[AZKALATY]

Bonjour à tous,

Je suis le webmaster de [url=http://winoptimisation.free.fr]Win Optimisation[/url], et je souhaiterais savoir si mon site ne comporte pas de failles non bouchées. Merci d'avance !

Pas besoin de login de connexion, sauf pour le forum PhPBB

Et voici la page validant que vous pouvez tester : [url=http://winoptimisation.free.fr/hack.php]ici[/url]

[THE-DEATH]

Hum c'est un site pour windows, ça sera sans moi.
Aussi, va regarder la section présentation a laquel tu pourra y ajouter la tienne. Merci.

[AZKALATY]

Présentation faite ;)

[THE-DEATH]

Bon je suis raciste envers windows mais vu que tu t'es présenté comme souhaité je fais tout de même un geste :

1) Azkalaty@hotmail.fr => eviter les mailto, un robot peut facilement recuperer l'adresse et ensuite vive le spam, pa pub etc...

2) la validation xhtml/css est invalide donc ne mets pas les 2 logos sans quoi tu perd beaucoup d'importance aux yeux d'une grande communauté de programmeurs et autres. Le mensonge est vite vu, la vérité elle on n'y prête pas attention.

3)

Cette page a été vue 123 fois
Résultats de votre recherche pour "}]@^\\`|[{#~¹"

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Warning: preg_match() [function.preg-match]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Fatal error: preg_match() [<a href='function.preg-match'>function.preg-match</a>]: Unknown modifier '~' in /mnt/102/sdb/a/0/winoptimisation/recherche_interne.php on line 43

Tu précises de ne pas utiliser d'accents mais tu ne peux pas savoir ce que fera l'internaute, faut securiser le form et prendre en compte les encodages possibles.

4) http://winoptimisation.free.fr/changer_style.php?style[]=windows
no comments, go voir => http://ilia.ws/archives/58-Path-Disclosure-and-PHP.html

5) http://winoptimisation.free.fr/changer_style.php?style=whatsthefuck (ou autre)
Apres on a acces aux liens d'administration qui sont heureusement protégés par htacces :
Ajouter astuce, Modifier astuce, Supprimer astuce, Modifier page
Par contre un login est demandé pour acceder a n'importe quelle autre page suite a cette manip. Pourquoi? car tes liens sont des liens relatifs par rapport a la page courrante, donc si on se trouve dans admin, le lien vers xxx.php devient admin/xxx.php
Penses donc a modifier tes liens sois en absolu sois en relatifs mais par rapport a / (la racine) et non la page courante.

Apres bon le plus part sont des pages statiques donc bon... en gros la sécu ça passe pour ce que c'est pas besoin de pousser le truc. En gros c'est plus des erreurs que des failles réelles mais parfois, un 0-day et le petit bug se transforme en faille exploitable.

[AZKALATY]

Merci encore, je corrige tout cela dès que possible et je repose ensuite. (Ps : N'importe qui a le droit d'être anti-windows^^)

[AZKALATY]

J'ai tout corrigé, est-ce bon ? Merci d'avance !

[THE-DEATH]

Reste a regler :
http://winoptimisation.free.fr/changer_style.php?style=whatsthefuck (css non existant)
et la validation css

et on dira que par rapport a la taille du site et a l'importance des données c'est good.
Aussi, mets par defaut le style "Blue Shadow" qui est beaucoup plus clair, lisible et agréable.
(la je parle pas de hack ou autre mais de communication :] )

(ps: j'avais pas vu le forum, fais attention a te tenir informé des failles/0-day de ce type de forum)

[AZKALATY]

Dac' justement je me demandais quel design paraissait le mieux à mettre par défaut^^ Bon ben j'ai la réponse, merci^^. Je corrige les non affichages de CSS. Si quelqun trouve encore des failles/erreurs/bugs, faites-le savoir, mais un grand merci, en tout cas !

[AZKALATY]

Ca y est^^ Merci encore de vous être intéressé à mon cas ! Y'a-t-il encore quelque chose ?

[ROB2]

Faille XSS : http://winoptimisation.free.fr/changer_style.php?style=%22%3Cscript%3Ealert(document.cookie);%3C/script%3E

[AZKALATY]

Réglé^^ J'avais oublié une condition ^^

[SPLEENKIRBY]

Non, pas réglé :p
http://winoptimisation.free.fr/changer_style.php?style="><iframe%20src=http://google.fr></iframe>
htmlentities? :p

[HUMANBOMB]

Il a pas l'air d'avoir corriger sa avec des html entities :oops:

[AZKALATY]

Normalement, c'est bon :) j'avais encore oublié de protéger les données dans d'autres conditions de mon code^^ Merci encore ! Tout est ok maintenant ?

[SPLEENKIRBY]

Si tu veux une réponse :
http://winoptimisation.free.fr/changer_style.php?style=%22%3E%3Ciframe%20src=http://kirby.niloo.fr/lol.html%3E%3C/iframe%3E
Il faut que tu passes ta variable $style par un [url=http://fr.php.net/htmlentities]htmlentites.[/url]