Test de hack de serveur

Nos experts testeront vos sites avec attention.
Postez ici vos liens. Et fournissez les accès de bases (login et mot de passe 'simple utilisateur' par exemple si vous souhaitez voir ce qu'un utilisateur peux exploiter)

Moderators: Mod, Mod, Mod

Test de hack de serveur

Postby VADOREQUEST » Wed Jun 15, 2011 9:09 am

Bonjour, je suis le propriétaire de http://vadorequest.stagiaires-informatique.fr/

J'aimerais que l'on teste les protection, j'ai monté le site y a moins de 4 jours en faisant attention à pas mal de chose mais débutant php -Une semaine d'expérience- j'ai surement laissé traîner des jolies choses :)

Les formulaires ne sont pas reliés à une BDD, inutile donc de faire d'injections SQL puisque ce n'est pas interprété par MySQL.

Je vais mettre un message sur le site pour vous certifier la possession du site, bien que ce soit marqué un peu partout, même si un pseudo ne prouve rien :)

Je mettrais aussi un fichier sur le serveur, le tout d'ici 5 minutes.

Le test porte principalement donc sur une intrusion au niveau du serveur.

Je vous remercie, par avance.

Vadorequest.

[quote:e7019ebb55]Je sous-signé Vadorequest autorise les membres de hackbbs. à hacker le site web http://vadorequest.stagiaires-informatique.fr/ et son serveur dans un but pédagogique.[/quote:e7019ebb55]

Edit: Modification sur le site effectué, mise en place d'un fichier sur le serveur effectué.
VADOREQUEST
Projets
 
Posts: 23
Joined: Wed Jun 15, 2011 9:00 am

Postby TorTukiTu » Wed Jun 15, 2011 11:27 am

J'ai regardé vite fait:

[code:1:58f81eb1e4]http://vadorequest.stagiaires-informatique.fr/php/[/code:1:58f81eb1e4]

Tu as laissé le directory listing.
Vérifie qu'un appel direct à envoi_mail.php ne puisse pas permettre l'envoi d'emails.

je te conseille de rajouter des captchas pour tes formulaires afin d'éviter les bots.

Je regarderai ça plus en détail ce soir.

Tortue 974.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby VADOREQUEST » Wed Jun 15, 2011 11:38 am

Je l'ai laissé par ignorance de son existence ^^ Je me renseigne sur le sujet pour désactiver ça.

--> J'ai trouvé ce site: [url]http://www.felipecruz.com/blog_disable-directory-listing-browsing-apache.php[/url]

--> Je retire donc "Indexes" dans mon httpd.conf

--> FollowSymLinks: je me suis un peu renseigné et j'ai cru comprendre que ça permet d’utiliser les liens relatifs (au serveur) et donc très important de ne pas le désactiver pour une meilleure protection.


Pour la fonction mail(), n'ayant rien modifié et l'utilisant telle qu'elle, j'imagine que n'importe qui peut se servir de mon serveur mail. Et j'ignore comment l'en empêcher, je vais me renseigner aussi.

Merci.
VADOREQUEST
Projets
 
Posts: 23
Joined: Wed Jun 15, 2011 9:00 am

Postby VADOREQUEST » Wed Jun 15, 2011 4:41 pm

Voici des parties de mail que j'ai recue suite à des tentatives de hackbbs:


url_erreur : <script>alert(/XSS/)</script>

type_erreur : <script>alert(/XSS/)</script>

descriptif_erreur : <script>alert(/XSS/)</script>

mail : zefzef


Pour envoyer un mail invalide, j'imagine qu'il a suffit de désactiver le javascript. J'ai pas réussi à faire de vérification php, mon expression régulière ne fonctionnait pas. (Alors qu'en JS j'ai aucun souci. Je comprends pas l'utilisation de '#').

Par contre, comment avez vous réussi à modifier l'url de l'erreur ? Etant donné que c'est une textbox vérouillée... En modifiant directement le code source puis en envoyant ? (genre on vire le script JS on met autre chose et on envoie).
VADOREQUEST
Projets
 
Posts: 23
Joined: Wed Jun 15, 2011 9:00 am

Postby RED-HACKER2 » Wed Jun 15, 2011 5:00 pm

slt amie hacker :D

@VADOREQUEST : après une petit recherche jais remarque que les vérification dans le formulaire de mail sont fait par un script js a mon avis il faux mieux éviter sa car en désactivent le javascript sur le navigateur en peux ajouter des caractère spécieux dans les formulaire et essayer par exemple un détournement de la fonction mail() ou une injection de code php théoriquement :lol:


oupse VADOREQUEST c moi qui a envoyer c mail pour faire des test
PS: ca vas m'aider de voire les maille pour observer les résultat de mais test
User avatar
RED-HACKER2
Projets
 
Posts: 46
Joined: Sat Aug 21, 2010 3:10 pm

Postby VADOREQUEST » Wed Jun 15, 2011 5:51 pm

En effet, j'estime qu'il faut deux protections:

- Une coté client (JS) afin de faciliter la vie de l'utilisateur. Soucis: l'utilisateur peut vouloir faire des choses pas cool.
- Une coté serveur, la plus importante au final (php) car valide ou non l'envoi, la validation, etc...

Du coup je fais les deux.
Sauf que j'ai pas réussi en PHP à faire les expressions régulières ça ne voulais pas fonctionner donc je l'ai remis à plus tard.

Par contre je ne vois pas comment tu peux utiliser la fonction mail() en m'injectant du php ^^

Si tu veux avoir un visuel de tes tests, met tout simplement ton e-mail, la case en bas à droite permet de recevoir un rapport.

Voici ceux qu'on a effectué dernièrement:

mail : sdfsdf@gg.fr\'CC:red-hacker2@hotmail.fr

___

nom : Fhgfhd

pseudo : hackbbs

prenom : Fhgfh

mail : hack@gdfg.fr\'

titre_message : \'

message : \'
VADOREQUEST
Projets
 
Posts: 23
Joined: Wed Jun 15, 2011 9:00 am

Postby RED-HACKER2 » Wed Jun 15, 2011 7:54 pm

[code:1:1a293763ac]Par contre je ne vois pas comment tu peux utiliser la fonction mail() en m'injectant du php ^[/code:1:1a293763ac]

pour la fonction mail() jais tester si en peux la détourner voici un lien ver un bon tuto qui explique bien cette technique : [url]http://www.hackbbs.org/index.php?nav=art&article=Injection-Header-Mail[/url]

pour le injection php c rare mais sa existe par exemple injection de code dans une fonction system() ou eval() (voici une challenge de ndh2010 qui montre cette faille [url]http://wargame.nuitduhack.com:8087/[/url] )

ou imaginent qu'il y a une page php qui affiche les ip stocker dans les log avec la fonction echo alors en peux modifier les requête http pour injecter du code js,html,ou php a la place de notre ip voici aussi une challenge qui montre cette faille [url]http://www.securite-info.org/defis-r/6/[/url]
User avatar
RED-HACKER2
Projets
 
Posts: 46
Joined: Sat Aug 21, 2010 3:10 pm

Postby VADOREQUEST » Wed Jun 15, 2011 8:13 pm

Php, je sens que c'est langage par lequel on en apprends tous les jours ^^

Merci de votre aide ;)

Pour le moment personne n'a réussi à s'introduire dans le serveur ? Plutôt bon signe ^^
VADOREQUEST
Projets
 
Posts: 23
Joined: Wed Jun 15, 2011 9:00 am

Postby VADOREQUEST » Wed Jun 15, 2011 9:56 pm

Je n'ai pas réussi à envoyer de mail avec ce tuto: http://www.hackbbs.org/index.php?nav=art&article=Injection-Header-Mail

Je n'ai pas été jusqu'à modifier le content-type, mais tout ce que j'ai fait avant n'a pas été reçu dans ma messagerie même si ca partait correctement.


[quote:4ad365076b]ou imaginent qu'il y a une page php qui affiche les ip stocker dans les log avec la fonction echo alors en peux modifier les requête http pour injecter du code js,html,ou php a la place de notre ip voici aussi une challenge qui montre cette faille http://www.securite-info.org/defis-r/6/[/quote:4ad365076b]

Pour le challenge en lui même j'ai pas trop compris comment on pouvais injecter du code php. Pour moi le php c'est coté serveur donc injecter du php ca revient à modifier sur le serveur le contenu des fichiers php.

Merci de ta participation en tout cas, j'ai pas trop mal géré la sécurité je trouve, pour le moment. Faut que je m'occupe des scripts php d'envoi de mail par contre ^^
VADOREQUEST
Projets
 
Posts: 23
Joined: Wed Jun 15, 2011 9:00 am

Postby VADOREQUEST » Thu Jun 16, 2011 8:12 am

Ils ont eu du mal à passer, y c'est écoulé plus d'une heure et demi entre l'envoi et la réception:

mail : ambroise.dhenain@viacesi.fr%0ACc:ambroise.dhenain@viacesi.fr%0ABcc:ambroise.dhenain@viacesi.fr,ambroise.dhenain@viacesi.fr

titre_message : Hack

message : Spam messagerie


Et tu as raison, ça fonctionne. Mais plus simplement que selon le tuto.
VADOREQUEST
Projets
 
Posts: 23
Joined: Wed Jun 15, 2011 9:00 am

Postby RED-HACKER2 » Thu Jun 16, 2011 8:38 am

[code:1:5c3932c7b2]Et tu as raison, ça fonctionne. Mais plus simplement que selon le tuto.[/code:1:5c3932c7b2]

ok je suis heureux t'avoir aider :D mais a par sa il n' y a qu'une seul formulaire dans ton site (pour moi j’ai trouver qu'une seul ) ou des page qui utilisent SQL par exemple
alors pas de possibilité pour un newbie comme moi :oops: a part exploiter une faille sur les serveur apache ou php vulnérable (c mieux de trouver une nouvelle faille mais c absolument pas mon niveaux :( )

PS: pour les challenge contacte moi par MP :wink:
User avatar
RED-HACKER2
Projets
 
Posts: 46
Joined: Sat Aug 21, 2010 3:10 pm

Postby VADOREQUEST » Thu Jun 16, 2011 9:44 am

Y a un second formulaire avec le lien "signaler une erreur".

Mais il fonctionne comme le premier. Donc pas de truc à trouver en plus ^^'

Merci de ton aide, je sais ce qu'il me reste à faire :p

Si d'autres veulent tester, porte ouverte ^^
VADOREQUEST
Projets
 
Posts: 23
Joined: Wed Jun 15, 2011 9:00 am

Postby TorTukiTu » Thu Jun 16, 2011 10:33 am

VADOREQUEST

[quote:8612259561]Sauf que j'ai pas réussi en PHP à faire les expressions régulières ça ne voulais pas fonctionner donc je l'ai remis à plus tard. [/quote:8612259561]

ne te base JAMAIS sur des regex persos pour faire le check input. Utilise des libs et fonctions spécialement faites pour.

Sinon, si à l'avenir tu étais coincé sur une regex, tu peux faire un tour ici : hxxp://txt2re.com/

C'est un outil fort sympathique qui m'a souvent sorti rapidement du pétrin.

Tortue 974.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby VADOREQUEST » Thu Jun 16, 2011 11:55 am

En général j'interdit les chiffres dans les noms et prénoms.
Pour les emails je les chope sur le net parce que j'ai pas le niveau pour créer un truc comme ça ^^

Je savais pas qu'il existait des fonctions toutes faites ^^'

Merci.
VADOREQUEST
Projets
 
Posts: 23
Joined: Wed Jun 15, 2011 9:00 am

Postby VADOREQUEST » Fri Jun 17, 2011 2:16 pm

Je viens de comprendre ce qu'est le directory listing ^^ (Y en faut du temps parfois...)

Grâce à ce lien: http://sebl69.free.fr/astuces/pagesweb/index.php?page=creation-htaccess#htaccess2

Et j'ai testé et ... Ca marche encore -_-"
Faut vraiment que je le fasse ce .htaccess ^^
VADOREQUEST
Projets
 
Posts: 23
Joined: Wed Jun 15, 2011 9:00 am

Next

Return to Faites tester vos sites <b>DE TEST</b>

Who is online

Users browsing this forum: No registered users and 1 guest

cron