+- N-PN White-Hat Project (https://dev.n-pn.fr/forum)
+-- Forum : Communauté (https://dev.n-pn.fr/forum/forumdisplay.php?fid=10)
+--- Forum : Faites tester vos sites (https://dev.n-pn.fr/forum/forumdisplay.php?fid=21)
+--- Sujet : Broutilles-Store : Tests de sécurité (/showthread.php?tid=1904)
Broutilles-Store : Tests de sécurité - AnthonyB - 09-02-2012
Bonjour messieurs, voire mesdames s'il y en a.
Je viens demander votre aide aujourd'hui car je ne suis tout simplement pas assez doué pour faire ceci par moi-même, et que vous me semblez les plus à-mêmes de faire ce dont j'ai besoin, les membres du forum Prestashop n'étant selon moi pas très orientés sécurité mais plus templates liés au fonctionnement du système. Mais je m'égare.
J'ai pour projet avec un ami d'ouvrir une petite boutique en ligne du nom de Broutilles-Store. Cette boutique n'est pas un projet d'avenir (bien qu'elle pourrait le devenir si ça marchait vraiment), ni pour moi, ni pour mon ami, mais une expérience pouvant d'un côté, nous ramener un petit billet pour arrondir les fins de mois, et dans un second temps, appuyer ma candidature en école de commerce cette année (avec l'argument "Je n'ai pas peur de me lancer, d'entreprendre, etc...).
Pour des raison de simplicité, ne m'y connaissant pas suffisamment pour créer la structure du site de mes propres mains, on a décidé de se lancer avec Prestashop (v1.4.6.2). Le thème est un thème gratuit que j'ai remanié dans beaucoup de détails, mais la base reste identique (Lien du thème de base).
Bien que ce ne soit pas un projet d'avenir, nous tenons à rester sérieux, et garantir le maximum de sécurité, tant pour nous que pour nos clients. C'est pourquoi je vous sollicite afin de m'aider à déceler les éventuelles failles "primaires" auxquelles un petit merdeux avec vraiment le minimum de connaissance en informatique pourrait faire appel. Vu l'importance du projet, je doute qu'un hacker aille chercher bien loin sur notre site, il s'embêterait beaucoup pour au final peu de chose.
Pour le moment, le site est encore fermé, et j'en profite donc pour faire appel à vous dès maintenant, pour pouvoir l'ouvrir dans les meilleures conditions. Ne faites pas attention au décompte en page d'accueil, il n'est là que pour la décoration, bien que fonctionnel. Le site devrait ouvrir aux alentours du 8-10 mars.
Le fichier avec l'autorisation que je vous donne de tester de tester mon site est situé à la racine du site et s'appelle npn.html
Pour rentrer dans la partie site à partir de la page d'accueil, il suffit de cliquer sur le mot "jeunes" dans la phrase "Tendance de jeunes créateurs".
Voici le lien : Broutilles-Store
Je remercie grandement ceux qui accepteront de m'aider.
Cordialement,
Anthony.
Edit : Cela peut sans doute être important pour vous, donc je le précise : Mon site est hébergé chez OVH, avec un pack Perso.
RE: Broutilles-Store : Tests de sécurité - Dobry - 14-02-2012
Ce n'est pas une faille (je pense) mais un problème de gestion, avec une petite XSS dans la recherche, il nous renvoi vers une page qui n'existe pas http://broutilles-store.fr/prestashop/undefined
j'ai simplement mis "/><script>alert(1);</script> dans la recherche.
RE: Broutilles-Store : Tests de sécurité - AnthonyB - 14-02-2012
Tout d'abord, permettez moi de vous tutoyer.
Sais-tu comment corriger cela ?
