Bonjour,
On a eu quelque probleme avec le site de notre guilde d'un jeu en ligne: http://incomprehension.free.fr/
Le truc c'est qu'une image se trouvant dans ce dossier http://incomprehension.free.fr/GifSO/
a pu être modifiée par quelqu'un qui n'a absolument aucun accès au site, si ce n'est lire les page. Pas de compte.
L'image qui était présente a été remplacée par une autre image,où y'avais de la diffamaton a notre encontre.
Ca nous a assez inquiété de voir qu'on pouvais modifier comme ça des fichier sur notre site...
Donc ce serais sympa de nous dire comment cette personne a pu modifier nos fichier, et comment boucher cette faille (ou ces failles)
Preuve: http://incomprehension.free.fr/GifSO/Pour%20le%20test%20hackbbs.docx
Adresse:http://incomprehension.free.fr/
Merci,
Lascazas
[Résolu]Test de http://incomprehension.free.fr
23 posts
• Page 1 of 2 • 1, 2
[Résolu]Test de http://incomprehension.free.fr
by Lascazas » Thu Dec 25, 2008 7:02 pm
Last edited by Lascazas on Mon Jul 20, 2009 4:37 pm, edited 1 time in total.
- Lascazas
- Projets
- Posts: 10
- Joined: Sat Dec 15, 2007 11:19 am
by Sliim » Thu Dec 25, 2008 11:08 pm
Salut Lascazas
bon pour le moment je n'ai rien trouvé de bien méchant.
Je te conseil tout de meme de mettre des index à chaque dossier, ça évitera que des personnes puissent lister le contenu de ces dossiers.
str4k3 => Je me demande bien ce que tu as pu trouver, quel type de faille ??
++
bon pour le moment je n'ai rien trouvé de bien méchant.
Je te conseil tout de meme de mettre des index à chaque dossier, ça évitera que des personnes puissent lister le contenu de ces dossiers.
str4k3 => Je me demande bien ce que tu as pu trouver, quel type de faille ??
++
-
Sliim - Site Admin
- Posts: 1177
- Joined: Fri May 16, 2008 12:53 pm
by str4k3 » Thu Dec 25, 2008 11:21 pm
J'ai trouve une faille qsl qui m'a permis apres d'avoir un acces complet sur le serveur ftp pour preuve hxxp://incomprehension.free.fr/hacker.txt
voila donc moi j'en ai trouve une TRES MECHANTE sans compter cceux qui sont dans les fichier source
voila donc moi j'en ai trouve une TRES MECHANTE sans compter cceux qui sont dans les fichier source
-
str4k3 - Projets
- Posts: 9
- Joined: Tue Nov 20, 2007 5:02 pm
by TorTukiTu » Thu Dec 25, 2008 11:43 pm
J'ai aussi trouvé une faille SQL possible (flemme de l'exploiter), a priori c'est surement la même que str4k3 car ici, il n'y a pas 50000 possibilités où faire de l'injection.
De plus, je crois que le script qui t'envoie des mails est vulnérable, je l'ai fait planter en le floodant.
Ps.: j'ai testé 3 minutes, et j'avoue que ce soir j'ai un peu bu :D donc j'ai sûrement raté plein de choses, alors a mon avis si des erreurs de ce genres se sont glissées, revérifie rapidement tous tes scripts, même ceux qui sont, a priori, sûrs.
Et comme l'a dit sliim, bannir le directory listing c'est bien :)
Cordialement, la tortue.
De plus, je crois que le script qui t'envoie des mails est vulnérable, je l'ai fait planter en le floodant.
Ps.: j'ai testé 3 minutes, et j'avoue que ce soir j'ai un peu bu :D donc j'ai sûrement raté plein de choses, alors a mon avis si des erreurs de ce genres se sont glissées, revérifie rapidement tous tes scripts, même ceux qui sont, a priori, sûrs.
Et comme l'a dit sliim, bannir le directory listing c'est bien :)
Cordialement, la tortue.
-
TorTukiTu - Site Admin
- Posts: 1960
- Joined: Thu Feb 07, 2008 10:24 pm
- Location: Devant son pc durant la redaction de ce message
by Lascazas » Sat Dec 27, 2008 12:51 pm
Bah j'ai re-essayé mais ça me dit que ton adresse existe pas....
Ca me dit "Diagnostic-Code: smtp;554 delivery error: dd This user doesn't have a yahoo.com account (o_niix@yahoo.com) [-5] - mta159.mail.re2.yahoo.com"
T'aurais pas une autre adresse?
Ca me dit "Diagnostic-Code: smtp;554 delivery error: dd This user doesn't have a yahoo.com account (o_niix@yahoo.com) [-5] - mta159.mail.re2.yahoo.com"
T'aurais pas une autre adresse?
- Lascazas
- Projets
- Posts: 10
- Joined: Sat Dec 15, 2007 11:19 am
by Lascazas » Sun Dec 28, 2008 11:12 am
xD c'est pas fait pour ça ;)
Euh st4k3...Ton adresse marche pas non plus...
Je crois que tes adresses ont expirées....ou alors c'est hotmail qui foire.
Alors on va faire plus simple, envoie moi un mail à flamey@usa.com
Explique les failles et comment les corriger. Merci
Euh st4k3...Ton adresse marche pas non plus...
Je crois que tes adresses ont expirées....ou alors c'est hotmail qui foire.
Alors on va faire plus simple, envoie moi un mail à flamey@usa.com
Explique les failles et comment les corriger. Merci
- Lascazas
- Projets
- Posts: 10
- Joined: Sat Dec 15, 2007 11:19 am
by Lascazas » Fri Jan 09, 2009 9:05 pm
str4k3 a pas l'air de passer par ici, alors j'vais vous poser une autre question a laquelle j'ai trouvé aucune réponse sur google:
Comment faire pour interdire l'ajout de données dans une url du type
index.php?id=1
J'ai vu sur un site qui le bloque que ça met un message d'erreur avec config.inc.php
Est-ce un fichier dans lequel il faut modifier des parametres pour l'interdire?
Ou Y'a-t-il un autre moyen d'empecher d'ajouter par exemple
index.php?id=1 ORDER BY 1 etc...
Autre question : Dans un formulaire d'envoi de mail automatisé, la personne peut elle avoir obtenu des information importantes (user/pass) en y mettant "cat/etc/password"?
Merci de votre aide :)
Comment faire pour interdire l'ajout de données dans une url du type
index.php?id=1
J'ai vu sur un site qui le bloque que ça met un message d'erreur avec config.inc.php
Est-ce un fichier dans lequel il faut modifier des parametres pour l'interdire?
Ou Y'a-t-il un autre moyen d'empecher d'ajouter par exemple
index.php?id=1 ORDER BY 1 etc...
Autre question : Dans un formulaire d'envoi de mail automatisé, la personne peut elle avoir obtenu des information importantes (user/pass) en y mettant "cat/etc/password"?
Merci de votre aide :)
- Lascazas
- Projets
- Posts: 10
- Joined: Sat Dec 15, 2007 11:19 am
by TorTukiTu » Fri Jan 09, 2009 9:49 pm
[quote:b0b5b00d22]Comment faire pour interdire l'ajout de données dans une url du type
index.php?id=1 [/quote:b0b5b00d22]
Cela est lié au client, pas à ton serveur, donc tu ne peux pas. Le principe, c'est que lorsque tu vas recevoir cette donnée, tu vas l'ignorer en renvoyant un message d'erreur. Par exemple, si id est un identifiant de page et que tu as en gros une table comme suit:
id page droits_pour_la_voir
1 admin.html admin
2 ma_page1.html user
3 ma_page1.html user
Et si on te passe index.php?id=1 Tu vérifies si le type est admin (en utilisant ses cookies par exemple) et tu affiches la page. Sinon, tu renvoie une erreur.
[quote:b0b5b00d22]Ou Y'a-t-il un autre moyen d'empecher d'ajouter par exemple
index.php?id=1 ORDER BY 1 etc... [/quote:b0b5b00d22]
Bien sur, c'est le filtrage de caractères. Des scripts tous faits existent et font ça très bien. Tu envoie ta variable id à un script de filtrage qui va repérer " ORDER BY 1 etc..." comme foireux et qui va renvoyer une erreur.
pour le script d'envoi de mail, c'est encore du filtrage. Si tu repère par exemple le caractère "\" dans ta chaîne, tu renvoie une erreur avant d'exécuter ton script de mail.
Voilà, j'espère avoir répondu à tes questions.
La tortue.
index.php?id=1 [/quote:b0b5b00d22]
Cela est lié au client, pas à ton serveur, donc tu ne peux pas. Le principe, c'est que lorsque tu vas recevoir cette donnée, tu vas l'ignorer en renvoyant un message d'erreur. Par exemple, si id est un identifiant de page et que tu as en gros une table comme suit:
id page droits_pour_la_voir
1 admin.html admin
2 ma_page1.html user
3 ma_page1.html user
Et si on te passe index.php?id=1 Tu vérifies si le type est admin (en utilisant ses cookies par exemple) et tu affiches la page. Sinon, tu renvoie une erreur.
[quote:b0b5b00d22]Ou Y'a-t-il un autre moyen d'empecher d'ajouter par exemple
index.php?id=1 ORDER BY 1 etc... [/quote:b0b5b00d22]
Bien sur, c'est le filtrage de caractères. Des scripts tous faits existent et font ça très bien. Tu envoie ta variable id à un script de filtrage qui va repérer " ORDER BY 1 etc..." comme foireux et qui va renvoyer une erreur.
pour le script d'envoi de mail, c'est encore du filtrage. Si tu repère par exemple le caractère "\" dans ta chaîne, tu renvoie une erreur avant d'exécuter ton script de mail.
Voilà, j'espère avoir répondu à tes questions.
La tortue.
-
TorTukiTu - Site Admin
- Posts: 1960
- Joined: Thu Feb 07, 2008 10:24 pm
- Location: Devant son pc durant la redaction de ce message
by Sliim » Sat Jan 10, 2009 3:26 am
Pour ma part, pour sécuriser une url ou l'on passe un id je fais simple.
Un id est forcément un entier, donc pourquoi ne pas tester que la valeur id passé en GET soir un nombre ou non. Si cela en est un, aucun danger, sinon message d'erreur..
[code:1:f67625edb2]if(isset($_GET["id"])){
if(is_numeric($id)){
// Aucun danger présent, on peut donc continuer à exécuter le script demandé
}
else{
// La valeur de la variable n'est pas un nombre, l'url a été modifié donc danger possible, on interrompe le script demandé pour y afficher un message d'erreur.
}
}
[/code:1:f67625edb2]
Pour moi cette méthode est plutôt simple et efficace :wink:
++
Un id est forcément un entier, donc pourquoi ne pas tester que la valeur id passé en GET soir un nombre ou non. Si cela en est un, aucun danger, sinon message d'erreur..
[code:1:f67625edb2]if(isset($_GET["id"])){
if(is_numeric($id)){
// Aucun danger présent, on peut donc continuer à exécuter le script demandé
}
else{
// La valeur de la variable n'est pas un nombre, l'url a été modifié donc danger possible, on interrompe le script demandé pour y afficher un message d'erreur.
}
}
[/code:1:f67625edb2]
Pour moi cette méthode est plutôt simple et efficace :wink:
++
Last edited by Sliim on Sat Jan 10, 2009 3:55 pm, edited 1 time in total.
-
Sliim - Site Admin
- Posts: 1177
- Joined: Fri May 16, 2008 12:53 pm
23 posts
• Page 1 of 2 • 1, 2
Return to Faites tester vos sites <b>DE TEST</b>
Who is online
Users browsing this forum: No registered users and 1 guest