Bonjour ;)

Encore moi :p

Alors je viens demander -encore- un test des failles et autres sur un site internet que je développe !

http://haras-des-cybeles-du-luberon.com/

Il n'y a pas d'inscription, donc pas de compte spécifique à vous transmettre c'est un site vitrine de présentation.

Il y a un BackOffice sur le site dans la partie administration, mais il est -théoriquement- impossible pour un non admin d'y avoir accès. Ce bakcoffice s'il était accessible permettrait très surement le hack complet du serveur et des modifications en BDD.

Je vais mettre un petit message sur le site ;)

Par avance, merci !

Rien remarqué de choquant mise à part que tes fonctions de recherche ne marchent pas.

Tortue 974.

Où vois-tu des fonctions de recherches ?

Il n'y en a pas, normalement ^^

Merci.

[code:1:31afa09196]h x c p://haras-des-cybeles-du-luberon. com/?s=%22%27%27%22&search=Recherche[/code:1:31afa09196]

ou encore

[code:1:31afa09196]hx xp://haras-des-cybeles-du-luberon. com/?author=1[/code:1:31afa09196]

Whois m'a permi de récupérer facilement toutes les infos sur la propriétaire.

[code:1:31afa09196]
Registrant:
Haras des ...
Viverge Laur...
2..b Montée Paul Figui...
Egu...es, 13510
FR
+33.442923xxx
31ak3qncjxxxwlgf0are4@f.o-w-o.info

Administrative Contact:
Haras des ...
Viverge Laur...
2..b Montée Paul Figui...
Egu...es, 13510
FR
+33.442923xxx
31ak3qncj13xxx0are4@f.o-w-o.info

Technical Contact:
Haras des ...
Viverge Laur...
2..b Montée Paul Figui...
Egu...es, 13510
FR
+33.442923xxx
31ak3qncj1xxxf0are4@f.o-w-o.info

Billing Contact:
Haras des ...
Viverge Laur...
2..b Montée Paul Figui...
Egu...es, 13510
FR
+33.442923xxx
31ak3qncj13xxx0are4@f.o-w-o.info

Registrar of Record: OVH.
Record last updated on 2011-05-14.
Record expires on 2012-05-14.
Record created on 2011-05-14.

[/code:1:31afa09196]

Peut être que tout n'est pas utile.

J'ajouterai, directory listing pour certains répertoires.

[code:1:31afa09196]hxxp://haras-des-cybeles-du-luberon. com/wp-content/plugins/wp-prettyphoto/images/prettyPhoto/dark_rounded/
hxxp://haras-des-cybeles-du-luberon. com/wp-content/plugins/wp-prettyphoto/[/code:1:31afa09196]
Ca ma permis de trouver la doc et la version de ton prettyPhoto.
et que tu as donc utilisé WordPress:

[code:1:31afa09196]hxxp://haras-des-cybeles-du-luberon. com/wp-login.php?redirect_to=http%3A%2F%2Fharas-des-cybeles-du-luberon.com%2Fwp-admin%2Fedit-tags.php%3Ftaxonomy%3Dlink_category%26orderby%3D1%2520OR%25201%3D2%26order%3D1%2520OR%25201%3D2&reauth=1
hxxp://haras-des-cybeles-du-luberon. com/wp-content/plugins/contact-form-7/[/code:1:31afa09196]

Et voici qui est peut être un peu plus intéressant:
[code:1:31afa09196]hxxp://haras-des-cybeles-du-luberon .com/wp-content/plugins/wp-prettyphoto/wp-prettyphoto.php[/code:1:31afa09196]

Ou encore

[code:1:31afa09196]hxxp: //haras-des-cybeles-du-luberon. com/wp-content/plugins/contact-form-7/includes/[/code:1:31afa09196]
Il y en a des tonnes. Rien de grave, mais évite quand même qu'on puisse lister le contenu de tes dossiers, et attention aux 0-day.

Tortue 974.

à quoi te sert ton repertoire perso ? s'il est inutile pour le site, vire le, ça evitera le guessing meme avec un bon htaccess, ça laisse presager d'autres repertoires du meme type et donc un scan exhaustif de ton serv par les attaquants

perso m'est utile, je pourrais pas le virer.

Comment tu arrives à accéder à toutes ces informations ?


Et comment puis-je protéger ?

Pour le .htaccess je suis sur mutualisé alors je crois que ça fonctionne tout simplement pas. Et je peut pas virer le directory listing, j'avais le même prob sur mon site perso, j'ai rien fait d'autre que mettre des index.php pour empècher ça... Bancal mais pas trouvé mieux.

