Test de mon CMS

Nos experts testeront vos sites avec attention.
Postez ici vos liens. Et fournissez les accès de bases (login et mot de passe 'simple utilisateur' par exemple si vous souhaitez voir ce qu'un utilisateur peux exploiter)

Moderators: Mod, Mod, Mod

Postby ATHLON64 » Tue Apr 21, 2009 3:46 pm

si ça marche c'est le principal, même si c'est sale

pour les commentaires, c'est bon, on peut plus utiliser de javascript?
User avatar
ATHLON64
Projets
 
Posts: 16
Joined: Tue Apr 21, 2009 12:18 pm
Location: France

Postby TorTukiTu » Tue Apr 21, 2009 6:04 pm

Il semblerai que l'on ne puisse plus du tout poster de commentaires, la partie download ne marche pas etc.

Ce serait bien que tu finisses totalement ton site et que tu refasses une demande pour un pseudo-audit.

La tortue
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby ATHLON64 » Tue Apr 21, 2009 6:37 pm

pour la partie download, c'est une faute de lien, j'ai modifié le nom d'un dossier mais pas les liens, pour les commentaires, c'est dû à la fonction header placer après du html (qfaut que je corrige) sinon les commentaires marchent
User avatar
ATHLON64
Projets
 
Posts: 16
Joined: Tue Apr 21, 2009 12:18 pm
Location: France

Postby SHEPSHEP » Wed Apr 22, 2009 12:16 am

[quote:ffa61cacdd]Navré d'être puriste, mais faire comme ça, c'est sale. .htaccess existe justement aussi pour restreindre l'accès aux pages et aux répertoires. [/quote:ffa61cacdd]
Totalement d'accord :oops:

Quand tu parle d'attaque timing, tu veut dire surchargé le serveur pour atteindre le temps limit de chargement de la page (30s), ou je suis complètement à coté.. :mrgreen:
SHEPSHEP
Projets
 
Posts: 268
Joined: Wed Apr 08, 2009 11:14 am
Location: /dev/null

Postby TorTukiTu » Wed Apr 22, 2009 8:51 am

En fait, tu va forger des conditionnelles qui vont rendre la page plus ou moins lente à générer si elles sont vérifiées ou pas.

A partir de ce temps, tu va pouvoir en déduire les infos qui t'intéressent. L'intérêt de ce truc c'est que le message d'erreur SQL t'es inutile, et que ça nécessite souvent un peu moins de quotes / caractères filtrés qu'une injection normale.
J'avais écris un petit post là dessus. Tu pourra le trouver dans hacking avancé il me semble.

Sinon, je suppose que l'on devrait pouvoir aussi faire un dos sur le sgbd en le bourrinant de requêtes bien lourdingues à exécuter ( conditionnelle avec un BENCHMARK(5000000, ENCODE('a','b')) ou un truc qui y ressemble ? ). J'ai jamais essayé, donc ça reste à vérifier :?

La tortue.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby ATHLON64 » Thu Apr 23, 2009 9:06 pm

Je reviens

j'ai déjà arrêté la distribution de mon système, donc mon code est maintenant plus confidentiel en quelque sorte

j'ai donc fais, je pense, les modifications nécessaires pour renforcer la sécurité :)
User avatar
ATHLON64
Projets
 
Posts: 16
Joined: Tue Apr 21, 2009 12:18 pm
Location: France

Postby TorTukiTu » Fri Apr 24, 2009 1:12 am

Bonjour,

Nouvelle faille:

http://athlon64.olympe-network.com/blogathlon64/category.php?cat=%20N/A&page=-1%27

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-10, 5' at line 1

Il s'agit certainement d'un ancien script que tu as oublié de retirer.

Et je sais que tu as certainement un répertoire

http://athlon64.olympe-network.com/blogathlon64/admin/

Parce que je suis redirigé sur l'index et non sur la 404.

La tortue.

PS.: Info débile, j'ai testé ton site avec mon iphone ^.^ C'est fou ce que l'on peut faire avec ces petites machines :lol:
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby ATHLON64 » Fri Apr 24, 2009 1:18 pm

pour la page category c'est surtout que en fait, elle est incluse dans ma page d'index, c'est donc pour ça que quand on l'affiche comme ça, ça fasse une erreur

pour la partie admin, c'est bon, si on essaie d'aller dedans redirigé vers le 404 de mon hébergeur
User avatar
ATHLON64
Projets
 
Posts: 16
Joined: Tue Apr 21, 2009 12:18 pm
Location: France

Postby ZeRo_XaN » Sun Apr 26, 2009 8:21 pm

xss

http://athlon64.olympe-network.com/blogathlon64/index.php?pages=category&cat=Loop%22%3E%3Ciframe%20src=http://www.google.fr%3E%3C/iframe%3E

puis ça

http://athlon64.olympe-network.com/blogathlon64/index.php?page=-1

J'ai pas fouiller j'ai vu que les gros trucs. . .

:)
User avatar
ZeRo_XaN
Projets
 
Posts: 28
Joined: Mon Oct 22, 2007 6:50 pm

Postby ATHLON64 » Sun Apr 26, 2009 8:24 pm

on peut m'expliquer comment résoudre ces problèmes, parce que j'ai mis une condition PHP pour vérifier si c'est une valeur numérique, mais ça à l'air de pas marcher et pour le fait de pouvoir mettre ce qu'on veut en cat, je sais pas comment règler ça, URL rewriting? mais ça marche comment?
User avatar
ATHLON64
Projets
 
Posts: 16
Joined: Tue Apr 21, 2009 12:18 pm
Location: France

Postby SHEPSHEP » Mon Apr 27, 2009 12:50 pm

http://athlon64.olympe-network.com/blogathlon64/category.php?cat=%20Desktop&page=1

Ya un espace qui foire l'affichage.

http://athlon64.olympe-network.com/blogathlon64/category.php?cat=&page=10000000000000000000000000000000000

Erreur SQL
SHEPSHEP
Projets
 
Posts: 268
Joined: Wed Apr 08, 2009 11:14 am
Location: /dev/null

Postby ATHLON64 » Mon Apr 27, 2009 6:07 pm

pour l'espace c'est normal, la page category.php étant inclus dans la page index.php il n'y a aucune mise en forme
User avatar
ATHLON64
Projets
 
Posts: 16
Joined: Tue Apr 21, 2009 12:18 pm
Location: France

Previous

Return to Faites tester vos sites <b>DE TEST</b>

Who is online

Users browsing this forum: No registered users and 0 guests

cron