Tester ce site que je suis entrain de faire :]

Nos experts testeront vos sites avec attention.
Postez ici vos liens. Et fournissez les accès de bases (login et mot de passe 'simple utilisateur' par exemple si vous souhaitez voir ce qu'un utilisateur peux exploiter)

Moderators: Mod, Mod, Mod

Tester ce site que je suis entrain de faire :]

Postby CKOICBINS » Thu Mar 08, 2012 1:17 pm

lut.

Je viens vous demander de tester un site que je suis entrain de faire pour une entreprise.

Le site à tester : http://lagauloisedoree.fr
Page qui confirme que je suis bien le possesseur : http://www.lagauloisedoree.fr/hackbbs.txt

Thx,
CKOICBINS
User avatar
CKOICBINS
Projets
 
Posts: 8
Joined: Thu Feb 16, 2012 8:58 pm

Postby TorTukiTu » Thu Mar 08, 2012 2:49 pm

Injection possible dans :

hxxp://www.lagauloisedoree.fr/notreagenda.php

J'ai injecté un chaine 'ceci est une injection ' pour l'évènement du 30/03/2012.

Ton script rpc.php DOIT vérifier que ton utilisateur est authentifié avant de permettre une suppression d'évènement ou un ajout.

Vérifie également que les variables passés à ce script sont correctement échappées.

Tortue 974.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby CKOICBINS » Thu Mar 08, 2012 3:08 pm

Merci. Le seul hic est que ce script, je l'ai pris sur le net sans vraiment le comprendre.. :oops:
Enfin bref, je vais sans doute réaliser un nv agenda. Est-ce que vous avez des conseils à me donner avant que je me lance dans la réalisation du nv agenda ?

+
User avatar
CKOICBINS
Projets
 
Posts: 8
Joined: Thu Feb 16, 2012 8:58 pm

Postby TorTukiTu » Thu Mar 08, 2012 4:21 pm

Je te conseille de prendre des scripts éprouvés déjà existants. Pas la peine de réinventer la roue en moins bien...

Sinon, d'une façon générale, respecte les conventions et suis les préconisations de l'OWASP.

Tortue 974.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby CKOICBINS » Thu Mar 08, 2012 4:24 pm

Je vais utiliser du PHP et MySQL pour ce nv agenda. C'est suffisant non ?
(Agenda maintenant hl)
& il n'y a pas de faille sinon ?

EDIT: J'a un pb avec ma galerie photos, elle a du mal à afficher les photos; c'est trop lent :evil: Vous savez pourquoi ? :o
User avatar
CKOICBINS
Projets
 
Posts: 8
Joined: Thu Feb 16, 2012 8:58 pm

Postby TorTukiTu » Fri Mar 09, 2012 5:39 am

[quote:2b3e4df662]EDIT: J'a un pb avec ma galerie photos, elle a du mal à afficher les photos; c'est trop lent Evil or Very Mad Vous savez pourquoi ? Surprised[/quote:2b3e4df662]

Parceque tu as des photos d'une trop haute définition donc trop lourdes.

Il faut faire des miniatures de ces photos (= la photo dans une taille, donc une définition bien inférieure) pour ta gallerie et montrer la photo HD quand on clique sur la miniature.

[quote:2b3e4df662]Je vais utiliser du PHP et MySQL pour ce nv agenda. C'est suffisant non ? [/quote:2b3e4df662]

Tout dépend comment tu l'as fait. Personellement et quoi qu'en disent les puristes, php et MySQL, c'est jamais bien pour la sécu...
Comme tu l'as fait actuellement, l'utilisateur ne peut plus rien injecter.

[quote:2b3e4df662]il n'y a pas de faille sinon ? [/quote:2b3e4df662]

Plus rien d'évident.

Tortue 974.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby CKOICBINS » Fri Mar 09, 2012 1:33 pm

Okey merci. Je vais voir ce que je peux faire pour la galerie photos...
Pis au niveau de l'Agenda c'est bon, il n'y a plus de faille donc c'est cool.

Merci beaucoup TorTukiTu. :wink:
User avatar
CKOICBINS
Projets
 
Posts: 8
Joined: Thu Feb 16, 2012 8:58 pm

Postby CKOICBINS » Mon Jun 25, 2012 5:35 pm

Booooon-soir !

J'ai terminé le site lol, depuis le temps ! > [url]http://www.lagauloisedoree.fr[/url] !
Page qui confirme que je suis bien le possesseur : http://www.lagauloisedoree.fr/hackbbs.txt

Merci de me dire si vous trouvez une/des faille(s). & si vous avez des conseils, je suis preneur.

CKOICBINS.
User avatar
CKOICBINS
Projets
 
Posts: 8
Joined: Thu Feb 16, 2012 8:58 pm

Postby TorTukiTu » Tue Jun 26, 2012 6:14 am

Bien le bonsoir, CKOICBINS.

J'ai fais un passage vite fait, je n'ai rien vu de particulier.

J'irai chercher un peu plus en détail quand j'aurais le temps.

Par contre, attention aux éventuels 0-day avec ton prestashop !

Tortue 974.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby CKOICBINS » Tue Jun 26, 2012 10:47 am

ARF, je ne vois pas comment sécuriser prestashop pour éviter toute exploit... M'enfin, je vais me renseigner. Merci bien TorTukiTu.


CKOICBINS.
User avatar
CKOICBINS
Projets
 
Posts: 8
Joined: Thu Feb 16, 2012 8:58 pm

Postby TorTukiTu » Tue Jun 26, 2012 10:58 am

Tu ne peux pas, et ça n'est pas ce que je t'ai dit.

Je te dis seulement de te tenir au courant des derniers exploits disponibles sur Prestashop, et de les patcher rapidement après leur publication.

Tortue 974.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby CKOICBINS » Tue Jun 26, 2012 11:11 am

Oui désolé j'avais mal compris. Bah ouais bah je vais faire attention. La je vais désactiver la boutique, je dois faire une mise à jour. :) Merci encore.

CKOICBINS
User avatar
CKOICBINS
Projets
 
Posts: 8
Joined: Thu Feb 16, 2012 8:58 pm


Return to Faites tester vos sites <b>DE TEST</b>

Who is online

Users browsing this forum: No registered users and 1 guest

cron