S'enregistrer | Rechercher | FAQ | Liste des Membres | Groupes d'utilisateurs | Connexion

  Nom d'utilisateur:    Mot de passe:       

  

Poster un nouveau sujet   Répondre au sujet Page 1 sur 1
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
MessagePosté le: Jeu Oct 22, 2009 8:08 pm    Sujet du message: Test poussé (au plus possible) ! Répondre en citant

cyberesprit
Projets


 
Inscrit le: 27 Nov 2007
Messages: 8



Salut à tous,

Ça fait longtemps que je ne suis pas venu ici, pourtant j'ai la bannière d'HackBBS sur mon site depuis belle lurette !

Bref, je vous embête aujourd'hui juste pour vous informer que je vais bientôt (par le biais de ce topic) vous sollicité pour tester mon serveur (surtout l'un des sites qu'il contient, toujours en cours de develloppement).

Je ne sais pas comment ça marche mais avant toute chose, y'a t-il (ou auriez-vous) une "liste" (ou des suggestions) sur lequel je pourrais me baser pour sécuriser mon serveur (ses services et les sites aussi) ?

(sachant que j'ai evidemment déjà sécurisé selon mes connaissances)

Si vous avez besoin de renseignements, de voir mes fichiers de configuration ou même les caractéristiques du serveur et des services ainsi que les langages utilisés, demandez ! (sauf si vous jugez bon de ne pas divulguer ces informations, ce qui me semblerais normal)

Merci à tous ceux qui voudront bien participer.

Salut tout seul,, passe déjà par une " présentation ", c'est la moindre des " politesses ".

[EDIT] par NETTOYEUR25.
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur
MessagePosté le: Jeu Oct 22, 2009 8:56 pm    Sujet du message: Répondre en citant

TorTukiTu
Site Admin


 
Inscrit le: 07 Fév 2008
Messages: 1960
Localisation: Devant son pc durant la redaction de ce message



Bonjour.

Si tu veux que l'on teste ton site / serveur, il va falloir que tu nous fournisses une preuve que le serveur est à toi. (un txt à la racine du serveur web par exemple).

Pour ce qui est de sécuriser ton serveur, vérifie bien que tout est à jour. Fais un petit tour sur le web pour vérifier que tu n'as pas des modules qui ont des vulnérabilités connues.

Ensuite vérifie si tes serveurs sont correctement configurés (variables du style magicquotes=ON etc... pour apache par exemple)

Ensuite, poste nous les informations nécessaires pour que l'on puisse tester ton site /serveur.

La tortue.
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur Compte AIM MSN Messenger Numéro ICQ
MessagePosté le: Jeu Oct 22, 2009 9:10 pm    Sujet du message: Répondre en citant

cyberesprit
Projets


 
Inscrit le: 27 Nov 2007
Messages: 8



Merci La tortue.

Oui pas de problème pour les preuves ainsi que les informations, c'est juste que pour le moment le site n'étant pas encore terminée, je divulguerais tout ça au moment opportun (qui devrait d'ailleurs être très proche) et vu que ça deviendra un site en production avec beaucoup d'utilisateur, j'ai préféré faire appel à cette communauté.

Bon, je vais poussé mes recherche de sécurité plus loin encore !

Merci.
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur
MessagePosté le: Ven Oct 23, 2009 9:18 am    Sujet du message: Répondre en citant

Sliim
Site Admin


 
Inscrit le: 16 Mai 2008
Messages: 1177



Salut,

pour tester ton application web tu peux déjà faire un audit avec le framework W3AF.

Sinon le liveUSB Samurai (W3AF y est inclut Wink) est pas mal pour tester la sécurité de ses applis web :

http://samurai.inguardians.com/

ça donne déjà une idée Razz. Après ça ne dispense pas d'un réel audit par une "vrai" personne ^^.

++
Sliim
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur Messagerie Instantanée
MessagePosté le: Ven Oct 23, 2009 5:54 pm    Sujet du message: Répondre en citant

cyberesprit
Projets


 
Inscrit le: 27 Nov 2007
Messages: 8



Merci Sliim, je ne connaissais pas, je vais me tester ça au plus vite !
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur
MessagePosté le: Ven Oct 23, 2009 7:39 pm    Sujet du message: Répondre en citant

GHOSTX_0
Projets


 
Inscrit le: 24 Aoû 2009
Messages: 263



Je ne connaissais pas non plus ce live, merci sliim Wink
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Mer Oct 28, 2009 4:08 pm    Sujet du message: salut , Répondre en citant

CASH
Projets


 
Inscrit le: 28 Jan 2009
Messages: 42



sa commence mal :/
j arrive pas a acceder au site ^^ enfin avec firefox
https://cyberesprit.fr/index/index.php

humm https://cyberesprit.fr/index/admin/connexion.php~
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Mer Oct 28, 2009 6:15 pm    Sujet du message: Répondre en citant

TorTukiTu
Site Admin


 
Inscrit le: 07 Fév 2008
Messages: 1960
Localisation: Devant son pc durant la redaction de ce message



En 10 secondes:

https://cyberesprit.fr/index/index.php?page=../../../../&am=1%20OR%201=1


Warning: include(contenu/../../../../.php) [function.include]: failed to open stream: No such file or directory in /media/donnees/apache/index/index.php on line 53

Warning: include() [function.include]: Failed opening 'contenu/../../../../.php' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /media/donnees/apache/index/index.php on line 53


Je testerai correctement demain.

