+- N-PN White-Hat Project (https://dev.n-pn.fr/forum)
+-- Forum : Communauté (https://dev.n-pn.fr/forum/forumdisplay.php?fid=10)
+--- Forum : Faites tester vos sites (https://dev.n-pn.fr/forum/forumdisplay.php?fid=21)
+--- Sujet : iShack - Upload d'images (/showthread.php?tid=3026)
iShack - Upload d'images - Mazaki - 24-05-2013
Hi :]
Aujourd'hui je propose de faire tester mon site web, qui est un site d'upload d'images (un CMS que j'ai développé moi même).
Le site dispose de 2 systèmes d'upload : Upload direct (importation via PC) et Upload via URL (qui ne m'inspire pas confiance par contre, j'ai sécurisé au maximum le code pourtant et tout m'a l'air ok
).Il dispose aussi d'autres fonctionnalités: Dispo en plusieurs langages, système de connexion, voir ses fichiers uploadés, une administration, une galerie pour les images publiques).
Personnellement, le peu que j'ai trouvé a été corrigé.
Le lien, http://ishack.eu/
Je vous remercie par avance :]
Cdt.
RE: iShack - Upload d'images - CyberSee - 24-05-2013
Salut, je n’ai pas testé à fond, mais au premier abord, ton script a l'aire d'être bien sécurisé. Par contre, on peut téléverser n'importe quoi avec un non du type "index.php#.jpg" mais ton script rebâtit l'image donc on se retrouve avec une image cassé. Si l'original ce trouve dans ton serveur Ex un fichier tmp ou cache accessible via le web ton script est vulnérable sinon toute est OK. Je vais faire un peu plus de pentesting en soirée ou demain.
Quelques points à modifié:
Quand on s'inscrit et qu'on provoque une erreur, le formulaire est reset
Ce serait bien un lien pour téléverser via la page "mes uploads"
Good job ;-)
Avant d'aller plus loin, ce serais bien que tu prouve que cette demande de pentesting est légitime en suivant les règles. http://n-pn.fr/forum/showthread.php?tid=1888
a+
RE: iShack - Upload d'images - Mazaki - 25-05-2013
Merci de ton message, oui en effet le fichier PHP uploadé est rebâtit, je doit revoir ça. (Même si l'original ne se trouve pas dans le serveur, dans la galerie publique, c'est pas beau apres).
Je vais aussi faire quelque chose pour les .tiff dans la galerie publique aussi
Je ferais un système de $_SESSION pour empêcher le reset du formulaire.
Désolé pour le règlement, je viens de faire le N-PN.html :]
EDIT:
- Système de SESSION pour empêcher reset du formulaire OK.
RE: iShack - Upload d'images - sakiir - 25-05-2013
http://ishack.eu/uploaded/public/
Fais gaff ici , on a pas ma d'info sur ton serveur
Si non le site est tres joulie !
RE: iShack - Upload d'images - Mazaki - 25-05-2013
Merci sakiir :]
J'ai réglé temporairement le problème, un peu sauvagement.
RE: iShack - Upload d'images - Sh4dows - 08-06-2013
@Mazaki tu as use ça ( https://jetstrap.com/?login=1 ) pour le template non ?
RE: iShack - Upload d'images - Mazaki - 08-06-2013
(08-06-2013, 22h03)Sh4dows a écrit : @Mazaki tu as use ça ( https://jetstrap.com/?login=1 ) pour le template non ?
En effet, nous travaillons désormais sur une autre template bien évidemment celle-ci n'étant que temporaire étant donné qu'elle ne respecte pas le fait qu'elle n'est pas unique.
RE: iShack - Upload d'images - Trivial - 09-06-2013
(08-06-2013, 22h37)Mazaki a écrit :(08-06-2013, 22h03)Sh4dows a écrit : @Mazaki tu as use ça ( https://jetstrap.com/?login=1 ) pour le template non ?
En effet, nous travaillons désormais sur une autre template bien évidemment celle-ci n'étant que temporaire étant donné qu'elle ne respecte pas le fait qu'elle n'est pas unique.
Tu participes avec qui pour ce "projet"?
RE: iShack - Upload d'images - Mazaki - 09-06-2013
(09-06-2013, 19h53)Trivial a écrit :(08-06-2013, 22h37)Mazaki a écrit :(08-06-2013, 22h03)Sh4dows a écrit : @Mazaki tu as use ça ( https://jetstrap.com/?login=1 ) pour le template non ?
En effet, nous travaillons désormais sur une autre template bien évidemment celle-ci n'étant que temporaire étant donné qu'elle ne respecte pas le fait qu'elle n'est pas unique.
Tu participes avec qui pour ce "projet"?
J'avais commencé avec un ami, aussi développeur PHP, mais désormais je suis seul pour ce projet, soit la gestion de 2 x 2 To et d'un script PHP complet à surveiller, développer etc. chaque jour.