Test de mon site

Nos experts testeront vos sites avec attention.
Postez ici vos liens. Et fournissez les accès de bases (login et mot de passe 'simple utilisateur' par exemple si vous souhaitez voir ce qu'un utilisateur peux exploiter)

Moderators: Mod, Mod, Mod

Postby ROB2 » Sun Mar 20, 2011 5:01 pm

Re, je pense avoir réglé ce problème, en fait je ne vérifiais que le type mime des avatars, maintenant la vérification se fait aussi sur l'extension. J'ai également ajouté un fichier .htaccess dans le répertoire d'upload contenant ceci :
[code:1:6473e72902]Deny from all
<FilesMatch "^([0-9]+)\.(gif|jpg|jpeg|png)$">
Allow from all
</FilesMatch>
<FilesMatch "^default_avatar\.gif$">
Allow from all
</FilesMatch>[/code:1:6473e72902]
Ça roule !
ROB2
Projets
 
Posts: 15
Joined: Mon Aug 31, 2009 6:28 pm

Postby TorTukiTu » Sun Mar 20, 2011 5:44 pm

L'erreur

[code:1:9328bff350][notice 8] Undefined variable: ext /homez.120/salledej/jelix/lib/jelix/utils/jImageModifier.class.php 114
[/code:1:9328bff350]

Apparait toujours pour le profile simpson.

Le style du panneau d'administration ne correspond plus.

hxxp://jelix.salledejeux.net/profil/326

Renvoie

[code:1:9328bff350]/homez.120/salledej/jelix/salledejeux/../www/[/code:1:9328bff350]

Les problèmes liés à l'upload des fichiers semblent avoir été corrigés.

Peut etre une possibilité d'injection SQL ou XSS dans l'url du site perso attaché à un profil:

Si on essaye d'injecter à hxxp://jelix.salledejeux.net/profil/modifier le champ url comme suit:

[code:1:9328bff350]http://javascript.alert(www)[/code:1:9328bff350]

lève l'exception

[code:1:9328bff350][exception 835] Le token du formulaire n'est pas valide, vous devez remplir le formulaire correctement à partir du site. /homez.120/salledej/jelix/lib/jelix/forms/jFormsBase.class.php 151[/code:1:9328bff350]

La tortue du 974.
Last edited by TorTukiTu on Sun Mar 20, 2011 6:22 pm, edited 2 times in total.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby ROB2 » Sun Mar 20, 2011 6:11 pm

J'ai corrigé la partie profil avec l'affichage de l'avatar. J'ai eu du mal, vous m'avez tout cassé ! :P
Qu'est-ce que tu veux dire par "Le style du panneau d'administration ne correspond plus." ?
Last edited by ROB2 on Sun Mar 20, 2011 6:37 pm, edited 1 time in total.
ROB2
Projets
 
Posts: 15
Joined: Mon Aug 31, 2009 6:28 pm

Postby TorTukiTu » Sun Mar 20, 2011 6:20 pm

J'ai trouvé une autre erreur, voit mon post ci dessus.

Pour l'affichage, hxxp://jelix.salledejeux.net/admin/ donne ceci dans la fenêtre de mon navigateur (Mozilla Firefox):

hxxp://img845.imageshack.us/i/screenshot1l.png/
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby ROB2 » Sun Mar 20, 2011 6:41 pm

Le panneau d'administration a toujours été comme ça. ^^
Pour l'exception, tu as dû accéder à la partie profil d'une autre façon qu'en suivant les liens, cette erreur n'a rien à voir avec ce qu'on peut mettre dans les champs du formulaire.
ROB2
Projets
 
Posts: 15
Joined: Mon Aug 31, 2009 6:28 pm

Postby TorTukiTu » Sun Mar 20, 2011 7:20 pm

J'avoue que j'ai fait le topo sur le forum après avoir testé pas mal de trucs, donc c'est possible que j'ai pu raconter une connerie. Mais si l'exception a été levée, c'est que tu as de toute façon un problème quelquepart.

Je pense que le plus gros est à présent corrigé.

La tortue du 974.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby ROB2 » Sun Mar 20, 2011 7:27 pm

J'ai bidouillé tout ça et je pense qu'elle n'apparaîtra plus. Merci à vous deux pour vos tests, ça m'a été très utile.
ROB2
Projets
 
Posts: 15
Joined: Mon Aug 31, 2009 6:28 pm

Postby TorTukiTu » Sun Mar 20, 2011 7:42 pm

De rien, n'hésite pas à repasser si tu veux un autre pentest, ou si tu désires un audit de code, mail aux modos ce qu'il faut et on te fera un retour.

La tortue du 974.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby GHOSTX_0 » Sun Mar 20, 2011 8:04 pm

On est la pour ça ;)
User avatar
GHOSTX_0
Projets
 
Posts: 263
Joined: Mon Aug 24, 2009 6:06 pm

Previous

Return to Faites tester vos sites <b>DE TEST</b>

Who is online

Users browsing this forum: No registered users and 1 guest

cron