Site de fleur By me
|
13-04-2013, 22h23
(Modification du message : 13-04-2013, 22h34 par airday.)
Message : #1
|
|
airday
Newbie Messages : 24 Sujets : 4 Points: 0 Inscription : Feb 2013 |
Site de fleur By me
Salut,
Je vous fait part de mon site que j'ai fait en BTS, les sites de mes camarades ont pas mal de failles. Moi j'en ai profité pour accentué la sécurité. Je pense que le site a quand même des failles, mais j'ai essayer de limité la casse par rapport à mes collègues de classes http://airday.alwaysdata.net/lafleur J'ai essayer de chercher les failles avec mon propre savoir, du coup je pense qu'il y a des choses que je n'ai pas teste car je n'ai surement pas les connaissances pour. P.S : http://airday.alwaysdata.net/lafleur/npn // Cela certifie que c'est mon site Merci de votre aide. |
|
13-04-2013, 22h38
(Modification du message : 13-04-2013, 22h39 par Sh4dows.)
Message : #2
|
|
Sh4dows
Tweetos Messages : 293 Sujets : 5 Points: 49 Inscription : Dec 2012 |
RE: Site de fleur By me
Salut,
J'ai juste testouille la form d'inscription et en mettant un peu de la m**** on découvre immédiatement une petite XSS permanente : Code : Pseudo : "><h1>TEST</h1><!-- Le résultatest le suivant, dis moi si c'est normal mais j'en doute
Faites ce que je dis et non ce que je fais !
|
|
13-04-2013, 22h39
Message : #3
|
|
Swissky
Bon membre Messages : 523 Sujets : 32 Points: 96 Inscription : Apr 2012 |
RE: Site de fleur By me
Dejà tu devrais mettre un captcha http://airday.alwaysdata.net/lafleur/se_...nregistrer
|
|
13-04-2013, 22h41
(Modification du message : 13-04-2013, 22h42 par airday.)
Message : #4
|
|
airday
Newbie Messages : 24 Sujets : 4 Points: 0 Inscription : Feb 2013 |
RE: Site de fleur By me
Merci de ton aide, j'ai juste oublier de protéger les champs contre le XSS.
Je me suis concentré sur les injections SQL seulement, en tout cas merci @Swissky : au faite c'est un projet d'ecole, du coup j'en aurai pas trop besoin. |
|
13-04-2013, 22h46
(Modification du message : 13-04-2013, 22h48 par Sh4dows.)
Message : #5
|
|
Sh4dows
Tweetos Messages : 293 Sujets : 5 Points: 49 Inscription : Dec 2012 |
RE: Site de fleur By me
De plus j'ai cette erreur avec un "string" au lieu du numéro de téléphone, il faut que tu améliores la communication avec l'utilisateur en lui disant par exemple qu'il est obligé de remplir ce champ. Là on dirait que tu enregistres tout directement dans ta database >< :
Citation :>Warning</b>: PDOStatement::execute() [<a href='pdostatement.execute'>pdostatement.execute</a>]: SQLSTATE[23000]: Integrity constraint violation: 1048 Column 'phone' cannot be null in <b>/home/airday/www/lafleur/model/BDD.model.php</b> on line <b>95</b><br />
Faites ce que je dis et non ce que je fais !
|
|
13-04-2013, 22h54
Message : #6
|
|
airday
Newbie Messages : 24 Sujets : 4 Points: 0 Inscription : Feb 2013 |
RE: Site de fleur By me
@Sh4dows : Merci encore, je découvre pas mal de bug ,
j'essaie de faire des modification, je pense que j'ai mal code ma condition: Code : if(isset($_POST)){ |
|
14-04-2013, 00h03
(Modification du message : 14-04-2013, 00h06 par Polo.)
Message : #7
|
|
Polo
Benêt en chef Messages : 110 Sujets : 4 Points: 25 Inscription : Mar 2013 |
RE: Site de fleur By me
Tiens, je crois que y'a une couille dans l'paté : j'ai manifestement saisi un mot de passe invalide (<7 caractères) du coup j'ai une erreur à l'inscription, et dans le même temps il me dit que mon compte à bien été crée (et c'est tout à fait vrai)
Donc j'ai pas zyeuté plus que ça mais voilà y'a déjà ça à corriger EDIT : (13-04-2013, 22h54)airday a écrit : @Sh4dows : Merci encore, je découvre pas mal de bug ,Ce n'est pas forcément le nombre de conditions imbriquées qui importe au niveau du fonctionnement technique de ton code (quoique) c'est surtout l'utilité qu'elles ont (elles en ont bien une n'est-ce pas ? ^^ ). |
|
14-04-2013, 03h52
Message : #8
|
|
airday
Newbie Messages : 24 Sujets : 4 Points: 0 Inscription : Feb 2013 |
RE: Site de fleur By me
En tout cas, merci de votre aide, cela m'a beaucoup aidé, je vais corriger les petites erreurs tout à l'heure
|
|
14-04-2013, 10h37
(Modification du message : 14-04-2013, 10h38 par Sh4dows.)
Message : #9
|
|
Sh4dows
Tweetos Messages : 293 Sujets : 5 Points: 49 Inscription : Dec 2012 |
RE: Site de fleur By me
(14-04-2013, 00h03)Polo a écrit : Tiens, je crois que y'a une couille dans l'paté : j'ai manifestement saisi un mot de passe invalide (<7 caractères) du coup j'ai une erreur à l'inscription, et dans le même temps il me dit que mon compte à bien été crée (et c'est tout à fait vrai)Exacte, par exemple pour vérifier qu'une variable existe il existe isset(), puis pour vérifier que celle-ci ne soit pas NULL nous avons empty(). Beaucoup utilisent les deux séparement or en vérifiant le contenu d'une variable on vérifie forcément que celle-ci existe si je ne m'abuse !! Du coup tu pourrais faire : Code PHP :
Faites ce que je dis et non ce que je fais !
|
|
14-04-2013, 12h40
(Modification du message : 14-04-2013, 12h41 par airday.)
Message : #10
|
|
airday
Newbie Messages : 24 Sujets : 4 Points: 0 Inscription : Feb 2013 |
RE: Site de fleur By me
Je pense que le probleme doit venir de là .
Apres le : Code : if(isset($_POST)){ Code : strip_tags(htmlspecialchars(addslashes(extract($_POST)))); Je ne sais pas pourquoi j'ai fait ca Et en effectivement, j'ai ajouter des Code : if(isset($_POST['var'])) Code : if(!empty($_POST['var'])) J'aurai mieux fait d'utiliser CodeIgniter ou CakePHP :p Je l'ai coder tout seul, enfin j'ai encore beaucoup de chose à apprendre. Merci en tout cas a vous tous, si vous pouviez m'explique comment je pourrais diminuer encore plus la casse, |
|
14-04-2013, 13h42
Message : #11
|
|
Luxerails
Bon membre Messages : 267 Sujets : 6 Points: 67 Inscription : Aug 2011 |
RE: Site de fleur By me
(14-04-2013, 12h40)airday a écrit : J'ai rajouté cette ligne : wtf ? o_O Premièrement, je ne vois pas trop ce que tu as voulu faire par là , extract() renvoie un int (le nombre de valeurs dans l'array $_POST?) donc faire un strip_tags(htmlspecialchars(addslashes())) dessus... Deuxièmement, c'est TRÈS dangereux. extract($_POST) va transformer tout les variables post du style a=1&b=2 en $a = 1 et $b = 2 → on peut créer, modifier, écraser des variables. |
|
14-04-2013, 13h44
(Modification du message : 14-04-2013, 13h54 par InstinctHack.)
Message : #12
|
|
InstinctHack
Posting Freak Messages : 1,366 Sujets : 184 Points: 299 Inscription : Dec 2011 |
RE: Site de fleur By me
fait plutot un
Code PHP :
@luxerails, il tente de ré-inventer les register_globals Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!" |
|
14-04-2013, 17h58
(Modification du message : 14-04-2013, 18h00 par airday.)
Message : #13
|
|
airday
Newbie Messages : 24 Sujets : 4 Points: 0 Inscription : Feb 2013 |
RE: Site de fleur By me
Bon la seule solution que j'ai trouve été de créer une petite fonction :
Code : function estChaine($valeur, $num){ Je ne savais pas faire autrement, mais pour l'instant cela fonctionne. Je pense que je devrais l'améliorer un peu plus. Pour ce projet, mon binome a fait une application C# qui gere l'administration du site etc..., je lui ai imposé. Pensez vous qu'on peut quand même exploiter le peu de failles qui reste sur le site ? Encore merci à tous |
|
15-04-2013, 00h41
Message : #14
|
|
InstinctHack
Posting Freak Messages : 1,366 Sujets : 184 Points: 299 Inscription : Dec 2011 |
RE: Site de fleur By me
tu devrais regarder du coté des fonctions ctype, tu te rendras compte que tu réinvente la roue (tu sais, t'es pas le premier à programmer en PHP, les fonctions de bases sont déjà codés)
de plus "if(isset($num)" est inutile, si tu met pas le bon nombre d'arguments obligatoire lors d'un appel à une fonction, php vas gueuler. Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!" |
|
15-04-2013, 00h59
(Modification du message : 15-04-2013, 01h03 par airday.)
Message : #15
|
|
airday
Newbie Messages : 24 Sujets : 4 Points: 0 Inscription : Feb 2013 |
RE: Site de fleur By me
@InstinctHack : merci beaucoup, là c'est la chose qui m'a beaucoup aidé, j'ai gagné plusieurs lignes.
Je ne connaissais pas, merci j'en apprend toujours beaucoup avec vous tous |
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
Sécurité de mon site | Champoad | 0 | 205 |
15-10-2016, 15h24 Dernier message: Champoad |
|
Deface mon site ! | thxer | 15 | 792 |
11-02-2013, 09h40 Dernier message: EpicOut |
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)