• STATISTIQUES
  • Il y a eu un total de 0 membres et 33061 visiteurs sur le site dans les dernières 24h pour un total de 33 061 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [EN] Lost-chall
    Site de challenge présenté sous la forme de différente saison. Pour passer une saison vous devez avoir accumulÃ...
    Challenges
    [EN] Rosecode
    Programming: 36, Math: 29, Probability: 5, Sequence: 7, Crypto: 4, Brainf**k: 13, TimeRace: 4, Hack: 9
    Challenges
    [FR] NewbieContest
    Nous vous proposons une série de challenges regroupant plusieurs domaines allant de l'exploitation de fail...
    Hacking
    [EN] Astalavista
    JavaScript: 1, Exploit: 2, Crypto: 34, CrackIt: 15, Stegano: 8, Programming: 12, Logic: 36, Special: 6, Science: 4, Info...
    Challenges
    [FR] Infomirmo
    Challenge présenté sous la forme de 6 niveaux de difficultés diverses et variées avec chacun plusieurs chall...
    Challenges
    [EN] Packet Storm
    Packet Storm est un site qui combine nouvelles de la sécurité informatique, téléchargemen...
    Vulnérabilités
    [FR] Root-me
    Script: 5, Système: 20, Cracking: 16, Cryptanalyse: 17, Programmation: 8, Réaliste: 11, Réseau: 10, Stéganog...
    Challenges

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!

    €



Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
iShack - Upload d'images
24-05-2013, 20h09
Message : #1
Mazaki Hors ligne
root@Mazaki~#
*



Messages : 88
Sujets : 7
Points: 13
Inscription : May 2013
iShack - Upload d'images
Hi :]

Aujourd'hui je propose de faire tester mon site web, qui est un site d'upload d'images (un CMS que j'ai développé moi même).

Le site dispose de 2 systèmes d'upload : Upload direct (importation via PC) et Upload via URL (qui ne m'inspire pas confiance par contre, j'ai sécurisé au maximum le code pourtant et tout m'a l'air ok Big Grin).

Il dispose aussi d'autres fonctionnalités: Dispo en plusieurs langages, système de connexion, voir ses fichiers uploadés, une administration, une galerie pour les images publiques).

Personnellement, le peu que j'ai trouvé a été corrigé.

Le lien, http://ishack.eu/

Je vous remercie par avance :]

Cdt.
" Signature en construction, revenez dans quelques années. "

+1 (0) -1 (0) Répondre
24-05-2013, 20h47 (Modification du message : 24-05-2013, 20h49 par CyberSee.)
Message : #2
CyberSee Hors ligne
Admin fondateur de N-PN
*******



Messages : 1,721
Sujets : 287
Points: 157
Inscription : Jan 2012
RE: iShack - Upload d'images
Salut, je n’ai pas testé à fond, mais au premier abord, ton script a l'aire d'être bien sécurisé. Par contre, on peut téléverser n'importe quoi avec un non du type "index.php#.jpg" mais ton script rebâtit l'image donc on se retrouve avec une image cassé. Si l'original ce trouve dans ton serveur Ex un fichier tmp ou cache accessible via le web ton script est vulnérable sinon toute est OK. Je vais faire un peu plus de pentesting en soirée ou demain.

Quelques points à modifié:
Quand on s'inscrit et qu'on provoque une erreur, le formulaire est reset
Ce serait bien un lien pour téléverser via la page "mes uploads"

Good job ;-)

Avant d'aller plus loin, ce serais bien que tu prouve que cette demande de pentesting est légitime en suivant les règles. http://n-pn.fr/forum/showthread.php?tid=1888

a+
Code PHP :
<?php
$pape 
"pape"; echo $pape
// Le $pape en string!
?>
+1 (0) -1 (0) Répondre
25-05-2013, 01h03 (Modification du message : 25-05-2013, 01h03 par Mazaki.)
Message : #3
Mazaki Hors ligne
root@Mazaki~#
*



Messages : 88
Sujets : 7
Points: 13
Inscription : May 2013
RE: iShack - Upload d'images
Merci de ton message, oui en effet le fichier PHP uploadé est rebâtit, je doit revoir ça. (Même si l'original ne se trouve pas dans le serveur, dans la galerie publique, c'est pas beau apres).

