[DEMANDE] test du site http://www.ygg-alive.com

Nos experts testeront vos sites avec attention.
Postez ici vos liens. Et fournissez les accès de bases (login et mot de passe 'simple utilisateur' par exemple si vous souhaitez voir ce qu'un utilisateur peux exploiter)

Moderators: Mod, Mod, Mod

[DEMANDE] test du site http://www.ygg-alive.com

Postby SCFD » Wed Oct 15, 2008 12:02 am

Bonjour à tous!

Actuellement développeur php pour Ygg-alive.com, ainsi qu'administrateur du serveur (c'est un serveur de jeu), je souhaiterai savoir si j'ai correctement effectué mon travail.

Pour le login : hackbbs et mdp: azerty

Merci d'avance,

cordialement,

Aeroth/scfd

ps: certains point ne sont pas encore sécurisés contre le flood, comme la partie support ou encore l'inscription qui n'est pas active.
SCFD
Projets
 
Posts: 5
Joined: Mon Oct 13, 2008 3:53 pm

Postby NAVRAS » Wed Oct 15, 2008 10:05 am

Met un "index.php" dans tout tes dossier :

http://ygg-alive.com/fnct/
http://ygg-alive.com/conf/

Ca nous laisse accès a ce fichier : http://ygg-alive.com/conf/config.php et autres...
User avatar
NAVRAS
Projets
 
Posts: 5
Joined: Sun Oct 12, 2008 5:38 pm

Postby SCFD » Wed Oct 15, 2008 10:44 am

OUps j'avais oublié merci de me le rappeler
SCFD
Projets
 
Posts: 5
Joined: Mon Oct 13, 2008 3:53 pm

Postby Selenore » Wed Oct 15, 2008 3:50 pm

Pour ma part je ne suis pas parvenu à accéder au compte.

Un simple avis (ne génant pas réellement la sécurité du site mais plus pour les utilisateurs) : utiliser l'option "password" dans le type de mdp sur l'index plutot que "text".)

De ce qui est de VHCS, assures toi que les correctifs de sécurités ont bien été appliqués ;)
User avatar
Selenore
Projets
 
Posts: 159
Joined: Sun Jan 06, 2008 1:21 am
Location: Hum bonne question... Elle m

Postby NAVRAS » Wed Oct 15, 2008 8:35 pm

Un dernier petit point, on peut entrer du code html dans les champs login et mdp.
User avatar
NAVRAS
Projets
 
Posts: 5
Joined: Sun Oct 12, 2008 5:38 pm

Postby nebojsa » Thu Oct 16, 2008 10:45 am

Allez vous renseigner sur les XSS la partie qui permet de laisser un commentaire permet l'injection de code javascript !

voir : http://ygg-alive.com/coms.php?act=voir&ref=4
nebojsa
Projets
 
Posts: 9
Joined: Sun May 04, 2008 11:09 am

Postby SCFD » Thu Oct 16, 2008 12:49 pm

Merci pour vos conseil!

j'ai corrigé tout ce que vous m'avez dit =)

[quote:dcc4f169ea]Pour ma part je ne suis pas parvenu à accéder au compte. [/quote:dcc4f169ea]
je testais mon changement de mot de passe donc c'ets normal.

[quote:dcc4f169ea]De ce qui est de VHCS, assures toi que les correctifs de sécurités ont bien été appliqués Wink[/quote:dcc4f169ea]
ce sera appliqué sur mon nouveau serveur, non celui la car c'est un serveur test.

[quote:dcc4f169ea]
Allez vous renseigner sur les XSS la partie qui permet de laisser un commentaire permet l'injection de code javascript ! [/quote:dcc4f169ea]
J'avais oublié de rajouter htmlentities() merci =)

[quote:dcc4f169ea]Un dernier petit point, on peut entrer du code html dans les champs login et mdp.[/quote:dcc4f169ea]
Je ne vois pas trop ça peut servir a quelqu'un dans ce cas la, car il y a vérification par rapport à la base de données

j'attend de voir si vous trouvez d'autres failles.

cordialement.
SCFD
Projets
 
Posts: 5
Joined: Mon Oct 13, 2008 3:53 pm


Return to Faites tester vos sites <b>DE TEST</b>

Who is online

Users browsing this forum: No registered users and 3 guests

cron