Bonjour, 

J'ai créé un site web avec un ami composé essentiellement de HTML5 et de CSS3. Il y a aussi une base de donnée avec des avis que l'on a stocké sur une autre page intitulée op-interface.php. Comme vous vous en doutez tout le monde ne peut pas entrer sur cette page puisque que des données personnelles s'y trouvent... Donc en php nous avons créé un système de connexion avec login/mdp et tout le reste...

Bref, j'aimerais savoir comment me connecter autrement sur cette partie du site qu'en inscrivant nom d'utilisateur et mot de passe. Non, je ne veux pas pirater mon site mais juste connaître les failles pour pouvoir les corriger ! 

J'ai beaucoup essayé mais je n'en ai trouvé aucune (bien sur, je sais qu'il doit en exister puisque le site sans faille n'existe pas !!!) . C'est pour cela que j'ai besoin de votre aide. J'ai déjà essayé plusieurs techniques : bon celle où on recherche le mdp dans le code source ne marche pas bien sur... Sinon j'ai essayé de créer une autre page html qui ressemble en mettant les mêmes fonctions que sur l'originale pour interagir avec le serveur mais rien à faire... Donc si vous avez une technique (légale ou non, c'est juste pour me perfectionner en protection... Qu'on soit d'accord ! ) je suis preneur.

Voici un bout de ce code : 

<div class="connect">
	<form method="post" action = "op_interface.php">
		<fieldset>
			<lengend>Connexion à l'interface :</lengend><br /><br />

			<label for="pseudo">Identifiant :<br /></label>
			<input type="text" name="pseudo" id="pseudo" required /><br /><br />

			<label for="psw">Mot de passe :<br /></label>
			<input type="password" name="psw" id="psw" required /><br /><br />

			<input type="submit" name="post" value="Connexion" />
		</fieldset>
	</form>
</div>

Voilà donc merci d'avance pour votre aide ! 

Enzo Andreacchio.

Salut

On ne peut rien savoir en ne connaissant que le code HTML, le PHP est plus intéressant.

Pour sécuriser un site regarde le top 10 de l'OWASP https://www.owasp.org/index.php/Top_10_2013-Top_10

Merci pour ta réponse. Donc avec ce bout de code on ne peut rien trouver mais si on a le code source entier avec le nom des codes php est-ce que c'est possible ?

Si tu nous donnes l'adresse de ton site c'est possible, cela s'appelle un test en boite noire. Avec le code PHP ce serait en boite blanche.

Tu as l'air de ne pas vouloir donner tes sources PHP, du coup il n'y a que la boite noire. Mais personne (je l'espère) n'essayera sinon ils s'exposent à de graves poursuites, on n'a pas d'autorisation formelle et pire on n'a aucune preuve que le site serait bien à toi.

PS: L'HTML ne sert strictement à rien pour tester la sécu de ton site, un pirate créerai lui même ses propres requêtes indépendamment de tes pages.

-
Edité par Anonyme 31 août 2016 à 15:24:26

Ok j'ai compris... Le lien du site est ent-andreacchio.890m.com... Amusez-vous ! Mais ne vous en faites pas ce site ne sert plus. Et de toute façon je préfère savoir comment pirater un site de ce style que de ne jamais pouvoir me protéger. Merci à vous !

Je te propose root-me.org si tu veux apprendre à mettre en oeuvre les techniques de bases de hacking de site web, cela sert pas mal pour savoir comment protéger les siens

Bonjour,

Pour les tests il y a un entre deux pour les boites noires (aucune info pour testeur si ce n'est l'URL) et la white box (toutes les infos possibles) qui s’appelle, attention : grey box. Où le testeur a souvent l'URL plus un compte client, voire un compte admin et des infos sur l'archi du site, des API utilisée s'il y'en a, un peu de doc etc etc...

Bon cela dit, je ne conseil à personne de s'amuser à hacker un site sans autorisation parce que... ce n'est pas légal. Et tester la sécurité est un métier, cela demande de la paperasse juridique, des accords et une méthodologie précise et rigoureuse.

Toutefois il est possible de s'amuser à hacker avec des sites donnés plus haut comme root-me. Il y'en a plein d'autre. Et il est aussi tout à fais possible, et légal, de tester son propre site, voire un OS ou un programme ou que sais-je en local (pas s'il est herbgé sans l'accord de l'herbgeur attention) et tout ce qui nous appartient ou est public.

Enfin, tu dis que tu souhaites te perfectionner en sécurité en apprenant à hacker, mais la tu prends le problème à l'envers. Un hacker, pas un script kidies hein, un hacker donc, connait le fonctionnement des systèmes et de la sécurité, puis grâce à cela sait où trouver les failles pour les exploiter. Savoir comment exploiter une faille ne t'aider en rien à savoir comment la corriger. C'est savoir comment quelque chose est censé se comporter normalement qui va nous aider à comprendre comment le faire se comporter anormalement.