Mon site en version pre pre pre pre pre BETA :)

Nos experts testeront vos sites avec attention.
Postez ici vos liens. Et fournissez les accès de bases (login et mot de passe 'simple utilisateur' par exemple si vous souhaitez voir ce qu'un utilisateur peux exploiter)

Moderators: Mod, Mod, Mod

Mon site en version pre pre pre pre pre BETA :)

Postby snake91620 » Tue Apr 22, 2008 10:36 am

Déjà salut tout l monde , je suis entrain de créer une sorte de skyblog "maison" :)
Le site est loin d'être fini mais cela m'intéresserait de voir s'il y a déjà des failles ce qui est très très très probable :(
[url]http://82.229.156.101/~Snake/vodkablog[url]
Je pense qu'y a moyen de faire quelques chose sur cette page /comment.php?id=1 car si on change id=1 par id= on a une jolie erreur :)
login: hackbbs
pass: letstry
Amusez vous bien :)
PS:tous les thèmes des blogs ne sont pas encore créer dc si vous voyez votre blog sur une page blanche c pas un bug :)
snake91620
Projets
 
Posts: 2
Joined: Mon Apr 21, 2008 8:08 am

Postby Itachi018 » Thu Apr 24, 2008 8:50 pm

........[color=red:4f513f56ec]oO[/color:4f513f56ec]....[url]http://hackbbs.org/phpBB2/viewtopic.php?t=889[/url]
User avatar
Itachi018
Projets
 
Posts: 225
Joined: Fri Feb 08, 2008 7:05 pm

Postby Ness » Sun Apr 27, 2008 7:27 am

Apres un rapide coup d'oeil, j'ai pas eu le temps d'approfondir mais deja t'as du XSS sur la gestion des categories.

Securise ta variable cat je sais pas si tu fais appel a du sql ou s'il s'agit d'un listing php de type if cat = ... include ...

Dans tous les cas, si tu rajoute du JS a la variable cat ca s'execute ... gare aux vols de cookies ...

test toi meme avec un simple [color=brown:7dc77c6f0a]<script>alert('bouh');</script>[/color:7dc77c6f0a] en guise de valeur dans ton cat ce qui donne :

http://82.229.156.101/~Snake/vodkablog/index.php?cat=<script>alert('bouh');</script>

A+

Ness.

edit: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '=' at line 1
Msg lorsque l'on test le XSS.
Donc possibilité de faire du SQL injection ...
Et puis vire l'affichage des erreurs comme ca le mec qui essaye de te hack ca lui donne pas d'infos.
User avatar
Ness
Projets
 
Posts: 61
Joined: Sun Apr 27, 2008 12:44 am

Postby snake91620 » Tue Apr 29, 2008 1:35 pm

Merci j'irais corriger tout sa des que j'aurais quelques minutes :)
Injection plus possible sur la var cat du moins je pense :)
[quote:9bff68dc9a]........oO....http://hackbbs.org/phpBB2/viewtopic.php?t=889[/quote:9bff68dc9a]
C'est bon now :)
snake91620
Projets
 
Posts: 2
Joined: Mon Apr 21, 2008 8:08 am

Postby neophell » Tue Apr 29, 2008 10:32 pm

Attention les failles sont beaucoup plus critiques que ce qui est dit dans ce topic !

contacte moi par MP pour en savoir plus.
neophell
Projets
 
Posts: 3
Joined: Wed Apr 23, 2008 9:02 pm

Postby ZeRo_XaN » Wed Apr 30, 2008 12:01 pm

En effet, grosse faille d'injection (je ne suis pas aller au bout, je vais miam xD) mais belle et bien présente...
User avatar
ZeRo_XaN
Projets
 
Posts: 28
Joined: Mon Oct 22, 2007 6:50 pm


Return to Faites tester vos sites <b>DE TEST</b>

Who is online

Users browsing this forum: No registered users and 0 guests

cron