value: 1 EXEC XP_
This field passed 7738 tests.

------------------------------------------------------------------------------------

Méfie toi de tes cookies, utilise le pseudo plutôt que l'identifiant pour id. En plus, laisser le password en clair, c'est moche.

Je viens de constater qu'on pouvait aussi flooder ton forum en toute liberté.
hxxp://planete.mangas.free.fr/forum.php?m=f&f=1

Pour terminer, vérifie que tes id/password sont assez forts (hxxp://planete.mangas.free.fr/admin/), histoire de pas te faire bruteforcer par un imbécile.

[OUILLE]

Pour les news je vois pas de problème...
Je vois ta news dans l'administration avec ton pseudo et ton contenu
( à savoir ' OR 1=1 <script>alert("TEST HACKBBS")</script> comme titre et la même en contenu )

SVP ne testez pas les failles csrf je ne sais pas les corriger sauf avec l'extension de firefox... (si vous savez comment changer ça je prends)

Pour le flood dans le forum je vais faire un truc qui bloque à un message par minute...

Pour la page membre c'est normal ^^ elle affiche rien si il y a une erreur dans le get ^^

Les pass pour l'admin euh... faut être motivé pour les trouver lol ^^ ils sont sur 10 caractères aléatoires.. (je sais il faudrait faire (encore) un système anti brute force là dessus..)

Merci.


(et sinon que le mot de passe soit en clair où en mdp dans les cookies ça change quoi ??)

Ah et aussi, les pirates reviennent régulièrement sur le site, il n'y a aucun moyen de les attrapper ?

[TorTukiTu]

[quote:b2d1e34b21]
(et sinon que le mot de passe soit en clair où en mdp dans les cookies ça change quoi ??) [/quote:b2d1e34b21]

Ça change que, si par malheur je réussi à choper le cookie de quelqu'un d'autre, j'aurais directement son mot de passe. Un petit coup de MD5, ça coûte pas grand chose.
Évite aussi d'utiliser deux choses différentes pour tes cookies et ton formulaire de login (id et login). Plus tu utilises de trucs différents, plus tu multiplies les risques de failles potentielles.

[quote:b2d1e34b21]Ah et aussi, les pirates reviennent régulièrement sur le site, il n'y a aucun moyen de les attrapper ?[/quote:b2d1e34b21]

Oui, tu log les ip (avec l'heure bien sûr) qui se sont connectés à ton serveur HTTP à un autre endroit que celui prévu par défaut. Même si ils parviennent à nettoyer le fichier de logs "standard", comme c'est des sous-imbéciles, ils ne penseront pas à nettoyer la copie. Après, il faudra voir si ils utilisent un proxy.

Pour les xss, il te suffit juste de filtrer les caractères ou désactiver les balises là où il faut. Mais a priori, j'ai pas vu grand chose de ce côté là.

Enfin, pour la news, c'est pas la news posté mais l'affichage de mon pseudo en bleu à gauche. Il y a les magic quotes ou pas suivant que je sois dans "news" ou "modifier le profil".

La tortue.

[OUILLE]

Pour les cookies j'ai pas compris ce que t'entends par utiliser deux choses différentes...
Si tu réussis à attrapper le cookie de quelqu'un, que ça soit md5 ou pas md5 je vois pas trop ce que ça change en fait =S dans tous les cas tu copies le cookie et hop c'est bon..


Pour les news en fait le pseudo enregistré dans la bdd est traité, quand il est resortit on est obligé de faire strpslashes pour l'afficher sans les antislashes ...

Et pour les pirates, je vois mal comment retrouver LEUR ip parmis toutes les ips des gens qui passent =S

[TorTukiTu]

Je me suis très mal exprimé, je recommence.

En fait pour tes cookies, il faudrait que tu aies une durée de session. Ce que je voulais dire, c'est que si le pirate récupère une seule fois le password, il pourra toujours se reconnecter avec l'account volé.

Tandis que si tu n'utilises pas le password dans tes cookies, mais un truc autogénéré, le pirate n'aura accès à la session uniquement durant le temps de validité du cookie.

Tu prend le pseudo / password, un coup de MD5, tu rentres ça dans ta BD. Ensuite, à chaque fois que quelqu'un se login, tu MD5, compares les hash, génères ton cookie avec la durée d'expiration qui va bien.

Et pour retrouver les ip des pirates, tu peux coder un truc qui vérifie toutes les x secondes l'état de l'index par exemple. Si c'est modifié, tu sauvegardes l'heure. Il y a surement un moyen beaucoup plus élégant de faire.

Si j'ai dit du caca, n'hésitez pas à me corriger.

La tortue.

[OUILLE]

Ah okiii
En gros je dois rajouter un second mot de passe qui change à chaque connexion et qui s'efface à chaque déconnexion !
C'est une idée géniale ! Merkiiiii =)

[CASH]

perso j ai aps trouver grand chose :D a part des repertoires mais bon

[LECHIENKITU]

Quel professionalisme ce TortuKiTU lol ;)

[SCOTTYOUS]

Essaye de mettre une vérification de l'adresse mail en envoyant un lien par mail pour activer le compte. Parce qu'a ce niveau là la seule protection est une image de 4 lettre a retaper...

Ton site n'est pas encore fini, n'oubli pas de le faire re-tester une fois fini

[OUILLE]

Oki, merci, je mettrais un petit remerciement sur le site quand j'en aurait le temps. (là bac bac)

Pour le lien via mail c'est juste pas possible, free est blacklisté par hotmail... Les mails n'arrivent pas au destinataire !

[CASH]

[quote:7664303b65="OUILLE"]Oki, merci, je mettrais un petit remerciement sur le site quand j'en aurait le temps. (là bac bac)

Pour le lien via mail c'est juste pas possible, free est blacklisté par hotmail... Les mails n'arrivent pas au destinataire ![/quote:7664303b65]

c est nouveau ca! :roll:

[OUILLE]

C'est la seule explication valable que j'ai trouvé aux retours systématiques des mails free -> hotmail...