Test de mon CMS

Nos experts testeront vos sites avec attention.
Postez ici vos liens. Et fournissez les accès de bases (login et mot de passe 'simple utilisateur' par exemple si vous souhaitez voir ce qu'un utilisateur peux exploiter)

Moderators: Mod, Mod, Mod

Test de mon CMS

Postby ATHLON64 » Tue Apr 21, 2009 12:35 pm

Bonjour

je développe actuellment un CMS, que j'utilise pour mon site, j'aimerais donc savoir si niveau sécurité, c'est fiable ou pas

[url]http://athlon64.olympe-network.com/blogathlon64[/url]

Fichier prouvant que cela m'appartient

[url]http://athlon64.olympe-network.com/blogathlon64/hackbbs.html[/url]

merci de votre aide au revoir
User avatar
ATHLON64
Projets
 
Posts: 16
Joined: Tue Apr 21, 2009 12:18 pm
Location: France

Postby TorTukiTu » Tue Apr 21, 2009 12:49 pm

Problème SQL ici:

[quote:d93545e90b]http://athlon64.olympe-network.com/blogathlon64/?pages=articles&id=-1%27[/quote:d93545e90b]

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1

Je n'ai pour l'instant lancé que quelques tests automatisés. Je regarderai ça plus attentivement ce soir.

La tortue.
Last edited by TorTukiTu on Tue Apr 21, 2009 12:56 pm, edited 1 time in total.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby ATHLON64 » Tue Apr 21, 2009 12:53 pm

je ne comprend pas pourquoi 27, quand id=1 pas de problème
User avatar
ATHLON64
Projets
 
Posts: 16
Joined: Tue Apr 21, 2009 12:18 pm
Location: France

Postby TorTukiTu » Tue Apr 21, 2009 12:56 pm

Tu met id=-1'
Le %27 c'est le code ascii de l'apostrophe.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby ATHLON64 » Tue Apr 21, 2009 12:58 pm

c'est grave comme soucis ou pas? ça peut donner des infos qui utiles si on veut pirater?
User avatar
ATHLON64
Projets
 
Posts: 16
Joined: Tue Apr 21, 2009 12:18 pm
Location: France

Postby TorTukiTu » Tue Apr 21, 2009 1:01 pm

J'ai pas encore cherché. Mais potentiellement (même si les magicquotes sont bien ok), oui, je te conseille fortement de corriger ça.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby ATHLON64 » Tue Apr 21, 2009 1:08 pm

je pense avoir corrigé, quand l'id de l'article n'est pas trouver, rien ne s'affiche

je pense que il y a peut-être des problèmes au niveau du formulaire de commentaires
User avatar
ATHLON64
Projets
 
Posts: 16
Joined: Tue Apr 21, 2009 12:18 pm
Location: France

Postby SHEPSHEP » Tue Apr 21, 2009 1:13 pm

Non c'est pas trop grave, vu que ce ne renvoie aucune information.

Tien une erreur différente :
[url]http://athlon64.olympe-network.com/blogathlon64/index.php?pages=articles&id=a[/url]

Pas grave non plus, mais si tu mettais un petit is_int() ca serait mieux.
[url]http://www.manuelphp.com/php/function.is-int.php[/url]

Directory listing :
[url]http://athlon64.olympe-network.com/blogathlon64/images/[/url]
[url]http://athlon64.olympe-network.com/blogathlon64/upload/[/url]
[url]http://athlon64.olympe-network.com/blogathlon64/smiley/[/url]
Last edited by SHEPSHEP on Tue Apr 21, 2009 1:16 pm, edited 1 time in total.
SHEPSHEP
Projets
 
Posts: 268
Joined: Wed Apr 08, 2009 11:14 am
Location: /dev/null

Postby TorTukiTu » Tue Apr 21, 2009 1:16 pm

http://athlon64.olympe-network.com/blogathlon64/index.php?pages=articles&id=37

Met une limite au nombres de commentaires s'affichant, sinon voilà ce que ça donne.

Je vais bosser, je finirai les tests ce soir.

