• STATISTIQUES
  • Il y a eu un total de 0 membres et 33526 visiteurs sur le site dans les dernières 24h pour un total de 33 526 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [EN] Security Traps
    Site de challenge qui prétend être construit non pas dans le but de parfaire vos connaissances, mais plutôt dan...
    Challenges
    [FR] Cyber-Hacker
    CH - Cyber Hacker est un jeu par navigateur de simulation de hack, programmez et envoyez vos virus et piratez les aut...
    Hacking
    [EN] Astalavista
    Un site aux ressources incontournable depuis plusieurs années, Astalavista est réellement devenue un cl...
    Hacking
    [EN] phrack
    Lot's of stuff !
    Hacking
    [EN] Reddit
    Subreddit dédié à la sécurité informatique.
    Hacking
    [EN] Exploit-db
    Une base de données d'exploits triés par genre (GHDB, Remote, Local, Web, DOS, ShellCode) à ...
    Vulnérabilités
    [EN] wechall
    Pour les gens n'étant pas familiers avec les sites de challenges, un site de challenges est un site propos...
    Hacking

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Site de fleur By me
13-04-2013, 22h23 (Modification du message : 13-04-2013, 22h34 par airday.)
Message : #1
airday Hors ligne
Newbie
*



Messages : 24
Sujets : 4
Points: 0
Inscription : Feb 2013
Site de fleur By me
Salut,

Je vous fait part de mon site que j'ai fait en BTS, les sites de mes camarades ont pas mal de failles.

Moi j'en ai profité pour accentué la sécurité.

Je pense que le site a quand même des failles, mais j'ai essayer de limité la casse par rapport à mes collègues de classes Big Grin

http://airday.alwaysdata.net/lafleur

J'ai essayer de chercher les failles avec mon propre savoir, du coup je pense qu'il y a des choses que je n'ai pas teste car je n'ai surement pas les connaissances pour.

P.S : http://airday.alwaysdata.net/lafleur/npn // Cela certifie que c'est mon site Smile

Merci de votre aide.
+1 (0) -1 (0) Répondre
13-04-2013, 22h38 (Modification du message : 13-04-2013, 22h39 par Sh4dows.)
Message : #2
Sh4dows Hors ligne
Tweetos
*



Messages : 293
Sujets : 5
Points: 49
Inscription : Dec 2012
RE: Site de fleur By me
Salut,

J'ai juste testouille la form d'inscription et en mettant un peu de la m**** on découvre immédiatement une petite XSS permanente :
Code :
Pseudo : "><h1>TEST</h1><!--

Le résultatest le suivant, dis moi si c'est normal mais j'en doute Tongue
[Image: 1365885401-screenshot-from-2013-04-13-22-34-37.png]
Faites ce que je dis et non ce que je fais !
+1 (0) -1 (0) Répondre
13-04-2013, 22h39
Message : #3
Swissky Absent
Bon membre
*



Messages : 523
Sujets : 32
Points: 96
Inscription : Apr 2012
RE: Site de fleur By me
Dejà tu devrais mettre un captcha http://airday.alwaysdata.net/lafleur/se_...nregistrer
+1 (0) -1 (0) Répondre
13-04-2013, 22h41 (Modification du message : 13-04-2013, 22h42 par airday.)
Message : #4
airday Hors ligne
Newbie
*



Messages : 24
Sujets : 4
Points: 0
Inscription : Feb 2013
RE: Site de fleur By me
Merci de ton aide, j'ai juste oublier de protéger les champs contre le XSS.
Je me suis concentré sur les injections SQL seulement, en tout cas merci Wink

@Swissky : au faite c'est un projet d'ecole, du coup j'en aurai pas trop besoin.
+1 (0) -1 (0) Répondre
13-04-2013, 22h46 (Modification du message : 13-04-2013, 22h48 par Sh4dows.)
Message : #5
Sh4dows Hors ligne
Tweetos
*



Messages : 293
Sujets : 5
Points: 49
Inscription : Dec 2012
RE: Site de fleur By me
De plus j'ai cette erreur avec un "string" au lieu du numéro de téléphone, il faut que tu améliores la communication avec l'utilisateur en lui disant par exemple qu'il est obligé de remplir ce champ. Là on dirait que tu enregistres tout directement dans ta database >< :
Citation :>Warning</b>: PDOStatement::execute() [<a href='pdostatement.execute'>pdostatement.execute</a>]: SQLSTATE[23000]: Integrity constraint violation: 1048 Column 'phone' cannot be null in <b>/home/airday/www/lafleur/model/BDD.model.php</b> on line <b>95</b><br />
Faites ce que je dis et non ce que je fais !
+1 (0) -1 (0) Répondre
13-04-2013, 22h54
Message : #6
airday Hors ligne
Newbie
*



