Test d'un outil

Nos experts testeront vos sites avec attention.
Postez ici vos liens. Et fournissez les accès de bases (login et mot de passe 'simple utilisateur' par exemple si vous souhaitez voir ce qu'un utilisateur peux exploiter)

Moderators: Mod, Mod, Mod

Test d'un outil

Postby jurion » Sat Jul 20, 2013 5:59 am

Bonjour,

Si jamais il y a une ame charitable pour passer un petit coup de review sur mon site !

http://beehiver.jurion.me

Logs :
bernard.muller@pyramide.bee
123456

Authorization :

http://beehiver.jurion.me/hackbbs.html

Ceci est un serveur 2008 R2, hebergé à la maison. J'ai que 10 mbits d'upload, soyez patients :)

Pour le test de serveur, je ne sais pas comment donner authorization.


Votre but : Arriver à voir les donnees d'une autre compagnie que Pyramide (et tout les remarques sont bien venue !)

PS : le service d'impression n'est pas encore sécurisé; ceci n'est pas un bug, just manque de temps !
User avatar
jurion
Projets
 
Posts: 24
Joined: Sun Feb 17, 2008 7:36 pm

Postby TorTukiTu » Sun Jul 21, 2013 10:44 am

Ce serait bien d'avoir deux comptes de tests pour tester l'étanchéité entre les comptes.

Tortue 974.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby TorTukiTu » Sun Jul 21, 2013 10:47 am

[+] [color=green:bc3e2a7994]CRITICITE FAIBLE[/color:bc3e2a7994] Information diclosure lors de certaines exceptions :

Exemple:URL hxxp://beehiver.jurion.me/WebApp/WebServices/ServiceProjectManagement.asmx/DeleteProject avec parametre id non numérique.

[code:1:bc3e2a7994]
Erreur du serveur dans l'application '/'.
Erreur d'exécution
Description : Une erreur d'application s'est produite sur le serveur. Les paramètres d'erreur personnalisés actuels pour cette application empêchent l'affichage à distance des détails de l'erreur de l'application (pour des raisons de sécurité). Cependant, ils peuvent être affichés par les navigateurs qui s'exécutent sur l'ordinateur serveur local.

Détails: Pour permettre l'affichage des détails de ce message d'erreur spécifique sur les ordinateurs distants, créez une balise <customErrors> dans un fichier de configuration "web.config" situé dans le répertoire racine de l'application Web en cours. Attribuez ensuite la valeur "off" à l'attribut "mode" de cette balise <customErrors>.


<!-- Fichier de configuration Web.Config -->

<configuration>
<system.web>
<customErrors mode="Off"/>
</system.web>
</configuration>


Remarques: La page d'erreurs actuellement affichée peut être remplacée par une page d'erreurs personnalisée. Pour ce faire, modifiez l'attribut "defaultRedirect" de la balise de configuration <customErrors> de l'application, de sorte qu'il pointe vers une URL de la page d'erreurs personnalisée.


<!-- Fichier de configuration Web.Config -->

<configuration>
<system.web>
<customErrors mode="RemoteOnly" defaultRedirect="mycustompage.htm"/>
</system.web>
</configuration>
[/code:1:bc3e2a7994]

[+] [color=green:bc3e2a7994]CRITICITE FAIBLE[/color:bc3e2a7994] Info diclosure : Dossier WebApp/js/Win8 => le serveur tourne sur windows 8

[+] [color=green:bc3e2a7994]CRITICITE FAIBLE[/color:bc3e2a7994] Autre souci, les WSDL de tes WS ne suivent pas les standard (Ca ne m'étonne pas, avec du .net,... bref). Ayant la flemme de corriger pour importer dans SOAPUI, je n'ai pas pu tester les WS.

Error loading [http://beehiver.jurion.me/WebApp/WebServices/PrintingService.asmx?wsdlhttp://beehiver.jurion.me/WebApp/WebServices/PrintingService.asmx?wsdl]: org.apache.xmlbeans.XmlException: org.apache.xmlbeans.XmlException: error: duplicate attribute 'type'

[+] [color=green:bc3e2a7994]CRITICITE FAIBLE[/color:bc3e2a7994] Pas de message d'erreur lors de l'échec d'une modification de profil. On a juste la petite icone de chargement qui tourne dans le vide.

[+] [color=green:bc3e2a7994]CRITICITE FAIBLE[/color:bc3e2a7994] URL : hxxp://beehiver.jurion.me/WebApp/Planification.aspx Un clic sur "enregistrer les modifications avant que le chargement ne soit terminé efface toutes les données du planning.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby jurion » Sun Jul 21, 2013 6:51 pm

Salut merci pour les retours !

Oui effectivement il manque des vérifications au niveau de "id" non numériques

Et merci également pour la page "planification", je vais essayer de regler ceci

[quote:58793f5b4f]CRITICITE FAIBLE Info diclosure : Dossier WebApp/js/Win8 => le serveur tourne sur windows 8 [/quote:58793f5b4f]

Au fait non, ceci est un "template" Css metroUi qui reprend éléments d'affichage de Windows 8. Serveur est bien 2008 R2


Les webServices ne suivent absolument pas les standards. Le retour indiqué par WSDL est XML, les functions Void, mais au fait il y a du Json dans la réponse.

Je vais voir pour 2em compte !
User avatar
jurion
Projets
 
Posts: 24
Joined: Sun Feb 17, 2008 7:36 pm

Postby jurion » Sun Jul 21, 2013 10:04 pm

Rebonjour,

Un deuxieme compte :

agnes.w.granier@gmail.com
123456
User avatar
jurion
Projets
 
Posts: 24
Joined: Sun Feb 17, 2008 7:36 pm

Postby GHOSTX_0 » Sun Jul 21, 2013 11:27 pm

Salut Jurion,
Bon à part des erreurs 500 dans tous les sens, je n'ai rien trouvé de critique pour le moment...
Essaie de corriger ça en retirant toutes les pages d'erreur par défaut car celles-ci peuvent donner pas mal d'infos ;)


Cordialement
User avatar
GHOSTX_0
Projets
 
Posts: 263
Joined: Mon Aug 24, 2009 6:06 pm

Postby jurion » Sun Jul 21, 2013 11:31 pm

[quote:89bf693fb1="GHOSTX_0"]Salut Jurion,
Bon à part des erreurs 500 dans tous les sens, je n'ai rien trouvé de critique pour le moment...
Essaie de corriger ça en retirant toutes les pages d'erreur par défaut car celles-ci peuvent donner pas mal d'infos ;)


Cordialement[/quote:89bf693fb1]

Merci,

Oui les pages d'erreur 500 sont par défaut pour le moment. Je règlerai ceci une fois le développement terminé.
User avatar
jurion
Projets
 
Posts: 24
Joined: Sun Feb 17, 2008 7:36 pm

Postby jurion » Mon Jul 22, 2013 3:28 am

Bonjour !

Basé sur vos réponses certaines modifications ont été apportées :

[list:2fd2be6db0]Il est n'est plus possible de cliquer sur "enregistrer" avant la fin de chargement de planification (bien que rien ne l'empêche de le faire avec tamper data ou truc comme ça)

Une page d'erreur custom a été mise en place

Ajout des certains checks sur les valeurs numériques. Mais dans 90% des cas le fait de mettre une valeur non numérique, provoque erreur de sérialisation dans le .Net, donc au final mon code de web service n'est même pas exécuté[/list:u:2fd2be6db0]

PS : Il y a quelqu’un qui a réussi à trouver les autres sites hébergés sur le même serveur. J’aimerai beaucoup savoir comment il a fait  (Notamment http://home.jurion.me/diablo/ )
User avatar
jurion
Projets
 
Posts: 24
Joined: Sun Feb 17, 2008 7:36 pm

Postby GHOSTX_0 » Mon Jul 22, 2013 9:07 am

Aha Tu as regardé tes logs!? ;)
Pour ton home je suis tombé dessus via une recherche google (site:jurion.me) :p
On peut même trouvé l'info via l'outils dig sur ton nom de domaine principale.
[code:1:fa27100d3e]
$dig beehiver.jurion.me
beehiver.jurion.me. 86387 IN CNAME home.jurion.me.
home.jurion.me. 86387 IN CNAME jurion.no-ip.biz.
jurion.no-ip.biz. 47 IN A 96.127.209.200
[/code:1:fa27100d3e]

Ensuite on effectue une simple énumération des pages sur ce serveur via bruteforce (avec DirBuster notamment)


Cordialement
User avatar
GHOSTX_0
Projets
 
Posts: 263
Joined: Mon Aug 24, 2009 6:06 pm

Postby jurion » Mon Jul 22, 2013 9:11 am

[quote:d5b32d6223="GHOSTX_0"]Aha Tu as regardé tes logs!? ;)
Pour ton home je suis tombé dessus via une recherche google (site:jurion.me) :p
On peut même trouvé l'info via l'outils dig sur ton nom de domaine principale.
[code:1:d5b32d6223]
$dig beehiver.jurion.me
beehiver.jurion.me. 86387 IN CNAME home.jurion.me.
home.jurion.me. 86387 IN CNAME jurion.no-ip.biz.
jurion.no-ip.biz. 47 IN A 96.127.209.200
[/code:1:d5b32d6223]

Ensuite on effectue une simple énumération des pages sur ce serveur via bruteforce (avec DirBuster notamment)


Cordialement[/quote:d5b32d6223]

Hmm, nice !

no-ip c'est parce que au Canada ils facturenbt une blinde pour IP fixe !

Merci pour astuce !!!
User avatar
jurion
Projets
 
Posts: 24
Joined: Sun Feb 17, 2008 7:36 pm


Return to Faites tester vos sites <b>DE TEST</b>

Who is online

Users browsing this forum: No registered users and 0 guests

cron