Site de fleur By me
|
15-04-2013, 06h58
Message : #16
|
|
sakiir
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de Messages : 411 Sujets : 51 Points: 34 Inscription : Sep 2012 |
RE: Site de fleur By me
tu as du cannabis ??? :p
*LOL* pas mal le site j'aime bien le design ! Je vais regarder de plus pres ce soir |
|
15-04-2013, 08h23
(Modification du message : 15-04-2013, 08h24 par Sh4dows.)
Message : #17
|
|
Sh4dows
Tweetos Messages : 293 Sujets : 5 Points: 49 Inscription : Dec 2012 |
RE: Site de fleur By me
Ce que je ne comprends pas, c'est qu'en mettant de l'hexa dans le champ téléphone (ex. 0x...), tu me dis les choses suivantes :
Citation :Votre numero de telephone est incorrect ! Donc mon compte semble être créé, enfin c'est ce que crois PHP en entrant dans ta condition mais je ne peux m'y connecter car MySQL n'a pas save ce que tu lui à envoyé.: Citation :<b>Warning</b>: PDOStatement::execute() [<a href="pdostatement.execute">pdostatement.execute</a>]: SQLSTATE[23000]: Integrity constraint violation: 1048 Column 'phone' cannot be null in <b>/home/airday/www/lafleur/model/BDD.model.php</b> on line <b>95</b><br> Mes questions :: Pourquoi tu send NULL dans un champ qui ne peut l'être ? Pourquoi tu fais une requête SQL alors que les infos sont fausses ?
Faites ce que je dis et non ce que je fais !
|
|
15-04-2013, 08h41
Message : #18
|
|
Hypnoze57
Web Hacker Messages : 98 Sujets : 13 Points: 28 Inscription : Feb 2012 |
RE: Site de fleur By me
CRSF dans l'achat des fleurs :
Code : <img src="http://airday.alwaysdata.net/lafleur/panier/add/p04" /> Make your own destiny now and forever !
|
|
15-04-2013, 16h01
(Modification du message : 15-04-2013, 16h07 par airday.)
Message : #19
|
|
airday
Newbie Messages : 24 Sujets : 4 Points: 0 Inscription : Feb 2013 |
RE: Site de fleur By me
@Hypnoze57 : Je n'arrive pas a comprendre. Je vais essayer de faire en sorte d'ajouter une gestion du REFERER.
Code : public function add($prod_id){ @Sh4dows : là , j'avoue c'est hors de mes connaissances, j'ai essaye de réglé certains trucs mais là ça deviens critiques. @sakiir : Merci, pas sur mon site mais sur celui de mes collègues, oui, mais ça coute cher , ils ont tous une failles sql. * Je ne serais jamais un bon programmeur :'( * |
|
15-04-2013, 16h14
Message : #20
|
|
InstinctHack
Posting Freak Messages : 1,366 Sujets : 184 Points: 299 Inscription : Dec 2011 |
RE: Site de fleur By me
sinon tu peux utiliser la technique du token à la place / en complément du referer.
Pour les données, il """suffit""" de filtrer très précisement les données en entrée et d'être très critique sur les input. Et puis on as tous eu des failles dans nos programmes, on est tous né ignorant On as appris, comme toi aujourd'hui, c'est tout :p Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!" |
|
15-04-2013, 16h26
(Modification du message : 15-04-2013, 16h26 par airday.)
Message : #21
|
|
airday
Newbie Messages : 24 Sujets : 4 Points: 0 Inscription : Feb 2013 |
RE: Site de fleur By me
Au faite j'ai utiliser le principe du token, pour chaque utilisateur, il en crée un.
|
|
15-04-2013, 18h22
(Modification du message : 15-04-2013, 18h22 par Hypnoze57.)
Message : #22
|
|
Hypnoze57
Web Hacker Messages : 98 Sujets : 13 Points: 28 Inscription : Feb 2012 |
RE: Site de fleur By me
Ou alors tu génères une clé de vérification pour la mise au panier !
crsf : http://n-pn.fr/t/Tout+sur+les+attack+CSR...rgery/1277 Make your own destiny now and forever !
|
|
15-04-2013, 18h45
Message : #23
|
|
airday
Newbie Messages : 24 Sujets : 4 Points: 0 Inscription : Feb 2013 |
RE: Site de fleur By me
@Hypnoze57 : Merci, je l'ai lu, je sais ce que c'est le CRSF en théorie, c'est juste qu'en pratique je ne sais pas comment m'en protégé correctement à part avec un token.
Mais dans mon projet actuelle, pour ajouter des produits au panier, je ne vois toujours pas l’intérêt du CRSF . En tout cas merci, comme ça je ne ferai plus l'erreur pour mes prochains projets et protégerai contre cette faille aussi |
|
16-04-2013, 18h17
(Modification du message : 16-04-2013, 18h21 par Hypnoze57.)
Message : #24
|
|
Hypnoze57
Web Hacker Messages : 98 Sujets : 13 Points: 28 Inscription : Feb 2012 |
RE: Site de fleur By me
Ben utilise les token : http://www.siteduzero.com/informatique/t...illes-csrf
Et la crsf peut être utiliser sur un mybb, par exemple, toutes les personnes connecter à ton site qui son en train de lire ce message, devrait avoir sans leur permission, ajouter un article à leur panier. Make your own destiny now and forever !
|
|
18-04-2013, 12h04
Message : #25
|
|
airday
Newbie Messages : 24 Sujets : 4 Points: 0 Inscription : Feb 2013 |
RE: Site de fleur By me
@Hypnoze57 : Merci, je vais essayer de faire des tests en local, pour comprendre le fonctionnement
|
|
30-10-2013, 10h51
Message : #26
|
|
Constlight
Newbie Messages : 9 Sujets : 1 Points: 0 Inscription : Oct 2013 |
RE: Site de fleur By me
Salut
http://www.hostingpics.net/viewer.php?id...apture.jpg Peut-être cette petite erreur de PDO à corriger lors de l'enregistrement ? Sinon ç'a m'a l'air ok |
|
30-10-2013, 11h24
(Modification du message : 30-10-2013, 11h32 par Sh4dows.)
Message : #27
|
|
Sh4dows
Tweetos Messages : 293 Sujets : 5 Points: 49 Inscription : Dec 2012 |
RE: Site de fleur By me
(30-10-2013, 10h51)Constlight a écrit : SalutDéterrage (Mais bon c'est bientôt Halloween ) Sinon il aurait été bien de lui expliquer ce qu'il ne va pas...
Faites ce que je dis et non ce que je fais !
|
|
31-10-2013, 13h02
Message : #28
|
|
Constlight
Newbie Messages : 9 Sujets : 1 Points: 0 Inscription : Oct 2013 |
RE: Site de fleur By me
(30-10-2013, 11h24)Sh4dows a écrit :Héhé c'est bien de déterrer les vieux trésors parfois(30-10-2013, 10h51)Constlight a écrit : SalutDéterrage (Mais bon c'est bientôt Halloween ) Sinon je sais pas trop, j'suis un assez old-school et je n'ai jamais travaillé avec PDO niveau PHP (malgrés que mon niveau PHP soit assez bas x)) Donc je peux pas trop l'aider, je peux juste lui dire d'aller voir la ligne 61 du fichier bdd.model.php |
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
Sécurité de mon site | Champoad | 0 | 205 |
15-10-2016, 15h24 Dernier message: Champoad |
|
Deface mon site ! | thxer | 15 | 792 |
11-02-2013, 09h40 Dernier message: EpicOut |
Utilisateur(s) parcourant ce sujet : 2 visiteur(s)