La tortue.
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur Compte AIM MSN Messenger Numéro ICQ
MessagePosté le: Mer Oct 28, 2009 7:20 pm    Sujet du message: Répondre en citant

cyberesprit
Projets


 
Inscrit le: 27 Nov 2007
Messages: 8



Jolie les gars, bon je ne vous en veux pas car je n'ai pas encore donné le feu vert (ni prouvé que c'était le mien même si c'est le cas) mais le site à tester ne sera pas celui là.

C'est bien le bon serveur mais pas le bon site.

Après, je vous autorise à tester quand même tout ce que vous pouvez sur ce serveur, il va bien falloir un jour que je vous le demande.

J'ai vu qu'un certains zevve avait essayé un morceau de code javascript.

PS: le site (blog) principal de ce serveur date un peu maintenant niveau code et je ne l'ai absolument (ou presque) pas optimisé sécurité. Honte à moi !
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur
MessagePosté le: Mer Nov 04, 2009 7:13 pm    Sujet du message: Répondre en citant

Korigan
Site Admin


 
Inscrit le: 29 Mai 2007
Messages: 1781



Bonsoir cyberesprit,

je suis content de voir que tes projets continuent à avancer.

Bon courage pour la suite.

Cordialement,

Korigan
Voir le profil de l'utilisateur Envoyer un message privés Envoyer un e-mail
MessagePosté le: Jeu Nov 19, 2009 12:04 pm    Sujet du message: Répondre en citant

cyberesprit
Projets


 
Inscrit le: 27 Nov 2007
Messages: 8



Merci Korigan, ça me fait plaisir..

Pour info, le site à tester ne sera pas encore prêt avant fin janvier.. il va falloir patienter.

Je vois certaines choses se passer sur mon blog, rien de grave car il va falloir tester celui là aussi un jour, mais faites attention : je n'ai pas encore prouvé que ce serveur m'appartenait simplement parceque, comme dit plus haut, le site à tester n'est pas encore prêt.

Par contre, comment être sûr de la confiance que l'on peut porté à tous les testeurs ?
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur
MessagePosté le: Jeu Nov 19, 2009 1:06 pm    Sujet du message: Répondre en citant

Korigan
Site Admin


 
Inscrit le: 29 Mai 2007
Messages: 1781



cyberesprit a écrit:

Par contre, comment être sûr de la confiance que l'on peut porté à tous les testeurs ?


Tu touches du doigt l'argument principale du test de solutions "open".
Tu ne peut avoir confiance en personne.

Tu as deux cas de figure.
1. Tu développes ta solution fermé. La recheche de vulnérabilité devra principalement être faite à la main.
2. Tu utilises un framework particulié. La recherche de vulnérabilité pourra être réalisée par des bots. Ce sera une course entre toi et eux jonglant entre découverte de vulnérabilité et application de patchs correctif.

Dans les deux cas,
comme tu l'as souligné, il est souhaitable de faire tester un site de test et non l'instance en production.
Un administrateur consiencieux à tout intérèt à être dans la course. Etant seul, tu ne doit pas te reposer sur le retour des testeurs. (En qui tu ne peux avoir confiance) Cependant, tu dois savoir lire tes logs. Demander ici à ce que l'on test ton site sera un cataliseur des mauvaises actions qui seront orchestré contre ton site. D'ailleur j'ai cru voir que tu était attentif à tes logs, c'est que tout devrait bien se passer pour la suite ^^
Tu as deux types de techniques de test.
Boite blanche et boite noir.
Boite blanche, tu ouvres ton code. Les testeurs pourront aprofondir leurs tests et exploité toutes les fonctionalitées.
Boite noir, il devront apréhender une approche tout aussi méthodique, mais n'auront pas accès à ton moteur. Il pourront alors utiliser d'autres techniques type fuzzing ou autre.
A toi de voir si tu veux un test visiteur ou un test plus intensif qui te permettra de valider chaque ligne de code.
Si tu es un développeur aguéris, la solution boite noir pourrait te suffir. Si tu débute, il peut etre interessant de se faire rappeler les règles et erreur de base à éviter sur tel ou tel technologie.
En conclusion, on peut généralement dire qu'une solution opensource est plus robuste, mais devient une cible prioritaire.
A toi d'analyser ton domaine d'activité et évaluer le risque.
Il existe des méthodes pour cela, par exemple EBIOS2 ou encore la méthode australienne.

@Bientôt,

Cordialement,

Korigan
Voir le profil de l'utilisateur Envoyer un message privés Envoyer un e-mail
MessagePosté le: Dim Mar 14, 2010 2:32 pm    Sujet du message: Répondre en citant

cyberesprit
Projets


 
Inscrit le: 27 Nov 2007
Messages: 8



[EDIT] Le site en question est un projet abandonné depuis plus d'un an (Entreprise démarrée mais arrêté très tôt pour divergence de dirigeant).
Merci à ceux qui ont répondu dans ce topic !



[Ancien dernier message]
Merci Korigan pour ces explications / conseils.. je vais aviser en conséquence ..

et désolé de ne répondre que maintenant (je ne reçois pas de message d'avertissement ..).

On prend du retard sur le développement du site (ainsi que du côté administratif) donc il va falloir patienter encore une peu.

voilà pour le moment, @bientôt !
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur
Poster un nouveau sujet   Répondre au sujet Page 1 sur 1

  


 
Sauter vers:  
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum



113976 Attacks blocked