Test poussé (au plus possible) !

Nos experts testeront vos sites avec attention.
Postez ici vos liens. Et fournissez les accès de bases (login et mot de passe 'simple utilisateur' par exemple si vous souhaitez voir ce qu'un utilisateur peux exploiter)

Moderators: Mod, Mod, Mod

Test poussé (au plus possible) !

Postby cyberesprit » Thu Oct 22, 2009 8:08 pm

Salut à tous,

Ça fait longtemps que je ne suis pas venu ici, pourtant j'ai la bannière d'HackBBS sur mon site depuis belle lurette !

Bref, je vous embête aujourd'hui juste pour vous informer que je vais bientôt (par le biais de ce topic) vous sollicité pour tester mon serveur (surtout l'un des sites qu'il contient, toujours en cours de develloppement).

Je ne sais pas comment ça marche mais avant toute chose, y'a t-il (ou auriez-vous) une "liste" (ou des suggestions) sur lequel je pourrais me baser pour sécuriser mon serveur (ses services et les sites aussi) ?

(sachant que j'ai evidemment déjà sécurisé selon mes connaissances)

Si vous avez besoin de renseignements, de voir mes fichiers de configuration ou même les caractéristiques du serveur et des services ainsi que les langages utilisés, demandez ! (sauf si vous jugez bon de ne pas divulguer ces informations, ce qui me semblerais normal)

Merci à tous ceux qui voudront bien participer.

[color=red:1737582919][b:1737582919] Salut tout seul,, passe déjà par une " présentation ", c'est la moindre des " politesses ".[/color:1737582919][/b:1737582919]

[EDIT] par NETTOYEUR25.
cyberesprit
Projets
 
Posts: 8
Joined: Tue Nov 27, 2007 2:13 pm

Postby TorTukiTu » Thu Oct 22, 2009 8:56 pm

Bonjour.

Si tu veux que l'on teste ton site / serveur, il va falloir que tu nous fournisses une preuve que le serveur est à toi. (un txt à la racine du serveur web par exemple).

Pour ce qui est de sécuriser ton serveur, vérifie bien que tout est à jour. Fais un petit tour sur le web pour vérifier que tu n'as pas des modules qui ont des vulnérabilités connues.

Ensuite vérifie si tes serveurs sont correctement configurés (variables du style magicquotes=ON etc... pour apache par exemple)

Ensuite, poste nous les informations nécessaires pour que l'on puisse tester ton site /serveur.

La tortue.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby cyberesprit » Thu Oct 22, 2009 9:10 pm

Merci La tortue.

Oui pas de problème pour les preuves ainsi que les informations, c'est juste que pour le moment le site n'étant pas encore terminée, je divulguerais tout ça au moment opportun (qui devrait d'ailleurs être très proche) et vu que ça deviendra un site en production avec beaucoup d'utilisateur, j'ai préféré faire appel à cette communauté.

Bon, je vais poussé mes recherche de sécurité plus loin encore !

Merci.
cyberesprit
Projets
 
Posts: 8
Joined: Tue Nov 27, 2007 2:13 pm

Postby Sliim » Fri Oct 23, 2009 9:18 am

Salut,

pour tester ton application web tu peux déjà faire un audit avec le framework W3AF.

Sinon le liveUSB Samurai (W3AF y est inclut ;)) est pas mal pour tester la sécurité de ses applis web :

http://samurai.inguardians.com/

ça donne déjà une idée :P. Après ça ne dispense pas d'un réel audit par une "vrai" personne ^^.

++
[u:ff7aba9f90]Sliim[/u:ff7aba9f90]
User avatar
Sliim
Site Admin
 
Posts: 1177
Joined: Fri May 16, 2008 12:53 pm

Postby cyberesprit » Fri Oct 23, 2009 5:54 pm

Merci Sliim, je ne connaissais pas, je vais me tester ça au plus vite !
cyberesprit
Projets
 
Posts: 8
Joined: Tue Nov 27, 2007 2:13 pm

Postby GHOSTX_0 » Fri Oct 23, 2009 7:39 pm

Je ne connaissais pas non plus ce live, merci sliim ;)
User avatar
GHOSTX_0
Projets
 
Posts: 263
Joined: Mon Aug 24, 2009 6:06 pm

salut ,

Postby CASH » Wed Oct 28, 2009 4:08 pm

sa commence mal :/
j arrive pas a acceder au site ^^ enfin avec firefox
https://cyberesprit.fr/index/index.php

humm https://cyberesprit.fr/index/admin/connexion.php~
CASH
Projets
 
Posts: 42
Joined: Wed Jan 28, 2009 2:58 pm

Postby TorTukiTu » Wed Oct 28, 2009 6:15 pm

En 10 secondes:

https://cyberesprit.fr/index/index.php?page=../../../../&am=1%20OR%201=1


Warning: include(contenu/../../../../.php) [function.include]: failed to open stream: No such file or directory in /media/donnees/apache/index/index.php on line 53

Warning: include() [function.include]: Failed opening 'contenu/../../../../.php' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /media/donnees/apache/index/index.php on line 53


Je testerai correctement demain.

