Test de mon site

Nos experts testeront vos sites avec attention.
Postez ici vos liens. Et fournissez les accès de bases (login et mot de passe 'simple utilisateur' par exemple si vous souhaitez voir ce qu'un utilisateur peux exploiter)

Moderators: Mod, Mod, Mod

Test de mon site

Postby ON-LE-CHAT » Wed Dec 29, 2010 10:34 pm

Bonjour,

J'ai codé récemment tout un système de compte où les connexions sont régulées par un horaire et un crédit : une connexion : -1 crédit, à zéro il est impossible d'utiliser le service, en l’occurrence un proxy.

Adresse du site : Retirée
Autorisation : Retirée

Pour le mettre à l'épreuve voici 3 comptes :
[list:518d0354a1]hackbbs / sbbkcah : compte tel qu'on l'obtient à l'inscription, sans crédit, avec restriction d'horaire.
hackbbs_demi / sbbkcah : compte au crédit illimité, mais à restriction d'horaire.
hackbbs_full / sbbkcah : compte au crédit illimité, sans restriction d'horaire.[/list:u:518d0354a1]
Le site ne se trouve que dans le dossier "/proxlis" et ses sous-dossiers, inutile d'aller chercher à la racine :wink:

Merci de votre aide :D
Last edited by ON-LE-CHAT on Wed Jun 29, 2011 11:41 am, edited 2 times in total.
ON-LE-CHAT
Projets
 
Posts: 2
Joined: Wed Dec 29, 2010 10:13 pm

Postby 5N4K37 » Thu Dec 30, 2010 3:10 am

Bonjour,
Après avoir cherché une trentaine de secondes, voilà:


Grosse faille XSS ici:
[url]http://xxxxxx.com/proxlis/index.php?e=invalid_url&return=http%3A%2F%2xxxxxxxxt.com%2Fproxlis%2Fbrowse.php%3Fu%3DOi8vZ29vZ2xlLmNvbV08c2NyaXB0PmFsZXJ0KDEpOzwvc2NyaXB0Pg%253D%253D%26b%3D29%26f%3Dnorefer&p=YToxOntpOjA7czo0NDoiaHR0cDovL2dvb2dsZS5jb21dPHNjcmlwdD5hbGVydCgxKTs8L3NjcmlwdD4iO30=[/url]
qui alert (1)
ou ici
[url]http://xxxxxxxx.com/proxlis/index.php?e=invalid_url&return=http%3A%2F%2xxxxxxxxt.com%2Fproxlis%2Fbrowse.php%3Fu%3DOi8vXSA8c2NyaXB0IHNyYz1lZGVkLmpzPjwvc2NyaXB0Pg%253D%253D%26b%3D29%26f%3Dnorefer&p=YToxOntpOjA7czozODoiaHR0cDovL10gPHNjcmlwdCBzcmM9ZWRlZC5qcz48L3NjcmlwdD4iO30=[/url]
qui laisse l'importation du script identique dans les sources:
<div id="error">L'URL demandée n'a pas été reconnue comme une URL valide. Tentative de calcul : http://] [b:f9dabef65b]<script src=eded.js></script>[/b:f9dabef65b]</div><p style="text-align:right">[<a href="http://xxxxxxxxx.com/proxlis/browse.php?u=Oi8vXSA8c2NyaXB0IHNyYz1lZGVkLmpzPjwvc2NyaXB0Pg%3D%3D&amp;b=29&amp;f=norefer">Recharger http://] &lt;script src=eded.js&gt;&lt;/script&gt;</a>]</p>


[EDIT]: http://xxxxxxxxt.com/proxlis/includes/process.php?action=cookies cette page n'affiche rien. Est-ce que les cookies sont bien supprimés? EUh d'ailleurs, toutes les modifications de config ont cet effet. C'est normal pour le moment?
Cordialement, 5N4K37.
Ps: je regarderai le reste plus tard. ;)
Last edited by 5N4K37 on Fri Jul 08, 2011 2:19 pm, edited 1 time in total.
User avatar
5N4K37
Projets
 
Posts: 276
Joined: Tue May 11, 2010 6:57 pm
Location: Where connected=1

Postby ON-LE-CHAT » Thu Dec 30, 2010 11:36 am

Merci beaucoup :D
La faille XSS est comblée, la page "process.php" fonctionne désormais correctement.
Les cookies n'étaient pas supprimés, et non ce n'était pas normal :wink:

[i:1d794b4b9d]Le Chat Léon[/i:1d794b4b9d]
ON-LE-CHAT
Projets
 
Posts: 2
Joined: Wed Dec 29, 2010 10:13 pm


Return to Faites tester vos sites <b>DE TEST</b>

Who is online

Users browsing this forum: No registered users and 1 guest

cron