• STATISTIQUES
  • Il y a eu un total de 0 membres et 28064 visiteurs sur le site dans les dernières 24h pour un total de 28 064 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [EN] Rankk
    Site de challenge construit sur le principe d'une pyramide à 9 level. Level 1: 60,Level 2: 72,Level 3: 68,Lev...
    Challenges
    [FR] InfoMirmo
    Apprentissage de l'informatique par l'intermédiaire de challenges de sécurité. Venez app...
    Hacking
    [EN] Defcon
    Lancé en 1992 par Dark Tangent, DEFCON est la plus ancienne et la plus grande conférence underground de...
    Hacking
    [FR] Hackfest
    Le Hackfest est un évènement de sécurité et de piratage informatique au Québec reg...
    Hacking
    [FR] Root-me
    Script: 5, Système: 20, Cracking: 16, Cryptanalyse: 17, Programmation: 8, Réaliste: 11, Réseau: 10, Stéganog...
    Challenges
    [EN] SecurityFocus
    SecurityFocus a été conçu pour faciliter la discussion sur des sujets liés la sécu...
    Vulnérabilités
    [FR] Comment ca marche
     Gratuit et accessible à tous, ce site de communauté permet de se dépanner, se faire aider ...
    Webmaster

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Broutilles-Store : Tests de sécurité
09-02-2012, 02h25 (Modification du message : 09-02-2012, 03h09 par AnthonyB.)
Message : #1
AnthonyB Hors ligne
Newbie
*



Messages : 10
Sujets : 2
Points: 0
Inscription : Dec 2011
Broutilles-Store : Tests de sécurité
Bonjour messieurs, voire mesdames s'il y en a.

Je viens demander votre aide aujourd'hui car je ne suis tout simplement pas assez doué pour faire ceci par moi-même, et que vous me semblez les plus à-mêmes de faire ce dont j'ai besoin, les membres du forum Prestashop n'étant selon moi pas très orientés sécurité mais plus templates liés au fonctionnement du système. Mais je m'égare.
J'ai pour projet avec un ami d'ouvrir une petite boutique en ligne du nom de Broutilles-Store. Cette boutique n'est pas un projet d'avenir (bien qu'elle pourrait le devenir si ça marchait vraiment), ni pour moi, ni pour mon ami, mais une expérience pouvant d'un côté, nous ramener un petit billet pour arrondir les fins de mois, et dans un second temps, appuyer ma candidature en école de commerce cette année (avec l'argument "Je n'ai pas peur de me lancer, d'entreprendre, etc...).
Pour des raison de simplicité, ne m'y connaissant pas suffisamment pour créer la structure du site de mes propres mains, on a décidé de se lancer avec Prestashop (v1.4.6.2). Le thème est un thème gratuit que j'ai remanié dans beaucoup de détails, mais la base reste identique (Lien du thème de base).

Bien que ce ne soit pas un projet d'avenir, nous tenons à rester sérieux, et garantir le maximum de sécurité, tant pour nous que pour nos clients. C'est pourquoi je vous sollicite afin de m'aider à déceler les éventuelles failles "primaires" auxquelles un petit merdeux avec vraiment le minimum de connaissance en informatique pourrait faire appel. Vu l'importance du projet, je doute qu'un hacker aille chercher bien loin sur notre site, il s'embêterait beaucoup pour au final peu de chose.

Pour le moment, le site est encore fermé, et j'en profite donc pour faire appel à vous dès maintenant, pour pouvoir l'ouvrir dans les meilleures conditions. Ne faites pas attention au décompte en page d'accueil, il n'est là que pour la décoration, bien que fonctionnel. Le site devrait ouvrir aux alentours du 8-10 mars.

Le fichier avec l'autorisation que je vous donne de tester de tester mon site est situé à la racine du site et s'appelle npn.html
Pour rentrer dans la partie site à partir de la page d'accueil, il suffit de cliquer sur le mot "jeunes" dans la phrase "Tendance de jeunes créateurs".

