S'enregistrer | Rechercher | FAQ | Liste des Membres | Groupes d'utilisateurs | Connexion

  Nom d'utilisateur:    Mot de passe:       

  

Poster un nouveau sujet   Répondre au sujet Page 1 sur 1
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
MessagePosté le: Sam Juil 20, 2013 5:59 am    Sujet du message: Test d'un outil Répondre en citant

jurion
Projets


 
Inscrit le: 17 Fév 2008
Messages: 24



Bonjour,

Si jamais il y a une ame charitable pour passer un petit coup de review sur mon site !

http://beehiver.jurion.me

Logs :
bernard.muller@pyramide.bee
123456

Authorization :

http://beehiver.jurion.me/hackbbs.html

Ceci est un serveur 2008 R2, hebergé à la maison. J'ai que 10 mbits d'upload, soyez patients Smile

Pour le test de serveur, je ne sais pas comment donner authorization.


Votre but : Arriver Ă  voir les donnees d'une autre compagnie que Pyramide (et tout les remarques sont bien venue !)

PS : le service d'impression n'est pas encore sécurisé; ceci n'est pas un bug, just manque de temps !
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Dim Juil 21, 2013 10:44 am    Sujet du message: Répondre en citant

TorTukiTu
Site Admin


 
Inscrit le: 07 Fév 2008
Messages: 1960
Localisation: Devant son pc durant la redaction de ce message



Ce serait bien d'avoir deux comptes de tests pour tester l'étanchéité entre les comptes.

Tortue 974.
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur Compte AIM MSN Messenger Numéro ICQ
MessagePosté le: Dim Juil 21, 2013 10:47 am    Sujet du message: Répondre en citant

TorTukiTu
Site Admin


 
Inscrit le: 07 Fév 2008
Messages: 1960
Localisation: Devant son pc durant la redaction de ce message



[+] CRITICITE FAIBLE Information diclosure lors de certaines exceptions :

Exemple:URL hxxp://beehiver.jurion.me/WebApp/WebServices/ServiceProjectManagement.asmx/DeleteProject avec parametre id non numérique.

Code:

Erreur du serveur dans l'application '/'.
Erreur d'exécution
Description : Une erreur d'application s'est produite sur le serveur. Les paramĂštres d'erreur personnalisĂ©s actuels pour cette application empĂȘchent l'affichage Ă  distance des dĂ©tails de l'erreur de l'application (pour des raisons de sĂ©curitĂ©). Cependant, ils peuvent ĂȘtre affichĂ©s par les navigateurs qui s'exĂ©cutent sur l'ordinateur serveur local.

Détails: Pour permettre l'affichage des détails de ce message d'erreur spécifique sur les ordinateurs distants, créez une balise <customErrors> dans un fichier de configuration "web.config" situé dans le répertoire racine de l'application Web en cours. Attribuez ensuite la valeur "off" à l'attribut "mode" de cette balise <customErrors>.


<!-- Fichier de configuration Web.Config -->

<configuration>
    <system.web>
        <customErrors mode="Off"/>
    </system.web>
</configuration>


Remarques: La page d'erreurs actuellement affichĂ©e peut ĂȘtre remplacĂ©e par une page d'erreurs personnalisĂ©e. Pour ce faire, modifiez l'attribut "defaultRedirect" de la balise de configuration <customErrors> de l'application, de sorte qu'il pointe vers une URL de la page d'erreurs personnalisĂ©e.


<!-- Fichier de configuration Web.Config -->

<configuration>
    <system.web>
        <customErrors mode="RemoteOnly" defaultRedirect="mycustompage.htm"/>
    </system.web>
</configuration>


[+] CRITICITE FAIBLE Info diclosure : Dossier WebApp/js/Win8 => le serveur tourne sur windows 8

[+] CRITICITE FAIBLE Autre souci, les WSDL de tes WS ne suivent pas les standard (Ca ne m'Ă©tonne pas, avec du .net,... bref). Ayant la flemme de corriger pour importer dans SOAPUI, je n'ai pas pu tester les WS.

Error loading [http://beehiver.jurion.me/WebApp/WebServices/PrintingService.asmx?wsdlhttp://beehiver.jurion.me/WebApp/WebServices/PrintingService.asmx?wsdl]: org.apache.xmlbeans.XmlException: org.apache.xmlbeans.XmlException: error: duplicate attribute 'type'

[+] CRITICITE FAIBLE Pas de message d'erreur lors de l'Ă©chec d'une modification de profil. On a juste la petite icone de chargement qui tourne dans le vide.

[+] CRITICITE FAIBLE URL : hxxp://beehiver.jurion.me/WebApp/Planification.aspx Un clic sur "enregistrer les modifications avant que le chargement ne soit terminé efface toutes les données du planning.
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur Compte AIM MSN Messenger Numéro ICQ
MessagePosté le: Dim Juil 21, 2013 6:51 pm    Sujet du message: Répondre en citant

jurion
Projets


 
Inscrit le: 17 Fév 2008
Messages: 24



Salut merci pour les retours !

