S'enregistrer | Rechercher | FAQ | Liste des Membres | Groupes d'utilisateurs | Connexion

  Nom d'utilisateur:    Mot de passe:       

  

Poster un nouveau sujet   Répondre au sujet Page 1 sur 1
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
MessagePosté le: Mer Nov 16, 2011 9:43 pm    Sujet du message: test de mon blog Répondre en citant

ADRIEN4607
Projets


 
Inscrit le: 14 Jan 2009
Messages: 35
Localisation: Ici ;)



Bonjour a tous,
J'aimerais savoir si mon blog est bien sécurisé

hxxp://blog-adrien.fr.cr/
Preuve:
http://adrien4607.libertux.org/my-blog/securite-info-scan.txt

Ps : Embarassed DĂ©so pour l'orthographe Embarassed

Merci d’avance Smile


Dernière édition par ADRIEN4607 le Dim Jan 01, 2012 11:29 pm; édité 4 fois
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur
MessagePosté le: Jeu Nov 17, 2011 8:59 am    Sujet du message: Répondre en citant

TorTukiTu
Site Admin


 
Inscrit le: 07 Fév 2008
Messages: 1960
Localisation: Devant son pc durant la redaction de ce message



XSS ici :

hxxp://blog-adrien.fr.cr/?page=livre_or

Citation:
<input name="ip" id"ip"="" value="xxxx" type="hidden">


On ne passe pas une ip comme ça dans un form !!

J'ai aussi vu de mémoire un variable n_post que je suppose être lié au nombre de posts du client. Ce doit être fait côté serveur !!

J'ai pas vérifié les SQLi mais c'est très possible que tu en aies dans tes variables de ce form.

DĂ©sactive le directory listing : hxxp://blog-adrien.fr.cr/freeplane

Tortue 974.


Dernière édition par TorTukiTu le Ven Nov 18, 2011 6:36 am; édité 1 fois
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur Compte AIM MSN Messenger Numéro ICQ
MessagePosté le: Jeu Nov 17, 2011 5:37 pm    Sujet du message: Répondre en citant

ADRIEN4607
Projets


 
Inscrit le: 14 Jan 2009
Messages: 35
Localisation: Ici ;)



Un grand merci, c'est corrigé Very Happy

J'ai une petite question :
J'ai vus dans un autre post que tu travaillais dans la sécu, comment a tu appris ?
Car j'aimerais devenir White Hacker mais je ne trouve pas grand chose pour en devenir un(surtout une Ă©cole)
Voila le seul site que j'ai trouvez qui permet d'apprendre les faille qui existe déja mais ... comment vous faites pour en trouvez des nouvelles ou en creer ?

[url]hxx p://ww w .secur ite-info.o rg[/url]

Encore merci Smile
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur
MessagePosté le: Ven Nov 18, 2011 6:33 am    Sujet du message: Répondre en citant

TorTukiTu
Site Admin


 
Inscrit le: 07 Fév 2008
Messages: 1960
Localisation: Devant son pc durant la redaction de ce message



Citation:
J'ai vus dans un autre post que tu travaillais dans la sécu, comment a tu appris ?


Sur le tas, je suis bioinformaticien de formation, j'ai pas fait d'école d'info, je suis passé par la fac. J'ai commencé en déplombant des jeux sur atari 512 ST.

Citation:
Car j'aimerais devenir White Hacker mais je ne trouve pas grand chose pour en devenir un(surtout une Ă©cole)


Le Hack est avant tout un état d'esprit, je te conseille de faire un détour par la section culture de ce forum.

Pour ce qui est de bosser dans la sécu, tu peux toujours t'orienter vers ça avec tes différents stages.

Citation:
Voila le seul site que j'ai trouvez qui permet d'apprendre les faille qui existe déja mais ... comment vous faites pour en trouvez des nouvelles ou en creer ?


Une vulnérabilité ne se "crée" pas, elle s'exploite...

Pour ce qui est de ton site, tu en as des tonnes qui t'apprendront les bases de la sécu et des bonnes pratiques.

La partie tutos de hackbbs, hackerzvoice, hackthissite et j'en passe.