RE: Broutilles-Store : Tests de sécurité - Di0Sasm - 14-02-2012
Il te renvoie sur une 404 donc ce n'est pas gênant, tu peux nous tutoyer bien évidemment. Désolé le forum vient de ré-ouvrir donc y a pas trop monde pour tester ton site.Mais déjà tu as un Prestashop donc les failles sont quand même vu avant, apparemment ils avaient une faille assez importante qui à était bouché, après tout dépend si tu est mutualisé ou sur dédié ?
RE: Broutilles-Store : Tests de sécurité - AnthonyB - 14-02-2012
Pour le moment, on a opté pour une offre mutualisée, en attendant de voir si ça marche comme on veut.
Pour ce qui est des éventuelles failles, je ne m'inquiète pas spécialement de Prestashop puisqu'en théorie, une équipe s'occupe de ça tout spécialement. Je m'inquiète plus de ce que j'ai modifié et qui risquerait d'avoir endommagé la sécurité.
On n'est jamais trop prudent.
RE: Broutilles-Store : Tests de sécurité - Di0Sasm - 14-02-2012
J'ai pas forcément trop le temps mais un mutualisé avec un site d'achat, ça fait pas forcément bon ménage. Si un site annexe est faillible tu te feras poutrer et t'es client aussi, tu as le https pour les paiements ?
Au mieux fait un compte test et donne les accès en pv.
RE: Broutilles-Store : Tests de sécurité - AnthonyB - 15-02-2012
Non, j'ai pas encore de https, mais je pense sérieusement à le prendre. Vous pensez donc que ça vaut effectivement le coup ?
Si oui, comment y passer ? Je sais que je peux magouiller avec un url-rewriting, mais le visiteur doit accepter un message, ce que je ne désire pas. J'ai essayé, j'avais trouvé un url-rewriting où aucune signature n'était demandée, mais malheureusement, impossible d'avancer dans le site, url-rewriting était si efficace qu'il réécrivait chaque url et renvoyait toujours sur la page d'accueil.
Oui, je sais que le mutualisé n'est pas forcément idéal, mais étant étudiant et sans revenu, on ne veut pas, en tout cas au début, y laisser trop d'argent. On veut d'abord se faire un petit fond de roulement avant de dépenser de l'argent que nous n'avons pas.
RE: Broutilles-Store : Tests de sécurité - M4ke - 25-02-2012
J'ai trouvé un petit quelque chose ce n'est pas vraiment une faille mais il y a moyen de changer son ip quand on rentre sur le site dans l'en-tête. Il faut écraser VIA dans l'en-tête et le remplacer par une ip.Ce n'est pas faille mais si vous utiliser l'ip des vistiteurs faudrais le corriger.
RE: Broutilles-Store : Tests de sécurité - AnthonyB - 25-02-2012
Ok, je regarderai ça quand j'aurais vraiment terminé la mise en place du site, j'essaierai de changer ça.
Merci !
RE: Broutilles-Store : Tests de sécurité - AnthonyB - 08-03-2012
Bonsoir !
Je tenais à remercier tous ceux qui se sont penchés sur mon cas, que vous ayez répondu ou non.
Je regarderai plus en détail ce que vous m'avez dit dès que j'aurais un peu de temps, je suis un peu chargé en ce moment.
Merci à tous !
RE: Broutilles-Store : Tests de sécurité - Illu6 - 17-04-2012
Salut,
Voilà un tutoriel très bien expliqué pour passer en SSL sans bidouiller l'url-rewriting. :-)
http://www.scout123.net/obtenir-et-installer-un-certificat-ssl-gratuitement-pour-son-site.html
RE: Broutilles-Store : Tests de sécurité - Skaan - 30-08-2012
Ton site possède une faille csrf à l'index.
RE: Broutilles-Store : Tests de sécurité - st0rm3 - 22-10-2012
Je vient mettre mon petit grain de sel j'ai vu que vous disiez que si le site étais sous un hébergement mutualisé et que un des site web du server étais faillible
celas pourrait provoquer un piratage je suppose que tu parle d'une attaque par symlink, je rebond pas forcement si il est pas chez un guignol
