S'enregistrer | Rechercher | FAQ | Liste des Membres | Groupes d'utilisateurs | Connexion

  Nom d'utilisateur:    Mot de passe:       

  

Poster un nouveau sujet   Répondre au sujet Page 1 sur 1
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
MessagePosté le: Jeu Déc 09, 2010 8:43 pm    Sujet du message: Test de mon site Répondre en citant

PATATA69
Projets


 
Inscrit le: 09 Déc 2010
Messages: 5



Bonjour à tous,

Je viens de terminer mon site, n'étant pas un pro du codage, j'aimerais, que vous vous faisiez plaisir à le tester.

Autorisation : http://megacash.fr/hackbbs.html
Site web : http://megacash.fr
Login : lucie85
Mdp : 111

En même temps, pouvez vous tester la vulnérabilité de mon serveur dédié ? L'ip est celle du site lui même : 188.165.220.34

Je vous remerci d'avance.


Dernière édition par PATATA69 le Sam Déc 11, 2010 2:01 am; édité 2 fois
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Ven Déc 10, 2010 12:44 am    Sujet du message: Répondre en citant

5N4K37
Projets


 
Inscrit le: 11 Mai 2010
Messages: 276
Localisation: Where connected=1



J'y irai dès que possible!

Cordialement, 5N4K37
Voir le profil de l'utilisateur Envoyer un message privés Envoyer un e-mail Messagerie Instantan√©e
MessagePosté le: Ven Déc 10, 2010 1:36 am    Sujet du message: Répondre en citant

Sliim
Site Admin


 
Inscrit le: 16 Mai 2008
Messages: 1177



Hello.

En regardant vite fais déjà il y a une injection SQL possible sur le formulaire de login (utilise la fonction mysql_real_escape_string() pour échaper les caractères indésirables).

Ensuite je serais d'avis à virer le proftp qui est en écoute sur le serveur étant donné qu'un 0-days vient de sortir : http://www.exploit-db.com/exploits/15662/

Déjà tu peux corriger ton formulaire de login (et peut être d'autres, je les ai pas tous testé)

++
Sliim
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur Messagerie Instantan√©e
MessagePosté le: Ven Déc 10, 2010 1:13 pm    Sujet du message: Répondre en citant

PATATA69
Projets


 
Inscrit le: 09 Déc 2010
Messages: 5



Merci, je viens de corriger, tu peux me dire si l'injection sql fonctionne toujours ?
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Ven Déc 10, 2010 2:04 pm    Sujet du message: Répondre en citant

GRIMMJOWBO
Modérateur


 
Inscrit le: 07 Mai 2010
Messages: 778
Localisation: France



Plop, j'viens juste de regarder ça fais gaffe à la gestion de tes erreurs php, il renvoie des erreurs intéressantes. Je vais chercher plus loin après, je te tiens au courant.
A+ Wink
Edit: euh déja il y a des problèmes dans ton login assez équivoques:
Warning: mysql_real_escape_string() expects at least 1 parameter, 0 given in /home/megacash/www/process/login.php on line 84

Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /home/megacash/www/process/login.php:1) in /home/megacash/www/process/login.php on line 102

Warning: Cannot modify header information - headers already sent by (output started at /home/megacash/www/process/login.php:1) in /home/megacash/www/process/login.php on line 128


Dernière édition par GRIMMJOWBO le Ven Déc 10, 2010 2:17 pm; édité 1 fois
Voir le profil de l'utilisateur Envoyer un message privés Messagerie Instantan√©e MSN Messenger
MessagePosté le: Ven Déc 10, 2010 2:09 pm    Sujet du message: Répondre en citant

5N4K37
Projets


 
Inscrit le: 11 Mai 2010
Messages: 276
Localisation: Where connected=1



Je ne pense pas que cette page soit problématique, mais à chaque id, j'ai ça :
Citation:

Warning: mysql_real_escape_string() expects at least 1 parameter, 0 given in /home/megacash/www/process/login.php on line 84

Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /home/megacash/www/process/login.php:1) in /home/megacash/www/process/login.php on line 102

Warning: Cannot modify header information - headers already sent by (output started at /home/megacash/www/process/login.php:1) in /home/megacash/www/process/login.php on line 128


