S'enregistrer | Rechercher | FAQ | Liste des Membres | Groupes d'utilisateurs | Connexion

  Nom d'utilisateur:    Mot de passe:       

  

Poster un nouveau sujet   Répondre au sujet Page 1 sur 1
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
MessagePosté le: Jeu Mar 08, 2012 1:17 pm    Sujet du message: Tester ce site que je suis entrain de faire :] Répondre en citant

CKOICBINS
Projets


 
Inscrit le: 16 Fév 2012
Messages: 8



lut.

Je viens vous demander de tester un site que je suis entrain de faire pour une entreprise.

Le site Ă  tester : http://lagauloisedoree.fr
Page qui confirme que je suis bien le possesseur : http://www.lagauloisedoree.fr/hackbbs.txt

Thx,
CKOICBINS
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Jeu Mar 08, 2012 2:49 pm    Sujet du message: Répondre en citant

TorTukiTu
Site Admin


 
Inscrit le: 07 Fév 2008
Messages: 1960
Localisation: Devant son pc durant la redaction de ce message



Injection possible dans :

hxxp://www.lagauloisedoree.fr/notreagenda.php

J'ai injecté un chaine 'ceci est une injection ' pour l'évènement du 30/03/2012.

Ton script rpc.php DOIT vérifier que ton utilisateur est authentifié avant de permettre une suppression d'évènement ou un ajout.

Vérifie également que les variables passés à ce script sont correctement échappées.

Tortue 974.
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur Compte AIM MSN Messenger Numéro ICQ
MessagePosté le: Jeu Mar 08, 2012 3:08 pm    Sujet du message: Répondre en citant

CKOICBINS
Projets


 
Inscrit le: 16 Fév 2012
Messages: 8



Merci. Le seul hic est que ce script, je l'ai pris sur le net sans vraiment le comprendre.. Embarassed
Enfin bref, je vais sans doute réaliser un nv agenda. Est-ce que vous avez des conseils à me donner avant que je me lance dans la réalisation du nv agenda ?

+
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Jeu Mar 08, 2012 4:21 pm    Sujet du message: Répondre en citant

TorTukiTu
Site Admin


 
Inscrit le: 07 Fév 2008
Messages: 1960
Localisation: Devant son pc durant la redaction de ce message



Je te conseille de prendre des scripts éprouvés déjà existants. Pas la peine de réinventer la roue en moins bien...

Sinon, d'une façon générale, respecte les conventions et suis les préconisations de l'OWASP.

Tortue 974.
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur Compte AIM MSN Messenger Numéro ICQ
MessagePosté le: Jeu Mar 08, 2012 4:24 pm    Sujet du message: Répondre en citant

CKOICBINS
Projets


 
Inscrit le: 16 Fév 2012
Messages: 8



Je vais utiliser du PHP et MySQL pour ce nv agenda. C'est suffisant non ?
(Agenda maintenant hl)
& il n'y a pas de faille sinon ?

EDIT: J'a un pb avec ma galerie photos, elle a du mal Ă  afficher les photos; c'est trop lent Evil or Very Mad Vous savez pourquoi ? Surprised
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Ven Mar 09, 2012 5:39 am    Sujet du message: Répondre en citant

TorTukiTu
Site Admin


 
Inscrit le: 07 Fév 2008
Messages: 1960
Localisation: Devant son pc durant la redaction de ce message



Citation:
EDIT: J'a un pb avec ma galerie photos, elle a du mal Ă  afficher les photos; c'est trop lent Evil or Very Mad Vous savez pourquoi ? Surprised


Parceque tu as des photos d'une trop haute définition donc trop lourdes.

Il faut faire des miniatures de ces photos (= la photo dans une taille, donc une définition bien inférieure) pour ta gallerie et montrer la photo HD quand on clique sur la miniature.

Citation:
Je vais utiliser du PHP et MySQL pour ce nv agenda. C'est suffisant non ?


Tout dépend comment tu l'as fait. Personellement et quoi qu'en disent les puristes, php et MySQL, c'est jamais bien pour la sécu...
Comme tu l'as fait actuellement, l'utilisateur ne peut plus rien injecter.

Citation:
il n'y a pas de faille sinon ?


Plus rien d'Ă©vident.

Tortue 974.
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur Compte AIM MSN Messenger Numéro ICQ
MessagePosté le: Ven Mar 09, 2012 1:33 pm    Sujet du message: Répondre en citant

CKOICBINS
Projets


 
Inscrit le: 16 Fév 2012
Messages: 8



Okey merci. Je vais voir ce que je peux faire pour la galerie photos...
Pis au niveau de l'Agenda c'est bon, il n'y a plus de faille donc c'est cool.

Merci beaucoup TorTukiTu. Wink
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Lun Juin 25, 2012 5:35 pm    Sujet du message: Répondre en citant

CKOICBINS
Projets


 
Inscrit le: 16 Fév 2012
Messages: 8



Booooon-soir !

J'ai terminé le site lol, depuis le temps ! > http://www.lagauloisedoree.fr !
Page qui confirme que je suis bien le possesseur : http://www.lagauloisedoree.fr/hackbbs.txt

Merci de me dire si vous trouvez une/des faille(s). & si vous avez des conseils, je suis preneur.

CKOICBINS.
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Mar Juin 26, 2012 6:14 am    Sujet du message: Répondre en citant

TorTukiTu
Site Admin


 
Inscrit le: 07 Fév 2008
Messages: 1960
Localisation: Devant son pc durant la redaction de ce message



Bien le bonsoir, CKOICBINS.

J'ai fais un passage vite fait, je n'ai rien vu de particulier.

J'irai chercher un peu plus en détail quand j'aurais le temps.

Par contre, attention aux Ă©ventuels 0-day avec ton prestashop !

Tortue 974.
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur Compte AIM MSN Messenger Numéro ICQ
MessagePosté le: Mar Juin 26, 2012 10:47 am    Sujet du message: Répondre en citant

CKOICBINS
Projets


 
Inscrit le: 16 Fév 2012
Messages: 8



ARF, je ne vois pas comment sécuriser prestashop pour éviter toute exploit... M'enfin, je vais me renseigner. Merci bien TorTukiTu.


CKOICBINS.
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Mar Juin 26, 2012 10:58 am    Sujet du message: Répondre en citant

TorTukiTu
Site Admin


 
Inscrit le: 07 Fév 2008
Messages: 1960
Localisation: Devant son pc durant la redaction de ce message



Tu ne peux pas, et ça n'est pas ce que je t'ai dit.

Je te dis seulement de te tenir au courant des derniers exploits disponibles sur Prestashop, et de les patcher rapidement après leur publication.

Tortue 974.
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur Compte AIM MSN Messenger Numéro ICQ
MessagePosté le: Mar Juin 26, 2012 11:11 am    Sujet du message: Répondre en citant

CKOICBINS
Projets


 
Inscrit le: 16 Fév 2012
Messages: 8



Oui désolé j'avais mal compris. Bah ouais bah je vais faire attention. La je vais désactiver la boutique, je dois faire une mise à jour. Smile Merci encore.

CKOICBINS
Voir le profil de l'utilisateur Envoyer un message privés
Poster un nouveau sujet   Répondre au sujet Page 1 sur 1

  


 
Sauter vers:  
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum



114264 Attacks blocked