Messages : 24
Sujets : 4
Points: 0
Inscription : Feb 2013
RE: Site de fleur By me
@Sh4dows : Merci encore, je découvre pas mal de bug Big Grin,
j'essaie de faire des modification, je pense que j'ai mal code ma condition:
Code :
if(isset($_POST)){
// trop de "if" se suivent dans mon code, je pense que c'est pas bon :D
// c'est ce qui crée tout cela
}
+1 (0) -1 (0) Répondre
14-04-2013, 00h03 (Modification du message : 14-04-2013, 00h06 par Polo.)
Message : #7
Polo Hors ligne
Benêt en chef
*



Messages : 110
Sujets : 4
Points: 25
Inscription : Mar 2013
RE: Site de fleur By me
Tiens, je crois que y'a une couille dans l'paté : j'ai manifestement saisi un mot de passe invalide (<7 caractères) du coup j'ai une erreur à l'inscription, et dans le même temps il me dit que mon compte à bien été crée (et c'est tout à fait vrai) Tongue
Donc j'ai pas zyeuté plus que ça mais voilà y'a déjà ça à corriger Smile

EDIT :
(13-04-2013, 22h54)airday a écrit : @Sh4dows : Merci encore, je découvre pas mal de bug Big Grin,
j'essaie de faire des modification, je pense que j'ai mal code ma condition:
Code :
if(isset($_POST)){
// trop de "if" se suivent dans mon code, je pense que c'est pas bon :D
// c'est ce qui crée tout cela
}
Ce n'est pas forcément le nombre de conditions imbriquées qui importe au niveau du fonctionnement technique de ton code (quoique) c'est surtout l'utilité qu'elles ont (elles en ont bien une n'est-ce pas ? ^^ ).
+1 (0) -1 (0) Répondre
14-04-2013, 03h52
Message : #8
airday Hors ligne
Newbie
*



Messages : 24
Sujets : 4
Points: 0
Inscription : Feb 2013
RE: Site de fleur By me
En tout cas, merci de votre aide, cela m'a beaucoup aidé, je vais corriger les petites erreurs tout à l'heure Smile
+1 (0) -1 (0) Répondre
14-04-2013, 10h37 (Modification du message : 14-04-2013, 10h38 par Sh4dows.)
Message : #9
Sh4dows Hors ligne
Tweetos
*



Messages : 293
Sujets : 5
Points: 49
Inscription : Dec 2012
RE: Site de fleur By me
(14-04-2013, 00h03)Polo a écrit : Tiens, je crois que y'a une couille dans l'paté : j'ai manifestement saisi un mot de passe invalide (<7 caractères) du coup j'ai une erreur à l'inscription, et dans le même temps il me dit que mon compte à bien été crée (et c'est tout à fait vrai) Tongue
Donc j'ai pas zyeuté plus que ça mais voilà y'a déjà ça à corriger Smile

EDIT :
(13-04-2013, 22h54)airday a écrit : @Sh4dows : Merci encore, je découvre pas mal de bug Big Grin,
j'essaie de faire des modification, je pense que j'ai mal code ma condition:
Code :
if(isset($_POST)){
// trop de "if" se suivent dans mon code, je pense que c'est pas bon :D
// c'est ce qui crée tout cela
}
Ce n'est pas forcément le nombre de conditions imbriquées qui importe au niveau du fonctionnement technique de ton code (quoique) c'est surtout l'utilité qu'elles ont (elles en ont bien une n'est-ce pas ? ^^ ).
Exacte, par exemple pour vérifier qu'une variable existe il existe isset(), puis pour vérifier que celle-ci ne soit pas NULL nous avons empty().

Beaucoup utilisent les deux séparement or en vérifiant le contenu d'une variable on vérifie forcément que celle-ci existe si je ne m'abuse !!

Du coup tu pourrais faire :
Code PHP :

<?php
if(!empty($_POST['varname'])){
     /* Si la variable POST existe et n'est pas vide, ici ton code */
}
 
Faites ce que je dis et non ce que je fais !
+1 (0) -1 (0) Répondre
14-04-2013, 12h40 (Modification du message : 14-04-2013, 12h41 par airday.)
Message : #10
airday Hors ligne
Newbie
*



Messages : 24
Sujets : 4
Points: 0
Inscription : Feb 2013
RE: Site de fleur By me
Je pense que le probleme doit venir de là.
Apres le :
Code :
if(isset($_POST)){
J'ai rajouté cette ligne :
Code :
strip_tags(htmlspecialchars(addslashes(extract($_POST))));

Je ne sais pas pourquoi j'ai fait ca Big Grin

Et en effectivement, j'ai ajouter des
Code :
if(isset($_POST['var']))
au lieu de
Code :
if(!empty($_POST['var']))

J'aurai mieux fait d'utiliser CodeIgniter ou CakePHP :p
Je l'ai coder tout seul, enfin j'ai encore beaucoup de chose à apprendre.