Tortue 974.
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur Compte AIM MSN Messenger Numéro ICQ
MessagePosté le: Ven Nov 18, 2011 4:42 pm    Sujet du message: Répondre en citant

ADRIEN4607
Projets


 
Inscrit le: 14 Jan 2009
Messages: 35
Localisation: Ici ;)



Merci Very Happy
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur
MessagePosté le: Mer Déc 07, 2011 2:14 am    Sujet du message: Répondre en citant

GHOSTX_0
Projets


 
Inscrit le: 24 Aoû 2009
Messages: 263



Salut Adrien,
Alors quelques points sur ton site Smile

Livre d'or:
- Tu ne vérifies pas la longueur des variables envoyées par l'utilisateur. (Tes champs message et pseudo doivent être de type TEXT dans ta base de donnée!?)
- Ton système de captcha n'est plus fonctionnel dès lors que l'on désactive l'utilisation des cookies. On peux donc "flooder" ton livre d'or sans problème :p
- De mĂŞme pour le blocage du nombre d'ajout de post.

Message d'erreur:
- Sur la page d'accueil. (hxxp://adrien4607.libertux.org/my-blog/page/acueille.php)
Fatal error: Call to a member function query() on a non-object in /home/web3531/web/my-blog/page/acueille.php on line 48

- Sur la page du diaporama (hxxp://adrien4607.libertux.org:80/my-blog/page/diaporama.php)
<b>Warning</b>: opendir(img) [<a href='function.opendir'>function.opendir</a>]: failed to open dir: No such file or directory in <b>/home/web3531/web/my-blog/page/diaporama.php</b> on line <b>9</b><br />
<br />
<b>Warning</b>: readdir(): no Directory resource supplied in <b>/home/web3531/web/my-blog/page/diaporama.php</b> on line <b>10</b><br />
<br />
<b>Warning</b>: closedir() expects parameter 1 to be resource, boolean given in <b>/home/web3531/web/my-blog/page/diaporama.php</b> on line <b>19</b><br />

On obtient par ce biais l'arborescence de ton serveur de fichier et le nom de ta base de donnée web3531db1 (info recoupée avec des postes publiques :p)

D'ailleurs une simple recherche sur Google m'a permis d'obtenir le code source de certains de tes scripts (sans les dernières mises à jour bien-sûr):
- galerie.php
- index.php
- livre-or.php
- livre_post.php
- upload.php3
- up.php
- accueil.php

De plus la majorité de tes scripts sont accessibles directement via les URLs (/my-blog/URL_SCRIPT/SCRIPT.php)
- page/livre-or.php
- page/livre_post.php
- page/connexion.php
- page/diaporama.php
- up/upload.php3
- up/up.php

Même si tu réalises une redirection de type http-equiv="refresh", on peux récupérer quelques info au passage ou testé des requêtes à la volée Wink
On peux par exemple tester des identifiants via bruteforce et valider ceux-ci en fonction du comportement de l'application!
Tant qu'on y est change ton mot de passe admin (adrien4607) pour ton authentification sur la partie admin!

Voila j'espère que ça t'aidera à améliorer le niveau de sécurité de ton application Wink

Cordialement

Ghostx_0
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Mer Déc 07, 2011 11:29 am    Sujet du message: Waw °_° Répondre en citant

ADRIEN4607
Projets


 
Inscrit le: 14 Jan 2009
Messages: 35
Localisation: Ici ;)



Comment ta trouver tout sa ?

Suis vachement étoné ! Shocked


Merci je corrige sa le plus vite possible et comment a tu trouvé mon mot de pas? bruteforce?

Pour ce qui est des cookies je ne comprend pas je n'utilise que les session actuellement


Un grand merci Smile
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur
MessagePosté le: Ven Déc 09, 2011 2:48 pm    Sujet du message: Répondre en citant

RED-HACKER2
Projets


 
Inscrit le: 21 Aoû 2010
Messages: 46



je cite aussi ce message d'erreur :

Code:
Warning: htmlspecialchars() expects parameter 1 to be string, array given in /home/web3531/web/my-blog/page/connexion.php on line 6
Warning: htmlspecialchars() expects parameter 1 to be string, array given in /home/web3531/web/my-blog/page/connexion.php on line 7
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Dim Jan 01, 2012 11:31 pm    Sujet du message: Répondre en citant

ADRIEN4607
Projets


 
Inscrit le: 14 Jan 2009
Messages: 35
Localisation: Ici ;)



Un grand merci Very Happy, je vien de rajouté du bbcode( vertion un peut ... ) et pour l'erreur je moccupe de sa demain


Heu je voi pas d'ou provien cette erreur comment la tu obtenu ?
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur
Poster un nouveau sujet   Répondre au sujet Page 1 sur 1

  


 
Sauter vers:  
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum



118040 Attacks blocked