La tortue.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby cyberesprit » Wed Oct 28, 2009 7:20 pm

Jolie les gars, bon je ne vous en veux pas car je n'ai pas encore donné le feu vert (ni prouvé que c'était le mien même si c'est le cas) mais le site à tester ne sera pas celui là.

C'est bien le bon serveur mais pas le bon site.

Après, je vous autorise à tester quand même tout ce que vous pouvez sur ce serveur, il va bien falloir un jour que je vous le demande.

J'ai vu qu'un certains [b:bee8208069]zevve[/b:bee8208069] avait essayé un morceau de code javascript.

PS: le site (blog) principal de ce serveur date un peu maintenant niveau code et je ne l'ai absolument (ou presque) pas optimisé sécurité. Honte à moi !
cyberesprit
Projets
 
Posts: 8
Joined: Tue Nov 27, 2007 2:13 pm

Postby Korigan » Wed Nov 04, 2009 7:13 pm

Bonsoir cyberesprit,

je suis content de voir que tes projets continuent à avancer.

Bon courage pour la suite.

Cordialement,

Korigan
User avatar
Korigan
Site Admin
 
Posts: 1781
Joined: Tue May 29, 2007 6:57 pm

Postby cyberesprit » Thu Nov 19, 2009 12:04 pm

Merci Korigan, ça me fait plaisir..

Pour info, le site à tester ne sera pas encore prêt avant fin janvier.. il va falloir patienter.

Je vois certaines choses se passer sur mon blog, rien de grave car il va falloir tester celui là aussi un jour, mais faites attention : je n'ai pas encore prouvé que ce serveur m'appartenait simplement parceque, comme dit plus haut, le site à tester n'est pas encore prêt.

Par contre, comment être sûr de la confiance que l'on peut porté à tous les testeurs ?
cyberesprit
Projets
 
Posts: 8
Joined: Tue Nov 27, 2007 2:13 pm

Postby Korigan » Thu Nov 19, 2009 1:06 pm

[quote:af8e74e182="cyberesprit"]
Par contre, comment être sûr de la confiance que l'on peut porté à tous les testeurs ?[/quote:af8e74e182]

Tu touches du doigt l'argument principale du test de solutions "open".
Tu ne peut avoir confiance en personne.

Tu as deux cas de figure.
1. Tu développes ta solution fermé. La recheche de vulnérabilité devra principalement être faite à la main.
2. Tu utilises un framework particulié. La recherche de vulnérabilité pourra être réalisée par des bots. Ce sera une course entre toi et eux jonglant entre découverte de vulnérabilité et application de patchs correctif.

Dans les deux cas,
comme tu l'as souligné, il est souhaitable de faire tester un site de test et non l'instance en production.
Un administrateur consiencieux à tout intérèt à être dans la course. Etant seul, tu ne doit pas te reposer sur le retour des testeurs. (En qui tu ne peux avoir confiance) Cependant, tu dois savoir lire tes logs. Demander ici à ce que l'on test ton site sera un cataliseur des mauvaises actions qui seront orchestré contre ton site. D'ailleur j'ai cru voir que tu était attentif à tes logs, c'est que tout devrait bien se passer pour la suite ^^
Tu as deux types de techniques de test.
Boite blanche et boite noir.
Boite blanche, tu ouvres ton code. Les testeurs pourront aprofondir leurs tests et exploité toutes les fonctionalitées.
Boite noir, il devront apréhender une approche tout aussi méthodique, mais n'auront pas accès à ton moteur. Il pourront alors utiliser d'autres techniques type fuzzing ou autre.
A toi de voir si tu veux un test visiteur ou un test plus intensif qui te permettra de valider chaque ligne de code.
Si tu es un développeur aguéris, la solution boite noir pourrait te suffir. Si tu débute, il peut etre interessant de se faire rappeler les règles et erreur de base à éviter sur tel ou tel technologie.
En conclusion, on peut généralement dire qu'une solution opensource est plus robuste, mais devient une cible prioritaire.
A toi d'analyser ton domaine d'activité et évaluer le risque.
Il existe des méthodes pour cela, par exemple EBIOS2 ou encore la méthode australienne.

@Bientôt,

Cordialement,

Korigan
User avatar
Korigan
Site Admin
 
Posts: 1781
Joined: Tue May 29, 2007 6:57 pm

Postby cyberesprit » Sun Mar 14, 2010 2:32 pm

[b:deaa09ad99][EDIT] Le site en question est un projet abandonné depuis plus d'un an (Entreprise démarrée mais arrêté très tôt pour divergence de dirigeant).
Merci à ceux qui ont répondu dans ce topic ![/b:deaa09ad99]


[i:deaa09ad99][Ancien dernier message][/i:deaa09ad99]
Merci Korigan pour ces explications / conseils.. je vais aviser en conséquence ..

et désolé de ne répondre que maintenant (je ne reçois pas de message d'avertissement ..).

On prend du retard sur le développement du site (ainsi que du côté administratif) donc il va falloir patienter encore une peu.

voilà pour le moment, @bientôt !
cyberesprit
Projets
 
Posts: 8
Joined: Tue Nov 27, 2007 2:13 pm


Return to Faites tester vos sites <b>DE TEST</b>

Who is online

Users browsing this forum: No registered users and 3 guests

cron