Merci en tout cas a vous tous, si vous pouviez m'explique comment je pourrais diminuer encore plus la casse, Smile
+1 (0) -1 (0) Répondre
14-04-2013, 13h42
Message : #11
Luxerails Hors ligne
Bon membre
*



Messages : 267
Sujets : 6
Points: 67
Inscription : Aug 2011
RE: Site de fleur By me
(14-04-2013, 12h40)airday a écrit : J'ai rajouté cette ligne :
Code :
strip_tags(htmlspecialchars(addslashes(extract($_POST))));

wtf ? o_O

Premièrement, je ne vois pas trop ce que tu as voulu faire par là, extract() renvoie un int (le nombre de valeurs dans l'array $_POST?) donc faire un strip_tags(htmlspecialchars(addslashes())) dessus...
Deuxièmement, c'est TRÈS dangereux. extract($_POST) va transformer tout les variables post du style a=1&b=2 en $a = 1 et $b = 2 → on peut créer, modifier, écraser des variables.
+1 (0) -1 (0) Répondre
14-04-2013, 13h44 (Modification du message : 14-04-2013, 13h54 par InstinctHack.)
Message : #12
InstinctHack Hors ligne
Posting Freak
*



Messages : 1,366
Sujets : 184
Points: 299
Inscription : Dec 2011
RE: Site de fleur By me
fait plutot un
Code PHP :

if(count($_POST)>0)
echo "des datas ont été envoyées";
else
echo "rien à l'horizon".
 


@luxerails, il tente de ré-inventer les register_globals Big Grin
Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!"
j'ai pas compris pourquoi, je croyais qu'on était dans la même classe
+1 (0) -1 (0) Répondre
14-04-2013, 17h58 (Modification du message : 14-04-2013, 18h00 par airday.)
Message : #13
airday Hors ligne
Newbie
*



Messages : 24
Sujets : 4
Points: 0
Inscription : Feb 2013
RE: Site de fleur By me
Bon la seule solution que j'ai trouve été de créer une petite fonction :
Code :
    function estChaine($valeur, $num){
        $ok = null;
        if(isset($num) && $num == true){
            $ok = preg_match("/[^a-zA-Z0-9\s]/", $valeur) == 0;
        }else{
            $ok = preg_match("/[^a-zA-Z]/", $valeur) == 0;
        }
        return $ok;
    }

Je ne savais pas faire autrement, mais pour l'instant cela fonctionne.
Je pense que je devrais l'améliorer un peu plus.

Pour ce projet, mon binome a fait une application C# qui gere l'administration du site etc..., je lui ai imposé.
Pensez vous qu'on peut quand même exploiter le peu de failles qui reste sur le site ?
Encore merci à tous Smile
+1 (0) -1 (0) Répondre
15-04-2013, 00h41
Message : #14
InstinctHack Hors ligne
Posting Freak
*



Messages : 1,366
Sujets : 184
Points: 299
Inscription : Dec 2011
RE: Site de fleur By me
tu devrais regarder du coté des fonctions ctype, tu te rendras compte que tu réinvente la roue (tu sais, t'es pas le premier à programmer en PHP, les fonctions de bases sont déjà codés)

de plus "if(isset($num)" est inutile, si tu met pas le bon nombre d'arguments obligatoire lors d'un appel à une fonction, php vas gueuler.
Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!"
j'ai pas compris pourquoi, je croyais qu'on était dans la même classe
+1 (0) -1 (0) Répondre
15-04-2013, 00h59 (Modification du message : 15-04-2013, 01h03 par airday.)
Message : #15
airday Hors ligne
Newbie
*



Messages : 24
Sujets : 4
Points: 0
Inscription : Feb 2013
RE: Site de fleur By me
@InstinctHack : merci beaucoup, là c'est la chose qui m'a beaucoup aidé, j'ai gagné plusieurs lignes.
Je ne connaissais pas, merci j'en apprend toujours beaucoup avec vous tous Smile
+1 (0) -1 (0) Répondre


Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  Sécurité de mon site Champoad 0 205 15-10-2016, 15h24
Dernier message: Champoad
  Deface mon site ! thxer 15 792 11-02-2013, 09h40
Dernier message: EpicOut

Atteindre :


Utilisateur(s) parcourant ce sujet : 3 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut