• STATISTIQUES
  • Il y a eu un total de 0 membres et 50310 visiteurs sur le site dans les dernières 24h pour un total de 50 310 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [FR] dcode
    dcode.fr est le site indispensable pour décoder des messages, tricher aux jeux de lettres, résoudre des énigmes...
    Outils / Add-on
    [EN] HackQuest
    Logic: 12, JavaScript: 14, Applet: 6, CrackIt: 13, Crypto: 11, Internet: 3, Exploit: 7, Stegano: 12, Flash: 1, Programmi...
    Challenges
    [EN] Big-Daddy
    Big-Daddy est site internet communautaire avec un effectif diversifié, y compris des artistes, des programmeur...
    Hacking
    [EN] Astalavista
    JavaScript: 1, Exploit: 2, Crypto: 34, CrackIt: 15, Stegano: 8, Programming: 12, Logic: 36, Special: 6, Science: 4, Info...
    Challenges
    [EN] PHPFreaks
    PHPFreaks est un site dédié à l'apprentissage et l'enseignement du PHP. Ici vous trouver...
    Programmation
    [EN] hax.tor
    50 level de challenges mélangés
    Challenges
    [FR] Developpez.net
    Un forum communautaire qui se veut pour les développeurs en générale. Avec presque 500 000 membr...
    Programmation

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
iShack - Upload d'images
24-05-2013, 20h09
Message : #1
Mazaki Hors ligne
root@Mazaki~#
*



Messages : 88
Sujets : 7
Points: 13
Inscription : May 2013
iShack - Upload d'images
Hi :]

Aujourd'hui je propose de faire tester mon site web, qui est un site d'upload d'images (un CMS que j'ai développé moi même).

Le site dispose de 2 systèmes d'upload : Upload direct (importation via PC) et Upload via URL (qui ne m'inspire pas confiance par contre, j'ai sécurisé au maximum le code pourtant et tout m'a l'air ok Big Grin).

Il dispose aussi d'autres fonctionnalités: Dispo en plusieurs langages, système de connexion, voir ses fichiers uploadés, une administration, une galerie pour les images publiques).

Personnellement, le peu que j'ai trouvé a été corrigé.

Le lien, http://ishack.eu/

Je vous remercie par avance :]

Cdt.
" Signature en construction, revenez dans quelques années. "

+1 (0) -1 (0) Répondre
24-05-2013, 20h47 (Modification du message : 24-05-2013, 20h49 par CyberSee.)
Message : #2
CyberSee Hors ligne
Admin fondateur de N-PN
*******



Messages : 1,721
Sujets : 287
Points: 157
Inscription : Jan 2012
RE: iShack - Upload d'images
Salut, je n’ai pas testé à fond, mais au premier abord, ton script a l'aire d'être bien sécurisé. Par contre, on peut téléverser n'importe quoi avec un non du type "index.php#.jpg" mais ton script rebâtit l'image donc on se retrouve avec une image cassé. Si l'original ce trouve dans ton serveur Ex un fichier tmp ou cache accessible via le web ton script est vulnérable sinon toute est OK. Je vais faire un peu plus de pentesting en soirée ou demain.

Quelques points à modifié:
Quand on s'inscrit et qu'on provoque une erreur, le formulaire est reset
Ce serait bien un lien pour téléverser via la page "mes uploads"

Good job ;-)

Avant d'aller plus loin, ce serais bien que tu prouve que cette demande de pentesting est légitime en suivant les règles. http://n-pn.fr/forum/showthread.php?tid=1888

a+
Code PHP :
<?php
$pape 
"pape"; echo $pape
// Le $pape en string!
?>
+1 (0) -1 (0) Répondre
25-05-2013, 01h03 (Modification du message : 25-05-2013, 01h03 par Mazaki.)
Message : #3
Mazaki Hors ligne
root@Mazaki~#
*



Messages : 88
Sujets : 7
Points: 13
Inscription : May 2013
RE: iShack - Upload d'images
Merci de ton message, oui en effet le fichier PHP uploadé est rebâtit, je doit revoir ça. (Même si l'original ne se trouve pas dans le serveur, dans la galerie publique, c'est pas beau apres).

Je vais aussi faire quelque chose pour les .tiff dans la galerie publique aussi

Je ferais un système de $_SESSION pour empêcher le reset du formulaire.

Désolé pour le règlement, je viens de faire le N-PN.html :]

EDIT:
- Système de SESSION pour empêcher reset du formulaire OK.
" Signature en construction, revenez dans quelques années. "

+1 (0) -1 (0) Répondre
25-05-2013, 09h07
Message : #4
sakiir Hors ligne
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de
*



Messages : 411
Sujets : 51
Points: 34
Inscription : Sep 2012
RE: iShack - Upload d'images
http://ishack.eu/uploaded/public/
Fais gaff ici , on a pas ma d'info sur ton serveur Smile
Si non le site est tres joulie !
+1 (0) -1 (0) Répondre
25-05-2013, 13h06
Message : #5
Mazaki Hors ligne
root@Mazaki~#
*



Messages : 88
Sujets : 7
Points: 13
Inscription : May 2013
RE: iShack - Upload d'images
Merci sakiir :]

J'ai réglé temporairement le problème, un peu sauvagement.
" Signature en construction, revenez dans quelques années. "

+1 (0) -1 (0) Répondre
08-06-2013, 22h03 (Modification du message : 08-06-2013, 22h04 par Sh4dows.)
Message : #6
Sh4dows Hors ligne
Tweetos
*



Messages : 293
Sujets : 5
Points: 49
Inscription : Dec 2012
RE: iShack - Upload d'images
@Mazaki tu as use ça ( https://jetstrap.com/?login=1 ) pour le template non ?
Faites ce que je dis et non ce que je fais !
+1 (0) -1 (0) Répondre
08-06-2013, 22h37 (Modification du message : 08-06-2013, 22h38 par Mazaki.)
Message : #7
Mazaki Hors ligne
root@Mazaki~#
*



Messages : 88
Sujets : 7
Points: 13
Inscription : May 2013
RE: iShack - Upload d'images
(08-06-2013, 22h03)Sh4dows a écrit : @Mazaki tu as use ça ( https://jetstrap.com/?login=1 ) pour le template non ?

En effet, nous travaillons désormais sur une autre template bien évidemment celle-ci n'étant que temporaire étant donné qu'elle ne respecte pas le fait qu'elle n'est pas unique.
" Signature en construction, revenez dans quelques années. "

+1 (1) -1 (0) Répondre
09-06-2013, 19h53
Message : #8
Trivial Hors ligne
Membre actif
*



Messages : 223
Sujets : 10
Points: 29
Inscription : Aug 2011
RE: iShack - Upload d'images
(08-06-2013, 22h37)Mazaki a écrit :
(08-06-2013, 22h03)Sh4dows a écrit : @Mazaki tu as use ça ( https://jetstrap.com/?login=1 ) pour le template non ?

En effet, nous travaillons désormais sur une autre template bien évidemment celle-ci n'étant que temporaire étant donné qu'elle ne respecte pas le fait qu'elle n'est pas unique.

Tu participes avec qui pour ce "projet"?
Citation :manger informatique, dormir informatique, chier informatique sans jamais avoir l'impression que ça nous accable ou que c'est relou, c'est ça être passionné - j0rn
+1 (0) -1 (0) Répondre
09-06-2013, 19h56
Message : #9
Mazaki Hors ligne
root@Mazaki~#
*



Messages : 88
Sujets : 7
Points: 13
Inscription : May 2013
RE: iShack - Upload d'images
(09-06-2013, 19h53)Trivial a écrit :
(08-06-2013, 22h37)Mazaki a écrit :
(08-06-2013, 22h03)Sh4dows a écrit : @Mazaki tu as use ça ( https://jetstrap.com/?login=1 ) pour le template non ?

En effet, nous travaillons désormais sur une autre template bien évidemment celle-ci n'étant que temporaire étant donné qu'elle ne respecte pas le fait qu'elle n'est pas unique.

Tu participes avec qui pour ce "projet"?

J'avais commencé avec un ami, aussi développeur PHP, mais désormais je suis seul pour ce projet, soit la gestion de 2 x 2 To et d'un script PHP complet à surveiller, développer etc. chaque jour.
" Signature en construction, revenez dans quelques années. "

+1 (0) -1 (0) Répondre


Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut