iShack - Upload d'images
|
24-05-2013, 20h09
Message : #1
|
|
Mazaki
root@Mazaki~# Messages : 88 Sujets : 7 Points: 13 Inscription : May 2013 |
iShack - Upload d'images
Hi :]
Aujourd'hui je propose de faire tester mon site web, qui est un site d'upload d'images (un CMS que j'ai développé moi même). Le site dispose de 2 systèmes d'upload : Upload direct (importation via PC) et Upload via URL (qui ne m'inspire pas confiance par contre, j'ai sécurisé au maximum le code pourtant et tout m'a l'air ok ). Il dispose aussi d'autres fonctionnalités: Dispo en plusieurs langages, système de connexion, voir ses fichiers uploadés, une administration, une galerie pour les images publiques). Personnellement, le peu que j'ai trouvé a été corrigé. Le lien, http://ishack.eu/ Je vous remercie par avance :] Cdt. " Signature en construction, revenez dans quelques années. "
|
|
24-05-2013, 20h47
(Modification du message : 24-05-2013, 20h49 par CyberSee.)
Message : #2
|
|
CyberSee
Admin fondateur de N-PN Messages : 1,721 Sujets : 287 Points: 157 Inscription : Jan 2012 |
RE: iShack - Upload d'images
Salut, je n’ai pas testé à fond, mais au premier abord, ton script a l'aire d'être bien sécurisé. Par contre, on peut téléverser n'importe quoi avec un non du type "index.php#.jpg" mais ton script rebâtit l'image donc on se retrouve avec une image cassé. Si l'original ce trouve dans ton serveur Ex un fichier tmp ou cache accessible via le web ton script est vulnérable sinon toute est OK. Je vais faire un peu plus de pentesting en soirée ou demain.
Quelques points à modifié: Quand on s'inscrit et qu'on provoque une erreur, le formulaire est reset Ce serait bien un lien pour téléverser via la page "mes uploads" Good job ;-) Avant d'aller plus loin, ce serais bien que tu prouve que cette demande de pentesting est légitime en suivant les règles. http://n-pn.fr/forum/showthread.php?tid=1888 a+ Code PHP : <?php |
|
25-05-2013, 01h03
(Modification du message : 25-05-2013, 01h03 par Mazaki.)
Message : #3
|
|
Mazaki
root@Mazaki~# Messages : 88 Sujets : 7 Points: 13 Inscription : May 2013 |
RE: iShack - Upload d'images
Merci de ton message, oui en effet le fichier PHP uploadé est rebâtit, je doit revoir ça. (Même si l'original ne se trouve pas dans le serveur, dans la galerie publique, c'est pas beau apres).
Je vais aussi faire quelque chose pour les .tiff dans la galerie publique aussi Je ferais un système de $_SESSION pour empêcher le reset du formulaire. Désolé pour le règlement, je viens de faire le N-PN.html :] EDIT: - Système de SESSION pour empêcher reset du formulaire OK. " Signature en construction, revenez dans quelques années. "
|
|
25-05-2013, 09h07
Message : #4
|
|
sakiir
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de Messages : 411 Sujets : 51 Points: 34 Inscription : Sep 2012 |
RE: iShack - Upload d'images
http://ishack.eu/uploaded/public/
Fais gaff ici , on a pas ma d'info sur ton serveur Si non le site est tres joulie ! |
|
25-05-2013, 13h06
Message : #5
|
|
Mazaki
root@Mazaki~# Messages : 88 Sujets : 7 Points: 13 Inscription : May 2013 |
RE: iShack - Upload d'images
Merci sakiir :]
J'ai réglé temporairement le problème, un peu sauvagement. " Signature en construction, revenez dans quelques années. "
|
|
08-06-2013, 22h03
(Modification du message : 08-06-2013, 22h04 par Sh4dows.)
Message : #6
|
|
Sh4dows
Tweetos Messages : 293 Sujets : 5 Points: 49 Inscription : Dec 2012 |
RE: iShack - Upload d'images
@Mazaki tu as use ça ( https://jetstrap.com/?login=1 ) pour le template non ?
Faites ce que je dis et non ce que je fais !
|
|
08-06-2013, 22h37
(Modification du message : 08-06-2013, 22h38 par Mazaki.)
Message : #7
|
|
Mazaki
root@Mazaki~# Messages : 88 Sujets : 7 Points: 13 Inscription : May 2013 |
RE: iShack - Upload d'images
(08-06-2013, 22h03)Sh4dows a écrit : @Mazaki tu as use ça ( https://jetstrap.com/?login=1 ) pour le template non ? En effet, nous travaillons désormais sur une autre template bien évidemment celle-ci n'étant que temporaire étant donné qu'elle ne respecte pas le fait qu'elle n'est pas unique. " Signature en construction, revenez dans quelques années. "
|
|
09-06-2013, 19h53
Message : #8
|
|
Trivial
Membre actif Messages : 223 Sujets : 10 Points: 29 Inscription : Aug 2011 |
RE: iShack - Upload d'images
(08-06-2013, 22h37)Mazaki a écrit :(08-06-2013, 22h03)Sh4dows a écrit : @Mazaki tu as use ça ( https://jetstrap.com/?login=1 ) pour le template non ? Tu participes avec qui pour ce "projet"? Citation :manger informatique, dormir informatique, chier informatique sans jamais avoir l'impression que ça nous accable ou que c'est relou, c'est ça être passionné - j0rn |
|
09-06-2013, 19h56
Message : #9
|
|
Mazaki
root@Mazaki~# Messages : 88 Sujets : 7 Points: 13 Inscription : May 2013 |
RE: iShack - Upload d'images
(09-06-2013, 19h53)Trivial a écrit :(08-06-2013, 22h37)Mazaki a écrit :(08-06-2013, 22h03)Sh4dows a écrit : @Mazaki tu as use ça ( https://jetstrap.com/?login=1 ) pour le template non ? J'avais commencé avec un ami, aussi développeur PHP, mais désormais je suis seul pour ce projet, soit la gestion de 2 x 2 To et d'un script PHP complet à surveiller, développer etc. chaque jour. " Signature en construction, revenez dans quelques années. "
|
|
Utilisateur(s) parcourant ce sujet : 6 visiteur(s)