• STATISTIQUES
  • Il y a eu un total de 0 membres et 27247 visiteurs sur le site dans les dernières 24h pour un total de 27 247 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [EN] Exploit-db
    Une base de données d'exploits triés par genre (GHDB, Remote, Local, Web, DOS, ShellCode) à ...
    Vulnérabilités
    [FR] PHP Débutant
    Apprendre le PHP par l'exemple, facilement et simplement. Réservé d'abord aux débutants....
    Programmation
    [EN] Security Traps
    Site de challenge qui prétend être construit non pas dans le but de parfaire vos connaissances, mais plutôt dan...
    Challenges
    [FR] Le top web
    Nous offrons une sélection la plus large possible de resources webmaster gratuites, hébergement gratuit...
    Webmaster
    [EN] Reddit
    Subreddit dédié à la sécurité informatique.
    Hacking
    [FR] Forum-Webmaster
    Une communauté webmaster pour apporter / recevoir de l'aide en création de site internet. Webmaster...
    Webmaster
    [EN] Lost-chall
    Site de challenge présenté sous la forme de différente saison. Pour passer une saison vous devez avoir accumulÃ...
    Challenges

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!

    €



Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
UAG CMS : Test de sécurité
12-11-2012, 23h38
Message : #1
ThibauT Hors ligne
Keyboard not found, press F1 to resume.
*



Messages : 348
Sujets : 6
Points: 69
Inscription : Jun 2012
UAG CMS : Test de sécurité
Salut les amis,

J'ai un ami de ServerFight qui un codé un petit cms, qui vise plus des petits sites avec des petits hébergeurs sans base de données.
J'aimerai que vous le testiez pour lui, enfin, vu qu'il ne fais pas partit des membres de cet board, je comprendrais votre refus.

J'ai déjà fait une petite vérification, et je lui ai signalé que son script d'upload n'est pas vraiment sécurisé, ce n'est donc pas la peine de revenir dessus, il va corrigé ça.

Vous pouvez télécharger le cms ici : http://julien-et-nel.be/UAG/
J'ai également upload son cms pour que vous puissiez le tester directement.

http://uag.ostreaming.net

Compte admin :
id : test
mdp : admin

Je vous remercie d'avance, je lui enverrai votre bilan par mail.
Martin Golding a écrit :"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live."

Gnomino a écrit :et quand je suis payé je fais ce qu'on me demande :B
+1 (0) -1 (0) Répondre
13-11-2012, 00h06
Message : #2
Drku Hors ligne
Je suis un cheval
*



Messages : 28
Sujets : 4
Points: 0
Inscription : Aug 2011
RE: UAG CMS : Test de sécurité
http://uag.ostreaming.net/admin/configuration.txt normal ?
+1 (0) -1 (0) Répondre
13-11-2012, 00h07
Message : #3
ThibauT Hors ligne
Keyboard not found, press F1 to resume.
*



Messages : 348
Sujets : 6
Points: 69
Inscription : Jun 2012
RE: UAG CMS : Test de sécurité
(13-11-2012, 00h06)Drku a écrit : http://uag.ostreaming.net/admin/configuration.txt normal ?

Non, je viens de lui faire remarquer il y a peine 5 minutes :p
Martin Golding a écrit :"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live."

Gnomino a écrit :et quand je suis payé je fais ce qu'on me demande :B
+1 (0) -1 (0) Répondre
13-11-2012, 00h10 (Modification du message : 13-11-2012, 00h10 par Drku.)
Message : #4
Drku Hors ligne
Je suis un cheval
*



Messages : 28
Sujets : 4
Points: 0
Inscription : Aug 2011
RE: UAG CMS : Test de sécurité
Il devrait plutôt se connecter sur son espace d'administration avec l'aide d'une base de donnée.
+1 (0) -1 (0) Répondre
13-11-2012, 00h13 (Modification du message : 13-11-2012, 00h14 par Swissky.)
Message : #5
Swissky Absent
Bon membre
*



Messages : 523
Sujets : 32
Points: 96
Inscription : Apr 2012
RE: UAG CMS : Test de sécurité
En regardant rapidement:
dans la source de http://uag.ostreaming.net/admin/ajouter_news.php
on a : <script type="text/javascript">addEvt(window,'load',whizzywig);</script> et le body avec la fonction onload='whizzy..." bref c'est un peu useless ?
Apparemment la page deconnexion est pas super sécure, imaginons que la mette en iframe dans un site quelconque , tu seras déconnecté directement (après c'est pas d'une réelle utilité ^^')

Critique: http://uag.ostreaming.net/admin/configuration.txt
Identifiant admin et autres données :Test pour n pn-fr-ThibauT--https://www.google.fr/-defaut1.css-test-admin-
De base stocker des info en clair c'est pas bon , alors sois tu mets un .htaccess ou alors tu cryptes les données avec un algo de ta création, tu peux aussi faire un mix, je te conseille aussi de chiffrer le mot de passe en MD5.

Le script d'upload , déjà dit mais je le redit , il est pas sécurisé contre la faille upload en général.

Concernant la favicon et le logo j'ai l'impression qu'on peut inclure n'importe quelle page, j'ai pas testé , mais cela vaudrait le coup d'inclure une page php qui renvoi une image et script malveillant(enfin un fake pour le test)

Je n'ai pas non plus eu le temps de vérifier le code si quelqu'un à le courage , il faudrait vérifier si des tokens sont utilisés sinon n'importe qui peut faire une CSRF et ainsi modifier ton configuration.txt

Certains on été plus rapide ^^"

@Drku, il a surement du faire ça pour simplifier la tache des utilisateurs Wink
+1 (0) -1 (0) Répondre
13-11-2012, 00h16
Message : #6
ThibauT Hors ligne
Keyboard not found, press F1 to resume.
*



Messages : 348
Sujets : 6
Points: 69
Inscription : Jun 2012
RE: UAG CMS : Test de sécurité
Merci de vos réponses, je lui ai transmit Smile
Martin Golding a écrit :"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live."

Gnomino a écrit :et quand je suis payé je fais ce qu'on me demande :B
+1 (0) -1 (0) Répondre
16-11-2012, 01h42
Message : #7
JulienetNel
Non-enregistré



 
RE: UAG CMS : Test de sécurité
(13-11-2012, 00h13)Swissky a écrit : De base stocker des info en clair c'est pas bon , alors sois tu mets un .htaccess ou alors tu cryptes les données avec un algo de ta création, tu peux aussi faire un mix, je te conseille aussi de chiffrer le mot de passe en MD5.

Le script d'upload , déjà dit mais je le redit , il est pas sécurisé contre la faille upload en général.

Concernant la favicon et le logo j'ai l'impression qu'on peut inclure n'importe quelle page, j'ai pas testé , mais cela vaudrait le coup d'inclure une page php qui renvoi une image et script malveillant(enfin un fake pour le test)

Je n'ai pas non plus eu le temps de vérifier le code si quelqu'un à le courage , il faudrait vérifier si des tokens sont utilisés sinon n'importe qui peut faire une CSRF et ainsi modifier ton configuration.txt

Certains on été plus rapide ^^"

@Drku, il a surement du faire ça pour simplifier la tache des utilisateurs Wink

Pour le code, je faisais déjà un hashage. Cependant, je ne le faisais pas au bon endroit, donc il ne servait à rien. Le mot de passe dans le fichier n'est plus en clair normalement. Pour hasher, j'utilise sha1 et un petit salt.

Voilà comment j'ai résolu le probléme, j'ai directement mis le hashage et le salt sur la requête post du mot de passe. Au lieu de mettre celui-ci dans le config, comme je le faisais précédemment. Par sécurité, je ne remplis pas non plus le formulaire du mot de passe sur la page de configuration ... il faut donc rentrer le code à chaque modification. Je fais aussi un str_replace sur "php". Les modifications ont été faites aussi sur le script d'installation.

Il me restera à faire un truc pour chiffrer le reste des données.

En ce qui concerne le script d'upload, j'utilise "uniqid()" à la place du nom du fichier. Ça permet d'avoir identifiant unique, si j'ai bien compris. Avec timestamp, j'aurais peut être eu un petit problème. Les fichiers avec une extension php sont déjà interdit, mais je me dis que ça pouvait éviter un truc du genre "test.php.jpg". Je ne suis pas sûr que ça soit suffisant.

Pour éviter l'inclusion d'une page php, je remplace simplement php dans l'administration par un smiley avec str_replace. Il y avait déjà htmlentities.

J'ai rajouté une protection anti-CSRF. Normalement, il y a un token différent à chaque connexion sur l'administration. Celui-ci est vérifié dans l'administration en + du mot de passe et du login. Je ne sais pas, si je me suis bien prit étant donner que c'est la premiere fois que j'utilise les tokens.

Il faudra que je pense à faire expirer un token en fonction de 5 ou 10 min.

Oui,j'ai fait ça pour simplifier l'installation du script. Je pense néanmoins à utiliser un jour sqlite, quand j'aurais apprit à gérer correctement "Php".

Merci pour le retour qui ma été utile Smile. Les modifications sont sur la 1.82.
positive (0) negative (0) Répondre
24-11-2012, 12h43 (Modification du message : 24-11-2012, 12h45 par InstinctHack.)
Message : #8
InstinctHack Hors ligne
Posting Freak
*



Messages : 1,366
Sujets : 184
Points: 299
Inscription : Dec 2011
RE: UAG CMS : Test de sécurité
Pour la trop longue liste de défine dans les fichiers lang :

fichier lang.txt
Code :
test@-@ceci est un test@-@This is a test
Code PHP :
$lang_user='fr';//lettres qui défine la langue utilisé par l'utilisateur
$lang=>array('fr'=>1,'en'=>2);//définie un numéro, en fonction de la langue
$data=file('lang.txt');//récupère le contenu du fichier dans un array
foreach(file('lang.txt') as $key=>$value)//on le parcours
{
$a=explode('@-@',$value);//on explode chaque ligne selon le séparateur @-@
define($a[0],$a[$lang[$lettre_language]);//on définie la constante "test" par la variable "ceci est un test"
//avec $lang_user='en' la constante vaudras "This is a test"


des fichiers de install n'ont pas de doctype ni de head ni de body
et puis pourquoi les faire en plusieurs fichiers ? fait plutot install.php?page=1 avec un formulaire qui passe à install.php?page=2

Code PHP :
function initOutputFilter() {
ob_start('ob_gzhandler');
register_shutdown_function('ob_end_flush');
}
initOutputFilter(); 
utilité ? zéro. fait un fichier fonctions.fonc.php dans lequel tu met tes fonctions

"error_reporting(0);" déjà c'est mal, mieux vaut les logger dans un fichier derrière un htaccess, et puis plutot que la mettre plusieurs fois (et devoir changer chacune) mieux vaut faire un include Smile
il se connecte, puis il voit le lien, pas avant
Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!"
j'ai pas compris pourquoi, je croyais qu'on était dans la même classe
+1 (0) -1 (0) Répondre


Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  Sécurité de mon site Champoad 0 213 15-10-2016, 15h24
Dernier message: Champoad
  Demande test mega-minecraft Jorel 12 708 28-03-2013, 21h05
Dernier message: Jorel
  Broutilles-Store : Tests de sécurité AnthonyB 12 792 22-10-2012, 19h29
Dernier message: st0rm3

Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut