Mon site à l'épreuve de vos test , s'il vous plait

Nos experts testeront vos sites avec attention.
Postez ici vos liens. Et fournissez les accès de bases (login et mot de passe 'simple utilisateur' par exemple si vous souhaitez voir ce qu'un utilisateur peux exploiter)

Moderators: Mod, Mod, Mod

Mon site à l'épreuve de vos test , s'il vous plait

Postby kit50 » Thu Mar 10, 2011 11:07 pm

Bonjour à tous,
je voudrais savoir si vous pouviez tester mon site ?
S'il vous plais, afin d'y chercher des failles que j'aurais omis de corriger

Voici le lien du site : [url=http://easydollars.fr]Mon site[/url]

Voici le lien d'autorisation : [url=http://www.easydollars.fr/defaut/hackbbs.html]Page d'autorisation[/url]

J'ai mis à votre disposition 2 comptes :
Compte membre : identifiant : hackbbs-membre mot de passe : testhackbbs-membre

Compte modérateur : identifiant : hackbbs-moderateur mot de passe : testhackbbs-modo

voilà

encore merci d'avance

Alexis
kit50
Projets
 
Posts: 41
Joined: Tue Jan 29, 2008 11:24 pm

Postby TorTukiTu » Fri Mar 11, 2011 5:05 am

Après un petit tour, rien d'évident à signaler.

La tortue du 974.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby kit50 » Fri Mar 11, 2011 10:32 pm

merci =)
kit50
Projets
 
Posts: 41
Joined: Tue Jan 29, 2008 11:24 pm

Postby THE-DEATH » Sat Mar 12, 2011 1:29 pm

Avec un rapide coup d'oeil pas grand chose a dire a part un petit mensonge pas tres grave peut-etre du a des modifs ou autre .. => http://validator.w3.org/check?uri=http%3A%2F%2Fwww.easydollars.fr%2F&charset=%28detect+automatically%29&doctype=Inline&group=0
User avatar
THE-DEATH
 
Posts: 971
Joined: Wed Jul 23, 2008 10:49 am
Location: 127.0.0.1

Postby kit50 » Sat Mar 12, 2011 5:42 pm

[quote:622cb8a651="THE-DEATH"]Avec un rapide coup d'oeil pas grand chose a dire a part un petit mensonge pas tres grave peut-etre du a des modifs ou autre .. => http://validator.w3.org/check?uri=http%3A%2F%2Fwww.easydollars.fr%2F&charset=%28detect+automatically%29&doctype=Inline&group=0[/quote:622cb8a651]

merci, je vais corriger ça au plus vite, c'est dû à des modification ^^

encore merci
kit50
Projets
 
Posts: 41
Joined: Tue Jan 29, 2008 11:24 pm

Postby GHOSTX_0 » Mon Mar 14, 2011 1:49 am

Salut Alexis,
Alors j'ai trouvé 2 ou 3 trucs qui n'allaient pas!

- Tout d'abord ton système de captcha est imparfait. Je m'explique tu fais appel à un script php (captcha_image.php) qui génère l'image aléatoirement en fonction du nombre choisit (ici 5).

Bon jusqu'ici ça va mais le problème c'est que ce nombre à pour limite 20, pour lequel le captcha vaut toujours 000... (20 zero quoi)

Voici le lien pour t'en rendre compte:
http://www.easydollars.fr/modules/securite/captcha_image.php?nombre=20

- Lors de la connexion tu indiques si un compte existe ou pas! Je te conseil d'éviter de donner ce genre d'info ;)

- Ensuite tu enregistres la variable PHPSESSID dans un cookie!!! Chose que je ne ferai pas car tu consultes celui-ci à chaque page via le protocol HTTP donc en clair! =/
Il suffit donc de choper cette variable et de forger un cookie avec pour avoir un accès au site. J'ai pas eut le temps de tester avec un fuzzer mais je ne pense pas que ça fonctionne.
Pourquoi ne pas utiliser simplement la variable $_SESSION pour stocker ça sur le serveur!?

- Un scan w3af détecte une vulnérabilité XST (Cross site tracing)
Je ne penses pas que ce soit bien grave car la majorité des navigateurs ont corrigé ce genre de problème, mais change quand même ça dans ta config (httponly)

- Un dernier truc je ne sais pas qu'elle fonction tu utilises pour déterminer l'adresse ip de connexion mais il retourne une adresse ip erronée pour mon cas!

J'ai aussi testé ton serveur et il n'y a pas grand chose à signaler à part peut être un nombre assez important de services en écoute:

PORT STATE SERVICE
21/tcp open ftp
25/tcp open smtp
26/tcp open rsftp
53/tcp open domain
80/tcp open http
110/tcp open pop3
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
143/tcp open imap
443/tcp open https
445/tcp filtered microsoft-ds
465/tcp open smtps
593/tcp filtered http-rpc-epmap
993/tcp open imaps
995/tcp open pop3s
3306/tcp open mysql
3690/tcp open svn
5666/tcp open nrpe

Vérifie bien qu'ils sont à jour et indispensables, sinon ferme les ports concernés.

Voila n'hésites pas si tu veux plus d'infos.

Cordialement ;)

Ghostx_0
User avatar
GHOSTX_0
Projets
 
Posts: 263
Joined: Mon Aug 24, 2009 6:06 pm

Postby TorTukiTu » Mon Mar 14, 2011 4:42 am

Bien vu pour le captcha GHOST_X. J'avais pas du tout grillé.

La tortue du 974.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby kit50 » Tue Mar 15, 2011 11:05 am

merci beaucoup

je vais corrigé ça au plus vite ;-)

encore merci merci !
kit50
Projets
 
Posts: 41
Joined: Tue Jan 29, 2008 11:24 pm


Return to Faites tester vos sites <b>DE TEST</b>

Who is online

Users browsing this forum: No registered users and 1 guest

cron