Test de site

Nos experts testeront vos sites avec attention.
Postez ici vos liens. Et fournissez les accès de bases (login et mot de passe 'simple utilisateur' par exemple si vous souhaitez voir ce qu'un utilisateur peux exploiter)

Moderators: Mod, Mod, Mod

Test de site

Postby STRYK » Wed Sep 28, 2011 5:49 pm

[b:735ee268a8]Changement de site trop de failles merci a vous ...[/b:735ee268a8]
Last edited by STRYK on Sun Oct 02, 2011 7:38 pm, edited 1 time in total.
STRYK
Projets
 
Posts: 7
Joined: Sat Aug 13, 2011 11:27 pm

Postby BESTPIG » Wed Sep 28, 2011 6:24 pm

[url]http://kioya-online.com/index.php?p=comments&news=-9[/url]

J'ai réussi à mettre un commentaire sur une news avec un id négatif, tu devrais vérifier si la news existe.

J'ai aussi pu poster en tant que l'utilisateur "<<", tu à mis le nom d'utilisateur dans un input hidden, pourquoi ne pas le récupéré des sessions ?

---

Tu a une xss sur le titre et le message dans la section messagerie (mp).
N'importe qui à accès au message de n'importe qui juste en changeant l'id dans l'url.
[url]http://kioya-online.com/index.php?p=inbox&a=4&id=85[/url] (pour la xss)
[url]http://kioya-online.com/index.php?p=inbox&a=4&id=12[/url] (ici on vois un message qu'on devrait pas voir)

---

J'ai réussi à mettre le compte vip sans aucun point en mettant la variable cout à 0.
Enfin il me dit "Vous êtes maintenant VIP!", mais vu que je ne suis pas connecté au jeu je ne sais pas ce qui se passe derrière.

Voila mon petit audit d'avant manger, j'ai pas tout regardé encore, je referais un tour tout à l'heure.
BESTPIG
Projets
 
Posts: 3
Joined: Mon Nov 08, 2010 11:01 pm

Postby STRYK » Wed Sep 28, 2011 6:57 pm

Oula ... oui il est belle et bien vip meme sur le jeux !

97413 Points comment as tu fait aussi ? et pour mettre la variable cout a 0 aussi ?
( Altération de données ? )

Comment résoudre c'est deux gros problèmes
STRYK
Projets
 
Posts: 7
Joined: Sat Aug 13, 2011 11:27 pm

Postby BESTPIG » Wed Sep 28, 2011 7:34 pm

Oui en mettant un nombre négatif ça nous crédite des points ;).

Pour pallier à ce problème, il faut ne que le prix etc ne puisse soit pas défini côté client.
Dans ta page qui valide le compte vip, tu peut pas en interne connaître le prix que l'option coute plutôt que de l'envoyer en POST ?

Pour altéré les données il y a plein de méthode différente, sous firefox tu peut utilisé les modules firebug, livehttpheader, temperdata etc...

Le truc c'est qu'il ne faut JAMAIS faire confiance à des données venant d'un utilisateur, même si c'est toi qui à coder la page qu'il reçois dans le navigateur, vu que tu n'a aucun contrôle dessus, elle peut être modifié sans aucun soucis.
BESTPIG
Projets
 
Posts: 3
Joined: Mon Nov 08, 2010 11:01 pm

Postby STRYK » Wed Sep 28, 2011 8:30 pm

Merci ! je vais essayer de résoudre tout sa ...
Last edited by STRYK on Wed Sep 28, 2011 8:43 pm, edited 1 time in total.
STRYK
Projets
 
Posts: 7
Joined: Sat Aug 13, 2011 11:27 pm

Postby BESTPIG » Wed Sep 28, 2011 8:38 pm

Suffit que tu mette le cout à un nombre négatif et ça crédite.
BESTPIG
Projets
 
Posts: 3
Joined: Mon Nov 08, 2010 11:01 pm

Postby STRYK » Wed Sep 28, 2011 8:44 pm

[quote:e39b389055="BESTPIG"]Suffit que tu mette le cout à un nombre négatif et ça crédite.[/quote:e39b389055]

Oui j'ai compris entre temps ! encore Merci !
STRYK
Projets
 
Posts: 7
Joined: Sat Aug 13, 2011 11:27 pm

Postby TorTukiTu » Thu Sep 29, 2011 6:04 am

Autres petites choses :

Tu as autorisé le directory listing.
[code:1:47817a7ec2]http://kioya-online.com/style/images/illus/[/code:1:47817a7ec2]

Qui contient entre autre un Thumbs.db => Windows NT.

J'ai pas pu vérifier, mais assure toi bien que l'ID que tu envoies en POST (et d'une façon générale les autres variables également) pour débloquer un perso n'est pas injectable.

Le très classique ID=141 OR 1=1

Tortue 974.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby STRYK » Thu Sep 29, 2011 6:12 pm

Thumbs.db est du a un copié/collé ce n'est pas si grave ?
STRYK
Projets
 
Posts: 7
Joined: Sat Aug 13, 2011 11:27 pm

Postby TorTukiTu » Fri Sep 30, 2011 10:29 am

[quote:8846214c45]Thumbs.db est du a un copié/collé ce n'est pas si grave ?[/quote:8846214c45]

Non, c'est juste que quitte à faire les choses, autant que ce soit propre.

Tortue 974.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message


Return to Faites tester vos sites <b>DE TEST</b>

Who is online

Users browsing this forum: No registered users and 0 guests

cron