S'enregistrer | Rechercher | FAQ | Liste des Membres | Groupes d'utilisateurs | Connexion

  Nom d'utilisateur:    Mot de passe:       

Aller à la page 1, 2  Suivante  

Poster un nouveau sujet   Répondre au sujet Page 1 sur 2
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
MessagePosté le: Mer Juin 15, 2011 9:09 am    Sujet du message: Test de hack de serveur Répondre en citant

VADOREQUEST
Projets


 
Inscrit le: 15 Juin 2011
Messages: 23



Bonjour, je suis le propriétaire de http://vadorequest.stagiaires-informatique.fr/

J'aimerais que l'on teste les protection, j'ai monté le site y a moins de 4 jours en faisant attention à pas mal de chose mais débutant php -Une semaine d'expérience- j'ai surement laissé traîner des jolies choses Smile

Les formulaires ne sont pas reliés à une BDD, inutile donc de faire d'injections SQL puisque ce n'est pas interprété par MySQL.

Je vais mettre un message sur le site pour vous certifier la possession du site, bien que ce soit marqué un peu partout, même si un pseudo ne prouve rien Smile

Je mettrais aussi un fichier sur le serveur, le tout d'ici 5 minutes.

Le test porte principalement donc sur une intrusion au niveau du serveur.

Je vous remercie, par avance.

Vadorequest.

Citation:
Je sous-signé Vadorequest autorise les membres de hackbbs. à hacker le site web http://vadorequest.stagiaires-informatique.fr/ et son serveur dans un but pédagogique.


Edit: Modification sur le site effectué, mise en place d'un fichier sur le serveur effectué.
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Mer Juin 15, 2011 11:27 am    Sujet du message: Répondre en citant

TorTukiTu
Site Admin


 
Inscrit le: 07 Fév 2008
Messages: 1960
Localisation: Devant son pc durant la redaction de ce message



J'ai regardé vite fait:

Code:
http://vadorequest.stagiaires-informatique.fr/php/


Tu as laissé le directory listing.
VĂ©rifie qu'un appel direct Ă  envoi_mail.php ne puisse pas permettre l'envoi d'emails.

je te conseille de rajouter des captchas pour tes formulaires afin d'Ă©viter les bots.

Je regarderai ça plus en détail ce soir.

Tortue 974.
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur Compte AIM MSN Messenger Numéro ICQ
MessagePosté le: Mer Juin 15, 2011 11:38 am    Sujet du message: Répondre en citant

VADOREQUEST
Projets


 
Inscrit le: 15 Juin 2011
Messages: 23



Je l'ai laissé par ignorance de son existence ^^ Je me renseigne sur le sujet pour désactiver ça.

--> J'ai trouvé ce site: http://www.felipecruz.com/blog_disable-directory-listing-browsing-apache.php

--> Je retire donc "Indexes" dans mon httpd.conf

--> FollowSymLinks: je me suis un peu renseigné et j'ai cru comprendre que ça permet d’utiliser les liens relatifs (au serveur) et donc très important de ne pas le désactiver pour une meilleure protection.


Pour la fonction mail(), n'ayant rien modifié et l'utilisant telle qu'elle, j'imagine que n'importe qui peut se servir de mon serveur mail. Et j'ignore comment l'en empêcher, je vais me renseigner aussi.

Merci.
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Mer Juin 15, 2011 4:41 pm    Sujet du message: Répondre en citant

VADOREQUEST
Projets


 
Inscrit le: 15 Juin 2011
Messages: 23



Voici des parties de mail que j'ai recue suite Ă  des tentatives de hackbbs:


url_erreur : <script>alert(/XSS/)</script>

type_erreur : <script>alert(/XSS/)</script>

descriptif_erreur : <script>alert(/XSS/)</script>

mail : zefzef


Pour envoyer un mail invalide, j'imagine qu'il a suffit de désactiver le javascript. J'ai pas réussi à faire de vérification php, mon expression régulière ne fonctionnait pas. (Alors qu'en JS j'ai aucun souci. Je comprends pas l'utilisation de '#').

Par contre, comment avez vous réussi à modifier l'url de l'erreur ? Etant donné que c'est une textbox vérouillée... En modifiant directement le code source puis en envoyant ? (genre on vire le script JS on met autre chose et on envoie).
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Mer Juin 15, 2011 5:00 pm    Sujet du message: Répondre en citant

RED-HACKER2
Projets


 
Inscrit le: 21 Aoû 2010
Messages: 46



slt amie hacker Very Happy

@VADOREQUEST : après une petit recherche jais remarque que les vérification dans le formulaire de mail sont fait par un script js a mon avis il faux mieux éviter sa car en désactivent le javascript sur le navigateur en peux ajouter des caractère spécieux dans les formulaire et essayer par exemple un détournement de la fonction mail() ou une injection de code php théoriquement Laughing


oupse VADOREQUEST c moi qui a envoyer c mail pour faire des test
PS: ca vas m'aider de voire les maille pour observer les résultat de mais test
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Mer Juin 15, 2011 5:51 pm    Sujet du message: Répondre en citant

VADOREQUEST
Projets


 
Inscrit le: 15 Juin 2011
Messages: 23



En effet, j'estime qu'il faut deux protections:

- Une coté client (JS) afin de faciliter la vie de l'utilisateur. Soucis: l'utilisateur peut vouloir faire des choses pas cool.
- Une coté serveur, la plus importante au final (php) car valide ou non l'envoi, la validation, etc...

Du coup je fais les deux.
Sauf que j'ai pas réussi en PHP à faire les expressions régulières ça ne voulais pas fonctionner donc je l'ai remis à plus tard.

Par contre je ne vois pas comment tu peux utiliser la fonction mail() en m'injectant du php ^^

Si tu veux avoir un visuel de tes tests, met tout simplement ton e-mail, la case en bas Ă  droite permet de recevoir un rapport.

Voici ceux qu'on a effectué dernièrement:

mail : sdfsdf@gg.fr\'CC:red-hacker2@hotmail.fr

___

nom : Fhgfhd

pseudo : hackbbs

prenom : Fhgfh

mail : hack@gdfg.fr\'

titre_message : \'

message : \'
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Mer Juin 15, 2011 7:54 pm    Sujet du message: Répondre en citant

RED-HACKER2
Projets


 
Inscrit le: 21 Aoû 2010
Messages: 46



Code:
Par contre je ne vois pas comment tu peux utiliser la fonction mail() en m'injectant du php ^


pour la fonction mail() jais tester si en peux la détourner voici un lien ver un bon tuto qui explique bien cette technique : http://www.hackbbs.org/index.php?nav=art&article=Injection-Header-Mail

pour le injection php c rare mais sa existe par exemple injection de code dans une fonction system() ou eval() (voici une challenge de ndh2010 qui montre cette faille http://wargame.nuitduhack.com:8087/ )

ou imaginent qu'il y a une page php qui affiche les ip stocker dans les log avec la fonction echo alors en peux modifier les requĂŞte http pour injecter du code js,html,ou php a la place de notre ip voici aussi une challenge qui montre cette faille http://www.securite-info.org/defis-r/6/
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Mer Juin 15, 2011 8:13 pm    Sujet du message: Répondre en citant

VADOREQUEST
Projets


 
Inscrit le: 15 Juin 2011
Messages: 23



Php, je sens que c'est langage par lequel on en apprends tous les jours ^^

Merci de votre aide Wink

Pour le moment personne n'a réussi à s'introduire dans le serveur ? Plutôt bon signe ^^
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Mer Juin 15, 2011 9:56 pm    Sujet du message: Répondre en citant

VADOREQUEST
Projets


 
Inscrit le: 15 Juin 2011
Messages: 23



Je n'ai pas réussi à envoyer de mail avec ce tuto: http://www.hackbbs.org/index.php?nav=art&article=Injection-Header-Mail

Je n'ai pas été jusqu'à modifier le content-type, mais tout ce que j'ai fait avant n'a pas été reçu dans ma messagerie même si ca partait correctement.


Citation:
ou imaginent qu'il y a une page php qui affiche les ip stocker dans les log avec la fonction echo alors en peux modifier les requĂŞte http pour injecter du code js,html,ou php a la place de notre ip voici aussi une challenge qui montre cette faille http://www.securite-info.org/defis-r/6/


Pour le challenge en lui même j'ai pas trop compris comment on pouvais injecter du code php. Pour moi le php c'est coté serveur donc injecter du php ca revient à modifier sur le serveur le contenu des fichiers php.