Oui effectivement il manque des vérifications au niveau de "id" non numériques

Et merci Ă©galement pour la page "planification", je vais essayer de regler ceci

Citation:
CRITICITE FAIBLE Info diclosure : Dossier WebApp/js/Win8 => le serveur tourne sur windows 8


Au fait non, ceci est un "template" Css metroUi qui reprend éléments d'affichage de Windows 8. Serveur est bien 2008 R2


Les webServices ne suivent absolument pas les standards. Le retour indiqué par WSDL est XML, les functions Void, mais au fait il y a du Json dans la réponse.

Je vais voir pour 2em compte !
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Dim Juil 21, 2013 10:04 pm    Sujet du message: Répondre en citant

jurion
Projets


 
Inscrit le: 17 Fév 2008
Messages: 24



Rebonjour,

Un deuxieme compte :

agnes.w.granier@gmail.com
123456
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Dim Juil 21, 2013 11:27 pm    Sujet du message: Répondre en citant

GHOSTX_0
Projets


 
Inscrit le: 24 Aoû 2009
Messages: 263



Salut Jurion,
Bon à part des erreurs 500 dans tous les sens, je n'ai rien trouvé de critique pour le moment...
Essaie de corriger ça en retirant toutes les pages d'erreur par défaut car celles-ci peuvent donner pas mal d'infos Wink


Cordialement
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Dim Juil 21, 2013 11:31 pm    Sujet du message: Répondre en citant

jurion
Projets


 
Inscrit le: 17 Fév 2008
Messages: 24



GHOSTX_0 a écrit:
Salut Jurion,
Bon à part des erreurs 500 dans tous les sens, je n'ai rien trouvé de critique pour le moment...
Essaie de corriger ça en retirant toutes les pages d'erreur par défaut car celles-ci peuvent donner pas mal d'infos Wink


Cordialement


Merci,

Oui les pages d'erreur 500 sont par défaut pour le moment. Je rÚglerai ceci une fois le développement terminé.
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Lun Juil 22, 2013 3:28 am    Sujet du message: Répondre en citant

jurion
Projets


 
Inscrit le: 17 Fév 2008
Messages: 24



Bonjour !

Basé sur vos réponses certaines modifications ont été apportées :

    Il est n'est plus possible de cliquer sur "enregistrer" avant la fin de chargement de planification (bien que rien ne l'empĂȘche de le faire avec tamper data ou truc comme ça)

    Une page d'erreur custom a été mise en place

    Ajout des certains checks sur les valeurs numĂ©riques. Mais dans 90% des cas le fait de mettre une valeur non numĂ©rique, provoque erreur de sĂ©rialisation dans le .Net, donc au final mon code de web service n'est mĂȘme pas exĂ©cutĂ©


PS : Il y a quelqu’un qui a rĂ©ussi Ă  trouver les autres sites hĂ©bergĂ©s sur le mĂȘme serveur. J’aimerai beaucoup savoir comment il a fait  (Notamment http://home.jurion.me/diablo/ )
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Lun Juil 22, 2013 9:07 am    Sujet du message: Répondre en citant

GHOSTX_0
Projets


 
Inscrit le: 24 Aoû 2009
Messages: 263



Aha Tu as regardé tes logs!? Wink
Pour ton home je suis tombé dessus via une recherche google (site:jurion.me) :p
On peut mĂȘme trouvĂ© l'info via l'outils dig sur ton nom de domaine principale.
Code:

$dig beehiver.jurion.me
beehiver.jurion.me.   86387   IN   CNAME   home.jurion.me.
home.jurion.me.      86387   IN   CNAME   jurion.no-ip.biz.
jurion.no-ip.biz.   47   IN   A   96.127.209.200


Ensuite on effectue une simple énumération des pages sur ce serveur via bruteforce (avec DirBuster notamment)


Cordialement
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Lun Juil 22, 2013 9:11 am    Sujet du message: Répondre en citant

jurion
Projets


 
Inscrit le: 17 Fév 2008
Messages: 24



GHOSTX_0 a écrit:
Aha Tu as regardé tes logs!? Wink
Pour ton home je suis tombé dessus via une recherche google (site:jurion.me) :p
On peut mĂȘme trouvĂ© l'info via l'outils dig sur ton nom de domaine principale.
Code:

$dig beehiver.jurion.me
beehiver.jurion.me.   86387   IN   CNAME   home.jurion.me.
home.jurion.me.      86387   IN   CNAME   jurion.no-ip.biz.
jurion.no-ip.biz.   47   IN   A   96.127.209.200


Ensuite on effectue une simple énumération des pages sur ce serveur via bruteforce (avec DirBuster notamment)


Cordialement


Hmm, nice !

no-ip c'est parce que au Canada ils facturenbt une blinde pour IP fixe !

Merci pour astuce !!!
Voir le profil de l'utilisateur Envoyer un message privés
Poster un nouveau sujet   Répondre au sujet Page 1 sur 1

  


 
Sauter vers:  
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum



113976 Attacks blocked