Cordialement, 5N4K37
Voir le profil de l'utilisateur Envoyer un message privés Envoyer un e-mail Messagerie Instantan√©e
MessagePosté le: Ven Déc 10, 2010 5:25 pm    Sujet du message: Répondre en citant

GRIMMJOWBO
Modérateur


 
Inscrit le: 07 Mai 2010
Messages: 778
Localisation: France



Euh...:
Citation:
Warning: move_uploaded_file(/home/megacash/www/updocs/1_lucie85/test.jpg) [function.move-uploaded-file]: failed to open stream: Permission denied in /home/megacash/www/process/confirm_ident.php on line 44

Warning: move_uploaded_file() [function.move-uploaded-file]: Unable to move '/tmp/phpVF3VU9' to '/home/megacash/www/updocs/1_lucie85/test.jpg' in /home/megacash/www/process/confirm_ident.php on line 44

Warning: move_uploaded_file(/home/megacash/www/updocs/1_lucie85/test.jpg) [function.move-uploaded-file]: failed to open stream: Permission denied in /home/megacash/www/process/confirm_ident.php on line 44

Warning: move_uploaded_file() [function.move-uploaded-file]: Unable to move '/tmp/phpMvPlla' to '/home/megacash/www/updocs/1_lucie85/test.jpg' in /home/megacash/www/process/confirm_ident.php on line 44

Warning: Cannot modify header information - headers already sent by (output started at /home/megacash/www/process/confirm_ident.php:44) in /home/megacash/www/process/confirm_ident.php on line 74

Ceci à la page hxxps://megacash.fr/process/confirm_ident.php quand on uploade quelque chose, tu devrais corriger ça.
A+ Wink
Voir le profil de l'utilisateur Envoyer un message privés Messagerie Instantan√©e MSN Messenger
MessagePosté le: Ven Déc 10, 2010 7:03 pm    Sujet du message: Répondre en citant

PATATA69
Projets


 
Inscrit le: 09 Déc 2010
Messages: 5



La je ne comprends pas l'erreur ... tu peux me l'expliquer ?
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Ven Déc 10, 2010 9:57 pm    Sujet du message: Répondre en citant

5N4K37
Projets


 
Inscrit le: 11 Mai 2010
Messages: 276
Localisation: Where connected=1



J'ai eu la même chose que grimm. Mais quelle contrainte as-tu imposé pour la vérification de fichier? J'ai changé juste document texte.txt en .jpg ac tamper, et ça m'affiche ça. C'est pas possible d'afficher une page réponse?

cordialement, 5N4K37


Edit: Page protégée contre tamper data basique, ainsi que des .txt.jpg
Voir le profil de l'utilisateur Envoyer un message privés Envoyer un e-mail Messagerie Instantan√©e
MessagePosté le: Ven Déc 10, 2010 11:08 pm    Sujet du message: Répondre en citant

PATATA69
Projets


 
Inscrit le: 09 Déc 2010
Messages: 5



Je viens de regarder, et pareil là je sèche,

la ligne 44 ce trouve être" if(move_uploaded_file($_FILES[$name_file]['tmp_name'], $save_path.strtolower($_FILES[$name_file]['name'])))"

mes chmods sont en 755.

des idées ?

---------------------- EDIT -------------------

Serveur remis sur pied, j'ai tout check, j'ai corrigé les deux erreurs, voyez vous d'autres choses?

Bien à vous.

Et merci pour vous aide c'est sympas
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Dim Déc 12, 2010 12:13 am    Sujet du message: Répondre en citant

5N4K37
Projets


 
Inscrit le: 11 Mai 2010
Messages: 276
Localisation: Where connected=1



Qu'étaient ces deux erreurs? Smile
Voir le profil de l'utilisateur Envoyer un message privés Envoyer un e-mail Messagerie Instantan√©e
MessagePosté le: Dim Déc 12, 2010 2:26 pm    Sujet du message: Répondre en citant

PATATA69
Projets


 
Inscrit le: 09 Déc 2010
Messages: 5



C'était une erreur de répertoire et une erreur de chmods.
Voir le profil de l'utilisateur Envoyer un message privés
Poster un nouveau sujet   Répondre au sujet Page 1 sur 1

  


 
Sauter vers:  
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum



114205 Attacks blocked