Merci de ta participation en tout cas, j'ai pas trop mal géré la sécurité je trouve, pour le moment. Faut que je m'occupe des scripts php d'envoi de mail par contre ^^
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Jeu Juin 16, 2011 8:12 am    Sujet du message: Répondre en citant

VADOREQUEST
Projets


 
Inscrit le: 15 Juin 2011
Messages: 23



Ils ont eu du mal à passer, y c'est écoulé plus d'une heure et demi entre l'envoi et la réception:

mail : ambroise.dhenain@viacesi.fr%0ACc:ambroise.dhenain@viacesi.fr%0ABcc:ambroise.dhenain@viacesi.fr,ambroise.dhenain@viacesi.fr

titre_message : Hack

message : Spam messagerie


Et tu as raison, ça fonctionne. Mais plus simplement que selon le tuto.
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Jeu Juin 16, 2011 8:38 am    Sujet du message: Répondre en citant

RED-HACKER2
Projets


 
Inscrit le: 21 Aoû 2010
Messages: 46



Code:
Et tu as raison, ça fonctionne. Mais plus simplement que selon le tuto.


ok je suis heureux t'avoir aider Very Happy mais a par sa il n' y a qu'une seul formulaire dans ton site (pour moi j’ai trouver qu'une seul ) ou des page qui utilisent SQL par exemple
alors pas de possibilité pour un newbie comme moi Embarassed a part exploiter une faille sur les serveur apache ou php vulnérable (c mieux de trouver une nouvelle faille mais c absolument pas mon niveaux Sad )

PS: pour les challenge contacte moi par MP Wink
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Jeu Juin 16, 2011 9:44 am    Sujet du message: Répondre en citant

VADOREQUEST
Projets


 
Inscrit le: 15 Juin 2011
Messages: 23



Y a un second formulaire avec le lien "signaler une erreur".

Mais il fonctionne comme le premier. Donc pas de truc Ă  trouver en plus ^^'

Merci de ton aide, je sais ce qu'il me reste Ă  faire :p

Si d'autres veulent tester, porte ouverte ^^
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Jeu Juin 16, 2011 10:33 am    Sujet du message: Répondre en citant

TorTukiTu
Site Admin


 
Inscrit le: 07 Fév 2008
Messages: 1960
Localisation: Devant son pc durant la redaction de ce message



VADOREQUEST

Citation:
Sauf que j'ai pas réussi en PHP à faire les expressions régulières ça ne voulais pas fonctionner donc je l'ai remis à plus tard.


ne te base JAMAIS sur des regex persos pour faire le check input. Utilise des libs et fonctions spécialement faites pour.

Sinon, si à l'avenir tu étais coincé sur une regex, tu peux faire un tour ici : hxxp://txt2re.com/

C'est un outil fort sympathique qui m'a souvent sorti rapidement du pétrin.

Tortue 974.
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur Compte AIM MSN Messenger Numéro ICQ
MessagePosté le: Jeu Juin 16, 2011 11:55 am    Sujet du message: Répondre en citant

VADOREQUEST
Projets


 
Inscrit le: 15 Juin 2011
Messages: 23



En général j'interdit les chiffres dans les noms et prénoms.
Pour les emails je les chope sur le net parce que j'ai pas le niveau pour créer un truc comme ça ^^

Je savais pas qu'il existait des fonctions toutes faites ^^'

Merci.
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Ven Juin 17, 2011 2:16 pm    Sujet du message: Répondre en citant

VADOREQUEST
Projets


 
Inscrit le: 15 Juin 2011
Messages: 23



Je viens de comprendre ce qu'est le directory listing ^^ (Y en faut du temps parfois...)

Grâce à ce lien: http://sebl69.free.fr/astuces/pagesweb/index.php?page=creation-htaccess#htaccess2

Et j'ai testé et ... Ca marche encore -_-"
Faut vraiment que je le fasse ce .htaccess ^^
Voir le profil de l'utilisateur Envoyer un message privés
Poster un nouveau sujet   Répondre au sujet Page 1 sur 2

Aller à la page 1, 2  Suivante  


 
Sauter vers:  
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum



113976 Attacks blocked