Merci ^_^' Efficace tes outils xD

Edit: En fait apparemment le .htacces devrait fonctionner, OVH m'a répondu que ça venait surement d'une erreur de programmation. Jvais tutoter ^^

Edit2: Je viens de comprendre pour le WHOIS. J'ignorais qu'un tel truc existait xD
Par contre, est-ce possible de ne pas se faire scanner de la sorte ?

faut desactiver le redirect aussi, c'est un coup a se faire chopper par des xsrf ca tu te logues et pouf ... tu te fais xsrefed la gueulle
http://haras-des-cybeles-du-luberon.com/wp-login.php?redirect_to=http://google.fr&reauth=0
Taurais du changer le nom du compte aussi, admin ... cpas top

les infos viennent du whois.

ex :
hxxp://whois.domaintools.com/haras-des-cybeles-du-luberon.com
hxxp://www.raynette.fr/services/whois/index.php?action=domain_info&domain=haras-des-cybeles-du-luberon.com

pour s'en proteger, il faut passer par un registar anonyme, chez OVH il doit y avoir une option dans ce style

pour le directory listing, une bonne methode de debutant : un simple index.htm vide suffit

[quote:b8d51a91a5="THE-DEATH"]faut desactiver le redirect aussi, c'est un coup a se faire chopper par des xsrf ca tu te logues et pouf ... tu te fais xsrefed la gueulle
http://haras-des-cybeles-du-luberon.com/wp-login.php?redirect_to=http://google.fr&reauth=0
Taurais du changer le nom du compte aussi, admin ... cpas top[/quote:b8d51a91a5]

-_-" Surtout WP qui devrait pas dire que l'identifiant existe xD

Alors le redirect, connais pas, je peux me connecter via ton url, je l'ai pas fait, j'ignore tout de ce truc ^^ Ca consiste en quoi ? Et ça se désactive comment ?

Pour le WHOIS en effet OVH propose 'Masquer le WHOIS'. Merci ;)

Edit: J'ai changé le login ;) Directement en BDD car le logiciel ne le fait pas, surement une protection de wordpress.

Re-Edit: J'ai rajouté pleine d'index.php, mais il en manque ^^
Comment tu fais pour déterminer quels sont dossiers qui ont pas d'indexes ?

Re-Re-Edit: xD J'en ai mis là où y fallait pas... du coup J'ai un joli 403 sur l'affichage ^^
Bon... backup xD

tu le desactive dans wp dans les templates ou jsais pas quoi.
google xsrf pour les infos.
Qd on installe un truc tout fait, le minimum cest de le configurer pas seulement le config.php ;).

WP est quelque chose d'assez complet, du coup lire la doc...

D'où la non désactivation d'un truc dont j'ignorais l'existence ;)

:p

Merci.

s[color=red:3afb62c2b8]a[/color:3afb62c2b8]l[color=red:3afb62c2b8]u[/color:3afb62c2b8]t
j[color=red:3afb62c2b8]'ai[/color:3afb62c2b8] regard[color=red:3afb62c2b8]é[/color:3afb62c2b8] un peu, et il [color=red:3afb62c2b8]n'[/color:3afb62c2b8]y a pas de grand[color=red:3afb62c2b8]es[/color:3afb62c2b8] faille[color=red:3afb62c2b8]s[/color:3afb62c2b8] ( pour ma part j[color=red:3afb62c2b8]'ai[/color:3afb62c2b8] rien [color=red:3afb62c2b8]vu[/color:3afb62c2b8] )
mais j[color=red:3afb62c2b8]'ai[/color:3afb62c2b8] remarqu[color=red:3afb62c2b8]é[/color:3afb62c2b8] une chose[color=red:3afb62c2b8], [/color:3afb62c2b8]si [color=red:3afb62c2b8]o[/color:3afb62c2b8]n tape un grand nombre de caractère[color=red:3afb62c2b8]s[/color:3afb62c2b8] dans recherche[color=red:3afb62c2b8], [/color:3afb62c2b8]le script renvoi une page blanc[color=red:3afb62c2b8]he.[/color:3afb62c2b8]

[color=red:3afb62c2b8]Edit de TorTukiTu: Attention à ton orthographe ! merci ![/color:3afb62c2b8]

Ouais mais la recherche c'est une fonction de wordpress, elle est pas sensée être accessible puisque de toute facon elle renverra rien, j'ignore comment elle fonctionne.

J'ai vu la tentative de XSS dans le livre d'or, il l'interprete pas en js mais en texte donc pas de faille.

[color=red:25fc9308be]Edit de TorTukiTu: Ton orthographe, dernier avertissement. Pas de langage SMS. Si tu veux smsser, trouve toi un forum de kikoulol. Va relire la charte du forum.
If you are not french, you can still post in english.[/color:25fc9308be]

re
VADOREQUEST: oops c moi qui as tester de faire un xss de tous les cas jais chercher de utiliser les BBcode :lol:
pour la fonction recherche il y a long temp jais vue une faille buffer overflow dans un formulaire :shock: