Pour accéder au site cliquez ici.
Merci de me répondre franchement

Le plus simple pour savoir si un site ou une zone est sécurisée est de publier le code source ...
Et si c'est effectivement sécurisé, cela ne pose aucun problème ...

Non, ton site n'est pas sécurisé.

J'ai mis environ 2 min pour trouver une faille et récuperer t'es identifiant et mdp.

Je peut dire notemment que ton login est maximemoriceau et que ton mdp commence par 6.

T'inquiete pas j'ai rien fait de méchant ni de pas méchant

MP moi pour savoir où j'ai réussi à trouver ca.

Tanaka

Alors là ... si c'est vrai je suis sur le croupion !!

Ca m'épate de voir que l'on puisse ainsi penetrer un site en 2 minutes !

Sans pour autant en faire un passe temps ... j'aimerai bien savoir comment "TANAKA" a pu debusquer des infos pertinentes !

En sachant comment tu procèdes ... cela nous permettra à TOUS surement de progresser pour notre PROPRE protection !

Peut tu nous donner des infos ?

Je pense que ceux qui s'y connaissent en la matière pourraient faire un tuto "comment bien protéger son site web". Je suis sur que ça en aiderait plus d'un d'avoir un condensé des astuses de sécurité.

J'ai une piste : Sécuriser son site en PHP mais il y a pas grand chose.

Sephi-Chan

Utilise un htacess et un htpasswd pluto que du javascript


Tient voila le lien vers le cours de m@téo ici

Pour les tutos sur la protection des sites web, cela ne manque pas et cela se trouve assez facilement un peu partout.

L'erreur que j'ai trouver est vraiment simpliste, c'est la première chose que je regarde =>

Il faut mettre un index vide à chaque dossier ou un index te servant à quelque chose dans chaque dossier, sinon on peut voir tes autres fichier et donc récuperer certaines informations comprométante.

Tanaka.

Ps => frenchpetzouille Je ne suis Pas un hackeur, je m'y connai juste assez en php pour ne pas permettre qu'on penètre mon site, voila tout

La meilleur façon de proteger un fichier et en effet avec un .htaccess couplé d'un .htpasswd, pour savoir comment faire : direction tutos de m@teo, il l'explique tres bien, ça ce passe par ici

Bon ben moi aussi j'ai trouver:

Bienvenue dans la zone admin pour accéder à toute l'administration il suffit d'aller sur Webdiz, une fois sur le site vas dans "connexion" (en haut à gauche) puis il te demande le pseudo et le passe alors tapes ces coordonnés :
Le pseudo : maximemoriceau
Le passe : 6x
Et te voici dans l'administration de Labo-com !!!

Voila ma méthode, plus sécuriser je crois pour pas accéder librement à ta partie admin:

Cache tout ce qui contient dans le répertoire "maxou37120/admin/" par un fichier qui va s'appeler index.html, comme sa quand les gens iront dans le répertoire admin ils verront une page blanche et non les fichiers qui y contiens.

Sinon tu utilise donc la méthode avec les sessions et tout ce qui va avec

Vous etes marrant, moi aussi je l'ai trouvé 6674, mais il ne marche pas

pareil moins d'une minute lol et le deuxieme chiffre est 6 mdr
passe = 66..

Moi aussi, il faut que tu change les mots de passes car des personne pas gentils pourrai mettre le bordel dans ton compte. Change le plus vite possible et maintenant si tu est encore connécté !

Ben moi j'ai trouver le mdp et il marche j'ai rien changer ne t'inkiete pas max_sk8tos_37

Snif j'arrive pas à le trouver moi... il est ou dans le code source? Faudras que j'aprenne le javascript histoire de moins me perdre dans les code lol

Citation : Labo-com

Bienvenue dans la zone admin pour accéder à toute l'administration il suffit d'aller sur Webdiz, une fois sur le site vas dans "connexion" (en haut à gauche) puis il te demande le pseudo et le passe alors tapes ces coordonnés :
Le pseudo : maximemoriceau
Le passe : 66**
Et te voici dans l'administration de Labo-com !!!