La tortue.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby ATHLON64 » Tue Apr 21, 2009 1:19 pm

[quote:b37871539c="SHEPSHEP"]Non c'est pas trop grave, vu que ce ne renvoie aucune information.

Tien une erreur différente :
[url]http://athlon64.olympe-network.com/blogathlon64/index.php?pages=articles&id=a[/url]

Pas grave non plus, mais si tu mettais un petit is_int() ca serait mieux.
[url]http://www.manuelphp.com/php/function.is-int.php[/url]

Directory listing :
[url]http://athlon64.olympe-network.com/blogathlon64/images/[/url]
[url]http://athlon64.olympe-network.com/blogathlon64/upload/[/url]
[url]http://athlon64.olympe-network.com/blogathlon64/smiley/[/url][/quote:b37871539c]

j'ai essayé de mettre is_int, je vois pas la différence, mais je me demande si ce n'est pas du à mon CSS

pour le listage des dossier, je vais mettre un fichier php qui redirige vers l'index

EDIT : j'avais déjà mis une limite, mais mon code css se limite en hauteur quand il n'y a rien et mise en place d'index dans les dossier
Last edited by ATHLON64 on Tue Apr 21, 2009 1:23 pm, edited 1 time in total.
User avatar
ATHLON64
Projets
 
Posts: 16
Joined: Tue Apr 21, 2009 12:18 pm
Location: France

Postby SHEPSHEP » Tue Apr 21, 2009 1:23 pm

Pas mal la tortue, tu as mis le site à l'envers ^^

Tu devrais mettre des "index.php" dans tous tes répertoires parce que à part le répertoire racine on peu se baladé et voir tous ce qu'il y a dans les sous répertoire.
SHEPSHEP
Projets
 
Posts: 268
Joined: Wed Apr 08, 2009 11:14 am
Location: /dev/null

Postby ATHLON64 » Tue Apr 21, 2009 1:29 pm

c'est du à son action que mes images ne s'affiche plus? et les liens aussi ne marche plus
User avatar
ATHLON64
Projets
 
Posts: 16
Joined: Tue Apr 21, 2009 12:18 pm
Location: France

Postby Sliim » Tue Apr 21, 2009 1:34 pm

ATHLON64 si la variable id doit forcément être un entier, fais un test avec la fonction [i:f281af700a]is_numeric()[/i:f281af700a] (peut être que is_int le fait aussi j'ai jamais essayé..) comme ça tu n'auras plus de problème ;).

++
[u:f281af700a]Sliim[/u:f281af700a]
User avatar
Sliim
Site Admin
 
Posts: 1177
Joined: Fri May 16, 2008 12:53 pm

Postby ATHLON64 » Tue Apr 21, 2009 1:40 pm

j'ai mis ce que tu m'as dit, je sais pas si ça marche je vois pas la différence, quand aux liens etc, wouahou, tout ce qu'on peut faire avec une simple ligne javascript :shock:

je vais donc supprimer les balises html dans les commentaires

EDIT : voilà, normalement, les balises sont automatiquement supprimer des commentaires
User avatar
ATHLON64
Projets
 
Posts: 16
Joined: Tue Apr 21, 2009 12:18 pm
Location: France

Postby TorTukiTu » Tue Apr 21, 2009 3:30 pm

[quote:d823027278="SHEPSHEP"]Non c'est pas trop grave, vu que ce ne renvoie aucune information. [/quote:d823027278]

SHEPSHEP, Tout dépend de ce tu appelle "information". Une variation de délai dans la réponse est une information en soit. C'est typiquement le genre de faille qui permet de faire des attaques par timing en injectant par exemple des conditionelles qui n'utilisent pas de quotes.

[quote:d823027278="SHEPSHEP"]Tu devrais mettre des "index.php" dans tous tes répertoires [/quote:d823027278]

Navré d'être puriste, mais faire comme ça, c'est sale. .htaccess existe justement aussi pour restreindre l'accès aux pages et aux répertoires.

La tortue.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Next

Return to Faites tester vos sites <b>DE TEST</b>

Who is online

Users browsing this forum: No registered users and 1 guest

cron