Test Serveur & Site Web associé

Nos experts testeront vos sites avec attention.
Postez ici vos liens. Et fournissez les accès de bases (login et mot de passe 'simple utilisateur' par exemple si vous souhaitez voir ce qu'un utilisateur peux exploiter)

Moderators: Mod, Mod, Mod

Postby MACMAN31 » Sun Jun 13, 2010 8:24 pm

Bonjour,

J'ai un léger problème :

On a subis un flood de la ShoutBox (~1400 messages), jusque là normal, il y a pas de captcha ( en cours ).

Le gros problème est que le compte était "1", or ce compte n'existe pas dans la BDD ...

Donc un user à réussi à poster un shout en ayant un compte factice, or si il a pu faire ça il peut faire autre chose sans être logué, ou alors usurper l'identité d'un administrateur, ce qui est embêtant ...

Je voulais donc savoir si vous pouviez jeter un œil de ce côté là, pour essayer de découvrir la faille ...

Merci d'avance,

macman31
MACMAN31
Projets
 
Posts: 23
Joined: Tue Nov 25, 2008 7:16 pm

Postby SPLEENKIRBY » Mon Jun 14, 2010 2:40 pm

Déja, je remarque que les ' et " sont échappés dans la shoutbox ... pas handicapant mais ça fait pas vraiment sérieux !

Donc petit rappel ;
Pour sécuriser une variable de ce type (disons $_POST['textbox']), tu lui appliques un :
[code:1:4724e7c1a4]
if (get_magic_quotes_gpc())
{
$_POST['textbox'] = stripslashes($_POST['textbox']);
}

$text = mysql_real_escape_string($_POST['textbox']);
$query = "INSERT INTO xxxx VALUES (' ', $text)"; // exemple
[/code:1:4724e7c1a4]
Puis tu insères *sans traitement* $text comme au dessus.

Ce n'est qu'une fois dans ton script utilisé pour [b:4724e7c1a4]afficher[/b:4724e7c1a4] les messages que tu lui appliques un htmlentities.

Tu n'auras ainsi aucun problème.

Concernant côté serveur, j'ai juste passé un coup de Nikto par curiosité; mis à part une version PHP pas à jour, rien de très méchant.
Pense à virer le mode TRACE, le flag envoyé par X-powered By, les error reporting de PHP, et ça devrait suffire de ce côté.
Côté SQL, pense à créer un utilisateur avec des droits restraints en lecture au maximum, puis un en écriture avec toujours des droits sur les commandes restraints.
User avatar
SPLEENKIRBY
Projets
 
Posts: 63
Joined: Wed Sep 02, 2009 10:13 pm
Location: \x44\x54\x43\

Postby RAYON-GAMA » Mon Jun 14, 2010 4:39 pm

@MACMAN31 Pour le compte 1 je ne sais pas ce qui c'est passer par au début le compte HACKBBS avez pour nom HACKBBS et a maintenant pour nom 1. Donc le flood à était en fait commit par le compte de test d' HACKBBS

[EDIT]J'ai réussi à avoir la version de serveur tu ne redirige pas les fausses url dans ton forum
[/EDIT]
User avatar
RAYON-GAMA
Projets
 
Posts: 78
Joined: Mon Nov 17, 2008 2:52 pm
Location: Quelle que part.....

Postby SHAGUAR » Fri Jul 02, 2010 3:03 pm

[quote:46bb051fbf="MACMAN31"]OK tout est redirigé vers l'accueil en cas de page d'erreur.

ErrorDocument 500 http://wowrising.fr
ErrorDocument 404 http://wowrising.fr
ErrorDocument 403 http://wowrising.fr
ErrorDocument 401 http://wowrising.fr

J'en ai oublié ou pas ?
[/quote:46bb051fbf]

Oui,

* 400 : échec de l'analyse HTTP
* 401 : mauvais pseudo/mdp dans le .htaccess
* 402 : le client doit reformuler sa demande avec les bonnes données de paiement.
* 403 : requête interdite
* 404 : page non trouvée
* 405 : méthode non autorisée
* 500 : erreur interne au serveur ou serveur saturé
* 501 : le serveur ne supporte pas le service demandé
* 502 : mauvaise passerelle
* 503 : service indisponible
* 504 : trop de temps à la réponse
* 505 : version HTTP non supportée
SHAGUAR
Projets
 
Posts: 114
Joined: Wed Feb 24, 2010 1:44 pm

Postby TorTukiTu » Fri Jul 02, 2010 3:19 pm

C'est normal ça?

http://wowrising.fr/template/RedemptionWoW/images/realm/?p=index

La tortue.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby WapiFlapi » Sat Jul 03, 2010 8:34 am

[quote:d086996d0f="MACMAN31"]OK tout est redirigé vers l'accueil en cas de page d'erreur.

ErrorDocument 500 http://wowrising.fr
ErrorDocument 404 http://wowrising.fr
ErrorDocument 403 http://wowrising.fr
ErrorDocument 401 http://wowrising.fr

J'en ai oublié ou pas ?

Merci,
Cordialement,

macman31[/quote:d086996d0f]

Le truc c'est que c'est pas forcement une bonne solution :D

Pour l'user lambda qui clique sur un vrai lien mort, il va ce retrouver sur la page d'accueil d'un coup , il va pas comprendre.

Tu devrais faire une page d'erreur personnalisée et rediriger la dessus.

du genre : "Une erreur c'est produite , la page que vous avez demandez n'est peut être plus sur nos serveurs. vous pouvez utilisé le bouton "Reculez d'une page" de votre navigateur, ou vous pouvez cliquer ici pour repartir d'où vous venez."
User avatar
WapiFlapi
Projets
 
Posts: 6
Joined: Thu Feb 28, 2008 12:33 am

Postby THE-DEATH » Sat Jul 03, 2010 1:01 pm

Verifies tes types !!! => http://wowrising.fr/?p[]=register // error
User avatar
THE-DEATH
 
Posts: 971
Joined: Wed Jul 23, 2008 10:49 am
Location: 127.0.0.1

Postby RAYON-GAMA » Sun Jul 04, 2010 10:42 pm

La redirection se fait très mal au niveau du forum je m'explique :

Si après --> http://wowrising.fr/forum/
Je tape --> http://wowrising.fr/forum/hackbbs
Donc je me retrouve sur http://wowrising.fr/forum/hackbbs
Mais bizarrement je tombe sur la page d'accueil sans le design et pour finir si je clique sur le lien index par exemple je me retrouve ici http://wowrising.fr/forum/hackbbs?p=index et peut importe sur quel lien je clique le site me redirige aussitôt sur la page d'accueil mais toujours sans le design par contre l'url change.


Voilà ;)
User avatar
RAYON-GAMA
Projets
 
Posts: 78
Joined: Mon Nov 17, 2008 2:52 pm
Location: Quelle que part.....

Previous

Return to Faites tester vos sites <b>DE TEST</b>

Who is online

Users browsing this forum: No registered users and 1 guest

cron