Voici le lien : Broutilles-Store


Je remercie grandement ceux qui accepteront de m'aider.

Cordialement,

Anthony.



Edit : Cela peut sans doute être important pour vous, donc je le précise : Mon site est hébergé chez OVH, avec un pack Perso.
+1 (0) -1 (0) Répondre
14-02-2012, 19h01
Message : #2
Dobry Hors ligne
Tueur de lamouz
*



Messages : 206
Sujets : 25
Points: 73
Inscription : Aug 2011
RE: Broutilles-Store : Tests de sécurité
Ce n'est pas une faille (je pense) mais un problème de gestion, avec une petite XSS dans la recherche, il nous renvoi vers une page qui n'existe pas http://broutilles-store.fr/prestashop/undefined
j'ai simplement mis "/><script>alert(1);</script> dans la recherche.
Aestuārium Erudītiōnis

There are only two hard things in Computer Science: cache invalidation, naming things, and off-by-one errors.
+1 (0) -1 (0) Répondre
14-02-2012, 21h02
Message : #3
AnthonyB Hors ligne
Newbie
*



Messages : 10
Sujets : 2
Points: 0
Inscription : Dec 2011
RE: Broutilles-Store : Tests de sécurité
Tout d'abord, permettez moi de vous tutoyer.
Sais-tu comment corriger cela ?
+1 (0) -1 (0) Répondre
14-02-2012, 21h36
Message : #4
Di0Sasm Hors ligne
Chimiste
*******



Messages : 922
Sujets : 56
Points: 92
Inscription : Aug 2011
RE: Broutilles-Store : Tests de sécurité
Il te renvoie sur une 404 donc ce n'est pas gênant, tu peux nous tutoyer bien évidemment. Désolé le forum vient de ré-ouvrir donc y a pas trop monde pour tester ton site.Mais déjà tu as un Prestashop donc les failles sont quand même vu avant, apparemment ils avaient une faille assez importante qui à était bouché, après tout dépend si tu est mutualisé ou sur dédié ?
+1 (0) -1 (0) Répondre
14-02-2012, 23h01 (Modification du message : 14-02-2012, 23h02 par AnthonyB.)
Message : #5
AnthonyB Hors ligne
Newbie
*



Messages : 10
Sujets : 2
Points: 0
Inscription : Dec 2011
RE: Broutilles-Store : Tests de sécurité
Pour le moment, on a opté pour une offre mutualisée, en attendant de voir si ça marche comme on veut.
Pour ce qui est des éventuelles failles, je ne m'inquiète pas spécialement de Prestashop puisqu'en théorie, une équipe s'occupe de ça tout spécialement. Je m'inquiète plus de ce que j'ai modifié et qui risquerait d'avoir endommagé la sécurité.

On n'est jamais trop prudent.
+1 (0) -1 (0) Répondre
14-02-2012, 23h05 (Modification du message : 14-02-2012, 23h19 par Di0Sasm.)
Message : #6
Di0Sasm Hors ligne
Chimiste
*******



Messages : 922
Sujets : 56
Points: 92
Inscription : Aug 2011
RE: Broutilles-Store : Tests de sécurité
J'ai pas forcément trop le temps mais un mutualisé avec un site d'achat, ça fait pas forcément bon ménage. Si un site annexe est faillible tu te feras poutrer et t'es client aussi, tu as le https pour les paiements ?

Au mieux fait un compte test et donne les accès en pv.
+1 (0) -1 (0) Répondre
15-02-2012, 01h15
Message : #7
AnthonyB Hors ligne
Newbie
*



Messages : 10
Sujets : 2
Points: 0
Inscription : Dec 2011
RE: Broutilles-Store : Tests de sécurité
Non, j'ai pas encore de https, mais je pense sérieusement à le prendre. Vous pensez donc que ça vaut effectivement le coup ?
Si oui, comment y passer ? Je sais que je peux magouiller avec un url-rewriting, mais le visiteur doit accepter un message, ce que je ne désire pas. J'ai essayé, j'avais trouvé un url-rewriting où aucune signature n'était demandée, mais malheureusement, impossible d'avancer dans le site, url-rewriting était si efficace qu'il réécrivait chaque url et renvoyait toujours sur la page d'accueil.

Oui, je sais que le mutualisé n'est pas forcément idéal, mais étant étudiant et sans revenu, on ne veut pas, en tout cas au début, y laisser trop d'argent. On veut d'abord se faire un petit fond de roulement avant de dépenser de l'argent que nous n'avons pas.
+1 (0) -1 (0) Répondre
25-02-2012, 03h14
Message : #8
M4ke Hors ligne
Newbie
*



Messages : 9
Sujets : 1
Points: 0
Inscription : Dec 2011
RE: Broutilles-Store : Tests de sécurité
J'ai trouvé un petit quelque chose ce n'est pas vraiment une faille mais il y a moyen de changer son ip quand on rentre sur le site dans l'en-tête. Il faut écraser VIA dans l'en-tête et le remplacer par une ip.Ce n'est pas faille mais si vous utiliser l'ip des vistiteurs faudrais le corriger.
+1 (0) -1 (0) Répondre
25-02-2012, 13h22
Message : #9
AnthonyB Hors ligne
Newbie
*



Messages : 10
Sujets : 2
Points: 0
Inscription : Dec 2011
RE: Broutilles-Store : Tests de sécurité
Ok, je regarderai ça quand j'aurais vraiment terminé la mise en place du site, j'essaierai de changer ça.

Merci !
+1 (0) -1 (0) Répondre
08-03-2012, 01h54 (Modification du message : 08-03-2012, 01h58 par AnthonyB.)
Message : #10
AnthonyB Hors ligne
Newbie
*



Messages : 10
Sujets : 2
Points: 0
Inscription : Dec 2011
RE: Broutilles-Store : Tests de sécurité
Bonsoir !

Je tenais à remercier tous ceux qui se sont penchés sur mon cas, que vous ayez répondu ou non.
Je regarderai plus en détail ce que vous m'avez dit dès que j'aurais un peu de temps, je suis un peu chargé en ce moment.

Merci à tous !
+1 (0) -1 (0) Répondre
17-04-2012, 21h43
Message : #11
Illu6 Hors ligne
Newbie
*



Messages : 11
Sujets : 2
Points: 0
Inscription : Apr 2012
RE: Broutilles-Store : Tests de sécurité
Salut,
Voilà un tutoriel très bien expliqué pour passer en SSL sans bidouiller l'url-rewriting. :-)
http://www.scout123.net/obtenir-et-insta...-site.html
+1 (0) -1 (0) Répondre
30-08-2012, 13h42
Message : #12
Skaan Hors ligne
Testeur
*



Messages : 7
Sujets : 2
Points: 0
Inscription : Aug 2012
RE: Broutilles-Store : Tests de sécurité
Ton site possède une faille csrf à l'index.
+1 (0) -1 (0) Répondre
22-10-2012, 19h29
Message : #13
st0rm3 Hors ligne
Newbie
*



Messages : 8
Sujets : 1
Points: 0
Inscription : Oct 2012
RE: Broutilles-Store : Tests de sécurité
Je vient mettre mon petit grain de sel j'ai vu que vous disiez que si le site étais sous un hébergement mutualisé et que un des site web du server étais faillible
celas pourrait provoquer un piratage je suppose que tu parle d'une attaque par symlink, je rebond pas forcement si il est pas chez un guignol Smile
+1 (0) -1 (0) Répondre


Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  Sécurité de mon site Champoad 0 203 15-10-2016, 15h24
Dernier message: Champoad
  UAG CMS : Test de sécurité ThibauT 7 479 24-11-2012, 12h43
Dernier message: InstinctHack

Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut