tester mon site hébergé par mon PC.

Nos experts testeront vos sites avec attention.
Postez ici vos liens. Et fournissez les accès de bases (login et mot de passe 'simple utilisateur' par exemple si vous souhaitez voir ce qu'un utilisateur peux exploiter)

Moderators: Mod, Mod, Mod

tester mon site hébergé par mon PC.

Postby PASSIO » Thu May 27, 2010 11:32 am

Bonjour, j'ai ouvert un serveur privé... En fait le login et le passe de ma BDD sont root... Donc, me hacker reposerait seulement sur le fait d'y avoir accès... Et mon Diieu je crois bien que c'est possible.

Car je n'arrive pas à les changer et rendre la configuration fonctionnelle...

J'aimerai aussi si c'est possible que vous testiez mon Forum. Je suis persuadé à 95% qu'il doit y avoir 40 failles...

Je me tourne donc vers les professionnels.

Preuve que c'est bien mon PC :
http://passioaion.blogdns.com/HACKBBS.html

Site à tester :
http://passioaion.blogdns.com/aion (à partir duquel est accessible le forum)

Merci beaucoup à tous.


EDIT :

Si ça peut aider, phpmyadmin se trouve à la racine http://IP/


le dossier phpMyadmin avec l'erreur :
Forbidden

You don't have permission to access /phpMyAdmin/ on this server.

Apache/2.2.8 (Win32) PHP/5.2.6 Server at localhost Port 80

n'est qu'un leurre visant à décourager les moins courageux.

Si on parvient à trouver le nom du dossier phpmyadmin (ex : --php--my-ad-m_in--) qui contient la BDD, alors là, on peut tout crasher.
PASSIO
Projets
 
Posts: 5
Joined: Thu Jun 11, 2009 7:41 pm

Postby Manu404 » Fri May 28, 2010 2:30 am

Je viens de jeter un cou d'oeuil.
Bon alors, le mieux pour tes acces a la DB est de créé deux opérators/agents minimum. Un Queryer et un Writer avec des droits limité.
Ensuite centralisé un maximum de choses.
Pourquoi les user du sites et du forum sont sur deux DB différentes ??? Oo
Tu multiplie de manière exponentielle ta surface d'attaque !!!
Donc, un writer dédié a la création des user, par exemple UserAddAgent.
Avec des droits restreints.
Ou mieux, tu import la fonction userAdd de "includes/functions_user.php" qui est built-in a PhpBB. cfr : http://www.mrkirkland.com/adding-a-user-to-phpbb3-from-an-external-script/
Idem pour les authentification.
PhpBB est assez sécurisé du fait qu'il est open source et utilisé par beaucoup, y compris des développeur et il est aussi une proie "privilégié" de par sa popularité.
PhpBB viens avec des librairies de fonctions qui permette de faire reposer beaucoup beaucoup de chose sur lui.
Ca te permettra :
- Système fiable et éprouvé
- Centralisation des Query, User & Data
- Authentification unique pour tout le site et services (singleton auth)
- Diminution de la surface d'attaque
- Gain en maintenance du code
- Gain en performance

Donc vas voir sur le liens que je t'ai donné modifie ton site, et on passera au tests serieux ensuite :wink:
User avatar
Manu404
 
Posts: 2219
Joined: Tue Feb 26, 2008 3:44 pm
Location: ::1:

Postby Manu404 » Fri May 28, 2010 2:36 am

Aussi un truc, ton phpmyadmin ne devrais être accessible que depuis ton localhost et si depuis le WAN que a certaines IP !!!!!!!!!!

http://www.developpez.net/forums/d395327/php/outils/phpmyadmin/autoriser-plusieurs-ip-phpmyadmin/
User avatar
Manu404
 
Posts: 2219
Joined: Tue Feb 26, 2008 3:44 pm
Location: ::1:

Postby RAYON-GAMA » Fri May 28, 2010 4:33 pm

Il me semble que le lien du site est mort.

EDIT : Lien remarche ^^
User avatar
RAYON-GAMA
Projets
 
Posts: 78
Joined: Mon Nov 17, 2008 2:52 pm
Location: Quelle que part.....


Return to Faites tester vos sites <b>DE TEST</b>

Who is online

Users browsing this forum: No registered users and 1 guest

cron