[bi4tch94]

Bonjour,
Voilà j'ai codé un site en PHP/MySQL un bout de JavaScript et des tonnes de fonctions :
- Shoutbox
- Sallon chatbox
- Forum
- Pleins de formulaires..
- Parsing de Gros site dans un fichier php

Je voudrais savoir si j'ai bien sécu..
Les 3/4 des $_POST sont sécu par :
[code:1:f5d2a98e20]$nomdupost = htmlentities($_POST['nom_du_post'],ENT_QUOTES);[/code:1:f5d2a98e20]
Apres j'ai des petits bouts de sécu ( expressions regulières pour certains cas )
L'endroit avec une probable faille est peut etre le forum, j'ai peut être été un peu vite à coder.
Si vous avez besoin d'autres choses.. demandez moi ^^

Hebergé chez http://www.infomaniak.ch/
Si il y a une eventuelle faille hébergeur.. vous pouvez me le signaler :p
Si vous arrivez à le défacer.. Jay Jay :)


[color=green:f5d2a98e20]EDIT : oublié de donner URL de mon site :s donc la voici http://je-galere.fr[/color:f5d2a98e20]
[color=violet:f5d2a98e20]EDIT 2 :
Login : jegalere
Passe : test[/color:f5d2a98e20]
Email utilise : test@je-galere.fr <--- Fake ^^

[mosquitox]

Perso j'aime bien votre design.
Pour ce qui est des failles je regarderai ça demain avec plus de temps.
Si tu veux des exemples pour contrer des injections notement sur ce type de faille, tu peux aller sur le site du zéro qui propose des tutos pour empécher l'exploitation de cela ^^
a+ :wink:

[bi4tch94]

Niveau codage sécurité pas de souci.. normalment mais je voudrais savoir si j'ai fait une erreur quelque part.. :s
faudrais essayer la fonction upload d'image ( sécurisé contre .php.jpeg.. je renomme l'image avec un timestamp.extension (jpeg, gif, jpg..)
Je n'accepte que les extensions d'images, cependant le code dans les images j'ai pas tester.. mais normalment la version de php sécurise sa je crois nan ?

[mosquitox]

Le mieux serai de nous créer un compte de test pour plus de faciliter :wink:

[bi4tch94]

Login : jegalere
Passe : test
Email utilise : test@je-galere.fr <--- Fake ^^

[bi4tch94]

On dirai que je l'ai bien sécu alors.. personne y arrive ? 8)

[mosquitox]

Euh tu as rien sécu c'est un module que t'as installé :lol:

[snapz]

Alors jéjà , pas vraiment une faille , mais un truc a corrigé.

Si tu met :

http://je-galere.fr/index.php?cat=forum&rubrique=forum_qui_existe_pas

Tu peut poster dans la catégorie qui n'existe pas , et c'est enregistrer dans la bdd.Répare sa , qui peut engendré des problème dans le futur.

[bi4tch94]

nana j'ai tout coder.. au Notepad2 !
J'install pas les module.. jamais sure de la sécu.. :s

Normalment on peut pas poster j'ai des test pour sa.. normalment ^^
Je vais revoir sa merci pour l'info :)

[neocoderz]

DSL mais le danger dans les upload ne vien pas uniquement des extentions non autorisé ou du manque de verification du type de l'image il vien aussi du manque de verification des script contenu meme au format .JPG... en effet sous mozilla il n'y a aucun danger mais sous internet explorer se site est vulnerable au XSS upload .

PoC XSS ( sous IE seulement , PAS MOZILLA ! ! ! ) :
http://je-galere.fr/imgperso/1202015564.jpg

voila normalement si vou etes connecter a la partie membre de se site , cela vous affichera votre cookie. il est donc ainssi possible d'utiliser une ataque de type XSS UPLOAD visant les membres utilisant IE .
vous comprendrez biensure que ce nest kanmeme pas ce qu'il y a de plus géneant , mais c'est quandmeme un trou de securité a evité qui pourai se révélé CHIANT pour les membres tout comme pour l'administrateur .

bof sinon rien trouver d'autre pas de SQL injection pas de RFI ni autre...
en espairent vous avoir au mieux informé sur la securité de votre site .
(dsl pour le langage SMS :$ )