Broutilles-Store : Tests de sécurité
|
09-02-2012, 02h25
(Modification du message : 09-02-2012, 03h09 par AnthonyB.)
Message : #1
|
|
AnthonyB
Newbie Messages : 10 Sujets : 2 Points: 0 Inscription : Dec 2011 |
Broutilles-Store : Tests de sécurité
Bonjour messieurs, voire mesdames s'il y en a.
Je viens demander votre aide aujourd'hui car je ne suis tout simplement pas assez doué pour faire ceci par moi-même, et que vous me semblez les plus à-mêmes de faire ce dont j'ai besoin, les membres du forum Prestashop n'étant selon moi pas très orientés sécurité mais plus templates liés au fonctionnement du système. Mais je m'égare. J'ai pour projet avec un ami d'ouvrir une petite boutique en ligne du nom de Broutilles-Store. Cette boutique n'est pas un projet d'avenir (bien qu'elle pourrait le devenir si ça marchait vraiment), ni pour moi, ni pour mon ami, mais une expérience pouvant d'un côté, nous ramener un petit billet pour arrondir les fins de mois, et dans un second temps, appuyer ma candidature en école de commerce cette année (avec l'argument "Je n'ai pas peur de me lancer, d'entreprendre, etc...). Pour des raison de simplicité, ne m'y connaissant pas suffisamment pour créer la structure du site de mes propres mains, on a décidé de se lancer avec Prestashop (v1.4.6.2). Le thème est un thème gratuit que j'ai remanié dans beaucoup de détails, mais la base reste identique (Lien du thème de base). Bien que ce ne soit pas un projet d'avenir, nous tenons à rester sérieux, et garantir le maximum de sécurité, tant pour nous que pour nos clients. C'est pourquoi je vous sollicite afin de m'aider à déceler les éventuelles failles "primaires" auxquelles un petit merdeux avec vraiment le minimum de connaissance en informatique pourrait faire appel. Vu l'importance du projet, je doute qu'un hacker aille chercher bien loin sur notre site, il s'embêterait beaucoup pour au final peu de chose. Pour le moment, le site est encore fermé, et j'en profite donc pour faire appel à vous dès maintenant, pour pouvoir l'ouvrir dans les meilleures conditions. Ne faites pas attention au décompte en page d'accueil, il n'est là que pour la décoration, bien que fonctionnel. Le site devrait ouvrir aux alentours du 8-10 mars. Le fichier avec l'autorisation que je vous donne de tester de tester mon site est situé à la racine du site et s'appelle npn.html Pour rentrer dans la partie site à partir de la page d'accueil, il suffit de cliquer sur le mot "jeunes" dans la phrase "Tendance de jeunes créateurs". Voici le lien : Broutilles-Store Je remercie grandement ceux qui accepteront de m'aider. Cordialement, Anthony. Edit : Cela peut sans doute être important pour vous, donc je le précise : Mon site est hébergé chez OVH, avec un pack Perso. |
|
14-02-2012, 19h01
Message : #2
|
|
Dobry
Tueur de lamouz Messages : 206 Sujets : 25 Points: 73 Inscription : Aug 2011 |
RE: Broutilles-Store : Tests de sécurité
Ce n'est pas une faille (je pense) mais un problème de gestion, avec une petite XSS dans la recherche, il nous renvoi vers une page qui n'existe pas http://broutilles-store.fr/prestashop/undefined
j'ai simplement mis "/><script>alert(1);</script> dans la recherche.
Aestuārium Erudītiōnis
There are only two hard things in Computer Science: cache invalidation, naming things, and off-by-one errors.
|
|
14-02-2012, 21h02
Message : #3
|
|
AnthonyB
Newbie Messages : 10 Sujets : 2 Points: 0 Inscription : Dec 2011 |
RE: Broutilles-Store : Tests de sécurité
Tout d'abord, permettez moi de vous tutoyer.
Sais-tu comment corriger cela ? |
|
14-02-2012, 21h36
Message : #4
|
|
Di0Sasm
Chimiste Messages : 922 Sujets : 56 Points: 92 Inscription : Aug 2011 |
RE: Broutilles-Store : Tests de sécurité
Il te renvoie sur une 404 donc ce n'est pas gênant, tu peux nous tutoyer bien évidemment. Désolé le forum vient de ré-ouvrir donc y a pas trop monde pour tester ton site.Mais déjà tu as un Prestashop donc les failles sont quand même vu avant, apparemment ils avaient une faille assez importante qui à était bouché, après tout dépend si tu est mutualisé ou sur dédié ?
|
|
14-02-2012, 23h01
(Modification du message : 14-02-2012, 23h02 par AnthonyB.)
Message : #5
|
|
AnthonyB
Newbie Messages : 10 Sujets : 2 Points: 0 Inscription : Dec 2011 |
RE: Broutilles-Store : Tests de sécurité
Pour le moment, on a opté pour une offre mutualisée, en attendant de voir si ça marche comme on veut.
Pour ce qui est des éventuelles failles, je ne m'inquiète pas spécialement de Prestashop puisqu'en théorie, une équipe s'occupe de ça tout spécialement. Je m'inquiète plus de ce que j'ai modifié et qui risquerait d'avoir endommagé la sécurité. On n'est jamais trop prudent. |
|
14-02-2012, 23h05
(Modification du message : 14-02-2012, 23h19 par Di0Sasm.)
Message : #6
|
|
Di0Sasm
Chimiste Messages : 922 Sujets : 56 Points: 92 Inscription : Aug 2011 |
RE: Broutilles-Store : Tests de sécurité
J'ai pas forcément trop le temps mais un mutualisé avec un site d'achat, ça fait pas forcément bon ménage. Si un site annexe est faillible tu te feras poutrer et t'es client aussi, tu as le https pour les paiements ?
Au mieux fait un compte test et donne les accès en pv. |
|
15-02-2012, 01h15
Message : #7
|
|
AnthonyB
Newbie Messages : 10 Sujets : 2 Points: 0 Inscription : Dec 2011 |
RE: Broutilles-Store : Tests de sécurité
Non, j'ai pas encore de https, mais je pense sérieusement à le prendre. Vous pensez donc que ça vaut effectivement le coup ?
Si oui, comment y passer ? Je sais que je peux magouiller avec un url-rewriting, mais le visiteur doit accepter un message, ce que je ne désire pas. J'ai essayé, j'avais trouvé un url-rewriting où aucune signature n'était demandée, mais malheureusement, impossible d'avancer dans le site, url-rewriting était si efficace qu'il réécrivait chaque url et renvoyait toujours sur la page d'accueil. Oui, je sais que le mutualisé n'est pas forcément idéal, mais étant étudiant et sans revenu, on ne veut pas, en tout cas au début, y laisser trop d'argent. On veut d'abord se faire un petit fond de roulement avant de dépenser de l'argent que nous n'avons pas. |
|
25-02-2012, 03h14
Message : #8
|
|
M4ke
Newbie Messages : 9 Sujets : 1 Points: 0 Inscription : Dec 2011 |
RE: Broutilles-Store : Tests de sécurité
J'ai trouvé un petit quelque chose ce n'est pas vraiment une faille mais il y a moyen de changer son ip quand on rentre sur le site dans l'en-tête. Il faut écraser VIA dans l'en-tête et le remplacer par une ip.Ce n'est pas faille mais si vous utiliser l'ip des vistiteurs faudrais le corriger.
|
|
25-02-2012, 13h22
Message : #9
|
|
AnthonyB
Newbie Messages : 10 Sujets : 2 Points: 0 Inscription : Dec 2011 |
RE: Broutilles-Store : Tests de sécurité
Ok, je regarderai ça quand j'aurais vraiment terminé la mise en place du site, j'essaierai de changer ça.
Merci ! |
|
08-03-2012, 01h54
(Modification du message : 08-03-2012, 01h58 par AnthonyB.)
Message : #10
|
|
AnthonyB
Newbie Messages : 10 Sujets : 2 Points: 0 Inscription : Dec 2011 |
RE: Broutilles-Store : Tests de sécurité
Bonsoir !
Je tenais à remercier tous ceux qui se sont penchés sur mon cas, que vous ayez répondu ou non. Je regarderai plus en détail ce que vous m'avez dit dès que j'aurais un peu de temps, je suis un peu chargé en ce moment. Merci à tous ! |
|
17-04-2012, 21h43
Message : #11
|
|
Illu6
Newbie Messages : 11 Sujets : 2 Points: 0 Inscription : Apr 2012 |
RE: Broutilles-Store : Tests de sécurité
Salut,
Voilà un tutoriel très bien expliqué pour passer en SSL sans bidouiller l'url-rewriting. :-) http://www.scout123.net/obtenir-et-insta...-site.html |
|
30-08-2012, 13h42
Message : #12
|
|
Skaan
Testeur Messages : 7 Sujets : 2 Points: 0 Inscription : Aug 2012 |
RE: Broutilles-Store : Tests de sécurité
Ton site possède une faille csrf à l'index.
|
|
22-10-2012, 19h29
Message : #13
|
|
st0rm3
Newbie Messages : 8 Sujets : 1 Points: 0 Inscription : Oct 2012 |
RE: Broutilles-Store : Tests de sécurité
Je vient mettre mon petit grain de sel j'ai vu que vous disiez que si le site étais sous un hébergement mutualisé et que un des site web du server étais faillible
celas pourrait provoquer un piratage je suppose que tu parle d'une attaque par symlink, je rebond pas forcement si il est pas chez un guignol |
|
« Sujet précédent | Sujet suivant »
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
Sécurité de mon site | Champoad | 0 | 207 |
15-10-2016, 15h24 Dernier message: Champoad |
|
UAG CMS : Test de sécurité | ThibauT | 7 | 479 |
24-11-2012, 12h43 Dernier message: InstinctHack |
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)