Je vais aussi faire quelque chose pour les .tiff dans la galerie publique aussi

Je ferais un système de $_SESSION pour empêcher le reset du formulaire.

Désolé pour le règlement, je viens de faire le N-PN.html :]

EDIT:
- Système de SESSION pour empêcher reset du formulaire OK.
" Signature en construction, revenez dans quelques années. "

+1 (0) -1 (0) Répondre
25-05-2013, 09h07
Message : #4
sakiir Hors ligne
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de
*



Messages : 411
Sujets : 51
Points: 34
Inscription : Sep 2012
RE: iShack - Upload d'images
http://ishack.eu/uploaded/public/
Fais gaff ici , on a pas ma d'info sur ton serveur Smile
Si non le site est tres joulie !
+1 (0) -1 (0) Répondre
25-05-2013, 13h06
Message : #5
Mazaki Hors ligne
root@Mazaki~#
*



Messages : 88
Sujets : 7
Points: 13
Inscription : May 2013
RE: iShack - Upload d'images
Merci sakiir :]

J'ai réglé temporairement le problème, un peu sauvagement.
" Signature en construction, revenez dans quelques années. "

+1 (0) -1 (0) Répondre
08-06-2013, 22h03 (Modification du message : 08-06-2013, 22h04 par Sh4dows.)
Message : #6
Sh4dows Hors ligne
Tweetos
*



Messages : 293
Sujets : 5
Points: 49
Inscription : Dec 2012
RE: iShack - Upload d'images
@Mazaki tu as use ça ( https://jetstrap.com/?login=1 ) pour le template non ?
Faites ce que je dis et non ce que je fais !
+1 (0) -1 (0) Répondre
08-06-2013, 22h37 (Modification du message : 08-06-2013, 22h38 par Mazaki.)
Message : #7
Mazaki Hors ligne
root@Mazaki~#
*



Messages : 88
Sujets : 7
Points: 13
Inscription : May 2013
RE: iShack - Upload d'images
(08-06-2013, 22h03)Sh4dows a écrit : @Mazaki tu as use ça ( https://jetstrap.com/?login=1 ) pour le template non ?

En effet, nous travaillons désormais sur une autre template bien évidemment celle-ci n'étant que temporaire étant donné qu'elle ne respecte pas le fait qu'elle n'est pas unique.
" Signature en construction, revenez dans quelques années. "

+1 (1) -1 (0) Répondre
09-06-2013, 19h53
Message : #8
Trivial Hors ligne
Membre actif
*



Messages : 223
Sujets : 10
Points: 29
Inscription : Aug 2011
RE: iShack - Upload d'images
(08-06-2013, 22h37)Mazaki a écrit :
(08-06-2013, 22h03)Sh4dows a écrit : @Mazaki tu as use ça ( https://jetstrap.com/?login=1 ) pour le template non ?

En effet, nous travaillons désormais sur une autre template bien évidemment celle-ci n'étant que temporaire étant donné qu'elle ne respecte pas le fait qu'elle n'est pas unique.

Tu participes avec qui pour ce "projet"?
Citation :manger informatique, dormir informatique, chier informatique sans jamais avoir l'impression que ça nous accable ou que c'est relou, c'est ça être passionné - j0rn
+1 (0) -1 (0) Répondre
09-06-2013, 19h56
Message : #9
Mazaki Hors ligne
root@Mazaki~#
*



Messages : 88
Sujets : 7
Points: 13
Inscription : May 2013
RE: iShack - Upload d'images
(09-06-2013, 19h53)Trivial a écrit :
(08-06-2013, 22h37)Mazaki a écrit :
(08-06-2013, 22h03)Sh4dows a écrit : @Mazaki tu as use ça ( https://jetstrap.com/?login=1 ) pour le template non ?

En effet, nous travaillons désormais sur une autre template bien évidemment celle-ci n'étant que temporaire étant donné qu'elle ne respecte pas le fait qu'elle n'est pas unique.

Tu participes avec qui pour ce "projet"?

J'avais commencé avec un ami, aussi développeur PHP, mais désormais je suis seul pour ce projet, soit la gestion de 2 x 2 To et d'un script PHP complet à surveiller, développer etc. chaque jour.
" Signature en construction, revenez dans quelques années. "

+1 (0) -1 (0) Répondre


Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut