S'enregistrer | Rechercher | FAQ | Liste des Membres | Groupes d'utilisateurs | Connexion

  Nom d'utilisateur:    Mot de passe:       

Aller à la page Précédente  1, 2, 3  

Poster un nouveau sujet   Répondre au sujet Page 3 sur 3
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
MessagePosté le: Dim Juin 13, 2010 8:24 pm    Sujet du message: Répondre en citant

MACMAN31
Projets


 
Inscrit le: 25 Nov 2008
Messages: 23



Bonjour,

J'ai un léger problème :

On a subis un flood de la ShoutBox (~1400 messages), jusque là normal, il y a pas de captcha ( en cours ).

Le gros problème est que le compte était "1", or ce compte n'existe pas dans la BDD ...

Donc un user à réussi à poster un shout en ayant un compte factice, or si il a pu faire ça il peut faire autre chose sans être logué, ou alors usurper l'identité d'un administrateur, ce qui est embêtant ...

Je voulais donc savoir si vous pouviez jeter un œil de ce côté là, pour essayer de découvrir la faille ...

Merci d'avance,

macman31
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur
MessagePosté le: Lun Juin 14, 2010 2:40 pm    Sujet du message: Répondre en citant

SPLEENKIRBY
Projets


 
Inscrit le: 02 Sep 2009
Messages: 63
Localisation: \x44\x54\x43\



Déja, je remarque que les ' et " sont échappés dans la shoutbox ... pas handicapant mais ça fait pas vraiment sérieux !

Donc petit rappel ;
Pour sécuriser une variable de ce type (disons $_POST['textbox']), tu lui appliques un :
Code:

if (get_magic_quotes_gpc())
{
   $_POST['textbox'] = stripslashes($_POST['textbox']);
}

$text = mysql_real_escape_string($_POST['textbox']);
$query = "INSERT INTO xxxx VALUES (' ', $text)"; // exemple

Puis tu insères *sans traitement* $text comme au dessus.

Ce n'est qu'une fois dans ton script utilisé pour afficher les messages que tu lui appliques un htmlentities.

Tu n'auras ainsi aucun problème.

Concernant côté serveur, j'ai juste passé un coup de Nikto par curiosité; mis à part une version PHP pas à jour, rien de très méchant.
Pense à virer le mode TRACE, le flag envoyé par X-powered By, les error reporting de PHP, et ça devrait suffire de ce côté.
Côté SQL, pense à créer un utilisateur avec des droits restraints en lecture au maximum, puis un en écriture avec toujours des droits sur les commandes restraints.
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Lun Juin 14, 2010 4:39 pm    Sujet du message: Répondre en citant

RAYON-GAMA
Projets


 
Inscrit le: 17 Nov 2008
Messages: 78
Localisation: Quelle que part.....



@MACMAN31 Pour le compte 1 je ne sais pas ce qui c'est passer par au début le compte HACKBBS avez pour nom HACKBBS et a maintenant pour nom 1. Donc le flood à était en fait commit par le compte de test d' HACKBBS

[EDIT]J'ai réussi à avoir la version de serveur tu ne redirige pas les fausses url dans ton forum
[/EDIT]
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Ven Juil 02, 2010 3:03 pm    Sujet du message: Répondre en citant

SHAGUAR
Projets


 
Inscrit le: 24 Fév 2010
Messages: 114



MACMAN31 a écrit:
OK tout est redirigé vers l'accueil en cas de page d'erreur.

ErrorDocument 500 http://wowrising.fr
ErrorDocument 404 http://wowrising.fr
ErrorDocument 403 http://wowrising.fr
ErrorDocument 401 http://wowrising.fr

J'en ai oublié ou pas ?


Oui,

* 400 : échec de l'analyse HTTP
* 401 : mauvais pseudo/mdp dans le .htaccess
* 402 : le client doit reformuler sa demande avec les bonnes données de paiement.
* 403 : requête interdite
* 404 : page non trouvée
* 405 : méthode non autorisée
* 500 : erreur interne au serveur ou serveur saturé
* 501 : le serveur ne supporte pas le service demandé
* 502 : mauvaise passerelle
* 503 : service indisponible
* 504 : trop de temps à la réponse
* 505 : version HTTP non supportée
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Ven Juil 02, 2010 3:19 pm    Sujet du message: Répondre en citant

TorTukiTu
Site Admin


 
Inscrit le: 07 Fév 2008
Messages: 1960
Localisation: Devant son pc durant la redaction de ce message



C'est normal ça?

http://wowrising.fr/template/RedemptionWoW/images/realm/?p=index

La tortue.
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur Compte AIM MSN Messenger Numéro ICQ
MessagePosté le: Sam Juil 03, 2010 8:34 am    Sujet du message: Répondre en citant

WapiFlapi
Projets


 
Inscrit le: 28 Fév 2008
Messages: 6



MACMAN31 a écrit:
OK tout est redirigé vers l'accueil en cas de page d'erreur.

ErrorDocument 500 http://wowrising.fr
ErrorDocument 404 http://wowrising.fr
ErrorDocument 403 http://wowrising.fr
ErrorDocument 401 http://wowrising.fr

J'en ai oublié ou pas ?

Merci,
Cordialement,

macman31


Le truc c'est que c'est pas forcement une bonne solution Very Happy

Pour l'user lambda qui clique sur un vrai lien mort, il va ce retrouver sur la page d'accueil d'un coup , il va pas comprendre.

Tu devrais faire une page d'erreur personnalisée et rediriger la dessus.

du genre : "Une erreur c'est produite , la page que vous avez demandez n'est peut être plus sur nos serveurs. vous pouvez utilisé le bouton "Reculez d'une page" de votre navigateur, ou vous pouvez cliquer ici pour repartir d'où vous venez."
Voir le profil de l'utilisateur Envoyer un message privés MSN Messenger
MessagePosté le: Sam Juil 03, 2010 1:01 pm    Sujet du message: Répondre en citant

THE-DEATH
Modérateur


 
Inscrit le: 23 Juil 2008
Messages: 971
Localisation: 127.0.0.1



Verifies tes types !!! => http://wowrising.fr/?p[]=register // error
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur
MessagePosté le: Dim Juil 04, 2010 10:42 pm    Sujet du message: Répondre en citant

RAYON-GAMA
Projets


 
Inscrit le: 17 Nov 2008
Messages: 78
Localisation: Quelle que part.....



La redirection se fait très mal au niveau du forum je m'explique :

Si après --> http://wowrising.fr/forum/
Je tape --> http://wowrising.fr/forum/hackbbs
Donc je me retrouve sur http://wowrising.fr/forum/hackbbs
Mais bizarrement je tombe sur la page d'accueil sans le design et pour finir si je clique sur le lien index par exemple je me retrouve ici http://wowrising.fr/forum/hackbbs?p=index et peut importe sur quel lien je clique le site me redirige aussitôt sur la page d'accueil mais toujours sans le design par contre l'url change.


Voilà Wink
Voir le profil de l'utilisateur Envoyer un message privés
Poster un nouveau sujet   Répondre au sujet Page 3 sur 3

Aller à la page Précédente  1, 2, 3  


 
Sauter vers:  
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum



113976 Attacks blocked