S'enregistrer | Rechercher | FAQ | Liste des Membres | Groupes d'utilisateurs | Connexion

  Nom d'utilisateur:    Mot de passe:       

  

Poster un nouveau sujet   Répondre au sujet Page 1 sur 1
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
MessagePosté le: Jeu Mar 10, 2011 11:07 pm    Sujet du message: Mon site à l'épreuve de vos test , s'il vous plait Répondre en citant

kit50
Projets


 
Inscrit le: 29 Jan 2008
Messages: 41



Bonjour à tous,
je voudrais savoir si vous pouviez tester mon site ?
S'il vous plais, afin d'y chercher des failles que j'aurais omis de corriger

Voici le lien du site : Mon site

Voici le lien d'autorisation : Page d'autorisation

J'ai mis à votre disposition 2 comptes :
Compte membre : identifiant : hackbbs-membre mot de passe : testhackbbs-membre

Compte modérateur : identifiant : hackbbs-moderateur mot de passe : testhackbbs-modo

voilà

encore merci d'avance

Alexis
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Ven Mar 11, 2011 5:05 am    Sujet du message: Répondre en citant

TorTukiTu
Site Admin


 
Inscrit le: 07 Fév 2008
Messages: 1960
Localisation: Devant son pc durant la redaction de ce message



Après un petit tour, rien d'évident à signaler.

La tortue du 974.
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur Compte AIM MSN Messenger Numéro ICQ
MessagePosté le: Ven Mar 11, 2011 10:32 pm    Sujet du message: Répondre en citant

kit50
Projets


 
Inscrit le: 29 Jan 2008
Messages: 41



merci =)
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Sam Mar 12, 2011 1:29 pm    Sujet du message: Répondre en citant

THE-DEATH
Modérateur


 
Inscrit le: 23 Juil 2008
Messages: 971
Localisation: 127.0.0.1



Avec un rapide coup d'oeil pas grand chose a dire a part un petit mensonge pas tres grave peut-etre du a des modifs ou autre .. => http://validator.w3.org/check?uri=http%3A%2F%2Fwww.easydollars.fr%2F&charset=%28detect+automatically%29&doctype=Inline&group=0
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur
MessagePosté le: Sam Mar 12, 2011 5:42 pm    Sujet du message: Répondre en citant

kit50
Projets


 
Inscrit le: 29 Jan 2008
Messages: 41



THE-DEATH a écrit:
Avec un rapide coup d'oeil pas grand chose a dire a part un petit mensonge pas tres grave peut-etre du a des modifs ou autre .. => http://validator.w3.org/check?uri=http%3A%2F%2Fwww.easydollars.fr%2F&charset=%28detect+automatically%29&doctype=Inline&group=0


merci, je vais corriger ça au plus vite, c'est dû à des modification ^^

encore merci
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Lun Mar 14, 2011 1:49 am    Sujet du message: Répondre en citant

GHOSTX_0
Projets


 
Inscrit le: 24 Aoû 2009
Messages: 263



Salut Alexis,
Alors j'ai trouvé 2 ou 3 trucs qui n'allaient pas!

- Tout d'abord ton système de captcha est imparfait. Je m'explique tu fais appel à un script php (captcha_image.php) qui génère l'image aléatoirement en fonction du nombre choisit (ici 5).

Bon jusqu'ici ça va mais le problème c'est que ce nombre à pour limite 20, pour lequel le captcha vaut toujours 000... (20 zero quoi)

Voici le lien pour t'en rendre compte:
http://www.easydollars.fr/modules/securite/captcha_image.php?nombre=20

- Lors de la connexion tu indiques si un compte existe ou pas! Je te conseil d'éviter de donner ce genre d'info Wink

- Ensuite tu enregistres la variable PHPSESSID dans un cookie!!! Chose que je ne ferai pas car tu consultes celui-ci à chaque page via le protocol HTTP donc en clair! =/
Il suffit donc de choper cette variable et de forger un cookie avec pour avoir un accès au site. J'ai pas eut le temps de tester avec un fuzzer mais je ne pense pas que ça fonctionne.
Pourquoi ne pas utiliser simplement la variable $_SESSION pour stocker ça sur le serveur!?

- Un scan w3af détecte une vulnérabilité XST (Cross site tracing)
Je ne penses pas que ce soit bien grave car la majorité des navigateurs ont corrigé ce genre de problème, mais change quand même ça dans ta config (httponly)

- Un dernier truc je ne sais pas qu'elle fonction tu utilises pour déterminer l'adresse ip de connexion mais il retourne une adresse ip erronée pour mon cas!

J'ai aussi testé ton serveur et il n'y a pas grand chose à signaler à part peut être un nombre assez important de services en écoute:

PORT STATE SERVICE
21/tcp open ftp
25/tcp open smtp
26/tcp open rsftp
53/tcp open domain
80/tcp open http
110/tcp open pop3
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
143/tcp open imap
443/tcp open https
445/tcp filtered microsoft-ds
465/tcp open smtps
593/tcp filtered http-rpc-epmap
993/tcp open imaps
995/tcp open pop3s
3306/tcp open mysql
3690/tcp open svn
5666/tcp open nrpe

Vérifie bien qu'ils sont à jour et indispensables, sinon ferme les ports concernés.

Voila n'hésites pas si tu veux plus d'infos.

Cordialement Wink

Ghostx_0
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Lun Mar 14, 2011 4:42 am    Sujet du message: Répondre en citant

TorTukiTu
Site Admin


 
Inscrit le: 07 Fév 2008
Messages: 1960
Localisation: Devant son pc durant la redaction de ce message



Bien vu pour le captcha GHOST_X. J'avais pas du tout grillé.

La tortue du 974.
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur Compte AIM MSN Messenger Numéro ICQ
MessagePosté le: Mar Mar 15, 2011 11:05 am    Sujet du message: Répondre en citant

kit50
Projets


 
Inscrit le: 29 Jan 2008
Messages: 41



merci beaucoup

je vais corrigé ça au plus vite Wink

encore merci merci !
Voir le profil de l'utilisateur Envoyer un message privés
Poster un nouveau sujet   Répondre au sujet Page 1 sur 1

  


 
Sauter vers:  
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum



114264 Attacks blocked