[TEST] Test de mon site : Best-Codes.com

Nos experts testeront vos sites avec attention.
Postez ici vos liens. Et fournissez les accès de bases (login et mot de passe 'simple utilisateur' par exemple si vous souhaitez voir ce qu'un utilisateur peux exploiter)

Moderators: Mod, Mod, Mod

[TEST] Test de mon site : Best-Codes.com

Postby SHADOWKILLER » Sun Mar 08, 2009 10:28 am

Bonjour,

Je souhaiterais que vous testiez mon site :

Voici l'adresse : http://www.best-codes.com

Et la preuve que ce site m'appartient :

http://www.best-codes.com/hackbbs.html

Merci
SHADOWKILLER
Projets
 
Posts: 10
Joined: Sun Mar 08, 2009 10:19 am

Postby nqqb » Sun Mar 08, 2009 11:26 am

Il y a un problème quand on clique sur acheter:
[code:1:0d844dc55b]Warning: mysql_query() [function.mysql-query]: Can't connect to local MySQL server through socket '/tmp/mysql.sock' (2) in /web/codeotop/www/pages/achat/achat2.php on line 14

Warning: mysql_query() [function.mysql-query]: A link to the server could not be established in /web/codeotop/www/pages/achat/achat2.php on line 14

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /web/codeotop/www/pages/achat/achat2.php on line 15
Achetez vos
Valable sur :


Warning: mysql_query() [function.mysql-query]: Can't connect to local MySQL server through socket '/tmp/mysql.sock' (2) in /web/codeotop/www/pages/achat/achat2.php on line 50

Warning: mysql_query() [function.mysql-query]: A link to the server could not be established in /web/codeotop/www/pages/achat/achat2.php on line 50

Warning: mysql_query() [function.mysql-query]: Can't connect to local MySQL server through socket '/tmp/mysql.sock' (2) in /web/codeotop/www/pages/achat/achat2.php on line 51

Warning: mysql_query() [function.mysql-query]: A link to the server could not be established in /web/codeotop/www/pages/achat/achat2.php on line 51

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /web/codeotop/www/pages/achat/achat2.php on line 52
Prix Quantité Vendeur Acheter[/code:1:0d844dc55b][/quote]
User avatar
nqqb
Projets
 
Posts: 222
Joined: Fri Jun 13, 2008 1:15 pm

Postby SHADOWKILLER » Wed Mar 11, 2009 2:30 pm

CodeOtop n'est pas mon site, je vend mes codes la bas, et cette erreur apparait quand tu est déconnecté de leur site.

Personne d'autres ?
SHADOWKILLER
Projets
 
Posts: 10
Joined: Sun Mar 08, 2009 10:19 am

Postby TorTukiTu » Wed Mar 11, 2009 2:37 pm

Bonjour,

http://www.best-codes.com/classement.php?page=-1

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/bestcode/web/www/classement.php on line 40
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby THE-DEATH » Wed Mar 11, 2009 2:46 pm

:s j'étais en train de la poster en ce moment, tu m'a devancé, arf sal**erie de tortue :p
Sinon ç permet notamment d'obtenir le type de bdd que tu possède, qui peut être idéal aux attaquants avec un 0-day par exemple.
User avatar
THE-DEATH
 
Posts: 971
Joined: Wed Jul 23, 2008 10:49 am
Location: 127.0.0.1

Postby TorTukiTu » Wed Mar 11, 2009 2:52 pm

Hihi ^.^ je suis une tortue de course !

Sinon, j'ai fais un peu le tour de ton site en essayant quelques bidouilles à droite à gauche.
J'ai aussi testé tous les champs de tes différents formulaires avec SQL inject ME et XSS me. J'ai rien repéré de special.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby SHADOWKILLER » Wed Mar 11, 2009 7:34 pm

Merci pour la confirmation de le faille, moi j'ai essayé de mettre null et sa faisait pareil.
Quelqu'un a voulu m'aider a la boucher, et a abandonné, car il n'y arrivait pas.
Ma question est donc maintenant :

Comment boucher cette faille ?

Merci
SHADOWKILLER
Projets
 
Posts: 10
Joined: Sun Mar 08, 2009 10:19 am

Postby TorTukiTu » Wed Mar 11, 2009 8:02 pm

isnumeric() vérifie si l'argument est un nombre.

La solution bidouille:

var=?isnumeric()
si oui alors:
-si var < 0 : var = -var
-requete
sinon:
afficher index

Il y a surment plus élégant que ça.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby SHADOWKILLER » Fri Mar 27, 2009 8:09 pm

On peut m'expliquer parce que la je capte pas trop ?

Merci
SHADOWKILLER
Projets
 
Posts: 10
Joined: Sun Mar 08, 2009 10:19 am

Postby TorTukiTu » Fri Mar 27, 2009 9:24 pm

[code:1:5c54f7524f]
Si (la variable passée est numérique):
Si (la variable passée est négative) ET (- la variable < nombre de pages) Alors:
la variable = -1 * la variable
Requête vers la BDD
Sinon Si (la variable passée est positive) ET (la variable < nombre de pages):
Requête vers la BDD
Sinon:
Renvoyer Index
Sinon:
Renvoyer Index
[/code:1:5c54f7524f]

Il y a sûrement un moyen plus simple et plus élégant. La solution que je te propose est une rustine moche.

La tortue.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby Manu404 » Fri Mar 27, 2009 10:00 pm

La il est defaced ton site.... :cry:
User avatar
Manu404
 
Posts: 2219
Joined: Tue Feb 26, 2008 3:44 pm
Location: ::1:

Postby TorTukiTu » Fri Mar 27, 2009 10:05 pm

Putains de connards de sales gosses de petit merdeux de lamerz. Voila la conduite que je hais.

Je pensais à un truc, c'est dangereux de publier directement les failles de cette façon avant qu'elles ne soient corrigées. Si ça se trouve on a un lamer qui passe sa vie sur cette rubrique en essayent d'exploiter les failles qu'on poste.

[EDIT: il a mis sur sa page de deface "Votre site a été defacé" C'est donc un français. Il est par conséquent probable qu'il ait consulté ce topic et exploité la faille en conséquence.]

Peut-être vaudrait-il mieux interdire leur publication dans le forum tant qu'elles ne sont pas corrigées, et se contenter d'en signaler l'existence par pm au détenteur du site.

On éviterait de cette façon que des petits connards incapables (pardonnez mon vocabulaire) s'amusent avec.

La tortue.
Last edited by TorTukiTu on Fri Mar 27, 2009 11:18 pm, edited 3 times in total.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby Manu404 » Fri Mar 27, 2009 10:08 pm

Je te comprend TorTukiTu
On vas débattre de cela entre modo et on prendra des mesures adéquate afin que ce genre de soucis ne se reproduise pas ^^

Désolé pour ton site SHADOWKILLER, mais j'imagine que tu as des backups...
User avatar
Manu404
 
Posts: 2219
Joined: Tue Feb 26, 2008 3:44 pm
Location: ::1:

Postby SHADOWKILLER » Sat Mar 28, 2009 9:52 am

Mon hébergeur m'a mis une backup, le mec qui m'a deface le site m'avais mis un backdoor, donc, il n'a pas exploité la faille. De plus, j'ai son mail.
Son nom sur msn est Stacker pour ceux qui connaisse, il a 14 ans.
Il m'avais laissé le ftp, le sql et le compte principal oO
SHADOWKILLER
Projets
 
Posts: 10
Joined: Sun Mar 08, 2009 10:19 am

oui

Postby CASH » Sat Mar 28, 2009 5:12 pm

d accord avec la tortue
:s
c est vrai qu on donne pas mal d infos defois, voir quasi la solution , donc n importe quel ;noeliste; ou debile du genre a plus qua se servir pour en faire sa "gloire" :roll:


sinon oui je "connais" stacker" :o
CASH
Projets
 
Posts: 42
Joined: Wed Jan 28, 2009 2:58 pm

Next

Return to Faites tester vos sites <b>DE TEST</b>

Who is online

Users browsing this forum: No registered users and 1 guest

cron