Franchement c'est nul ton système de protection...
Met un .htacess ...

Pour le mdp, il l'as changé.

Les gars, un htaccess est facilement détournable et je n'exposerai pas ici la méthode pour.

La meilleur solution est un script de login / pass en Béton sans faille

Citation : theo7

Franchement c'est nul ton système de protection...
Met un .htacess ...

Ou un index.html vide ou avec un message perso pour empêcher les visiteurs d'afficher le contenu du répertoire !

En soit, ton code PHP du login n'a pas l'air mal.. Rajoute un index et refais le test

Citation : tanatruc

Les gars, un htaccess est facilement détournable et je n'exposerai pas ici la méthode pour.

Facilement ... ouai peut être au brute force mais faut bien attendre 2, 3 ans
Sinon tu met un htaccess + un script login et mot de passe ..

salut tt le monde

Moi aussi j'ai reussi a trouver le mot de passe et le login mais bon quelle idée aussi de le marquer qq part surle site.

Bref, si tu veux vraiement que personne y accede à la page en question tu fait un script de login et mot de passe ensuite tu retiens ces infos avec un SESSSION ou un COOKIE;
Tu fais ensuite un if(isset avec la SESSION ou le COOKIE
Tu verifie que cela correspond bien avec ton pseudo et mot de passe et si c'est pas le cas t'affiches une page ou il sera marqué que la personne ne peut pas acceder à cette pasge.

@+

Citation : OR!ON

Ou un index.html vide ou avec un message perso pour empêcher les visiteurs d'afficher le contenu du répertoire !

Hum, c'est exactement la solution que j'ai dite plus haut

lol si il l'aurait pas dis sont mdp vous l'auriez trouver?

Citation : plusieurs ont dits

Bon ben moi aussi j'ai trouver:

Bienvenue dans la zone admin pour accéder à toute l'administration il suffit d'aller sur Webdiz, une fois sur le site vas dans "connexion" (en haut à gauche) puis il te demande le pseudo et le passe alors tapes ces coordonnés :
Le pseudo : maximemoriceau
Le passe : 6x
Et te voici dans l'administration de Labo-com !!

Ben moi je comprend toujours pas comment vous avez pu lire et trouver ce code !
certes il a changé ...mais ... WEBDIZ .... c'est quoi

Non !!! pas taper sur la tête ...ouillle

Webdiz est un site qui te permet de mettre une newletter, ou un livre d'or ou des trucs du genre "sans rien faire" sur ton site. Et bien sur l'administration des ces scripts ce situe sur leur site : c'est-a-dire webdiz..

french-truc

On l'as dit plus haut, suffit de lire =)

Citation : itachi

salut tt le monde

Moi aussi j'ai reussi a trouver le mot de passe et le login mais bon quelle idée aussi de le marquer qq part surle site.

Bref, si tu veux vraiement que personne y accede à la page en question tu fait un script de login et mot de passe ensuite tu retiens ces infos avec un SESSSION ou un COOKIE;
Tu fais ensuite un if(isset avec la SESSION ou le COOKIE
Tu verifie que cela correspond bien avec ton pseudo et mot de passe et si c'est pas le cas t'affiches une page ou il sera marqué que la personne ne peut pas acceder à cette pasge.

@+

je ne conseil pas d'utiliser les cookie pour cacher le login et pass, avec maintenant les plugins FF etc..., tu peus éditer et lire sans probl ce qu'il y a dnas un cookie, le mieu ce sont les sessions, même si avec FF(encore un plug), tu peus changer les variables de sessions, mais à ma connaissance, tu ne peus pas lire toutes les variables de sessions.

moi perso j'ai mis un module de login bien comme il faut et pour la partie admin elle possède en plus un .htaccess. Cependant je n'en ai pas encore trouver l'utiliter et je préfère éviter de mettre le pass dans un cookie ou une variable de session, le pseudo oui mais pas le pass on sait jamais

Tous le mnode sait très bien que la plupart des protectinos en javascirpt sont en carton.
Même si tu n'arrive pas à trouver le mot de passe ... bin il te suffit de modifier l'algo de cryptage (car de tout façno si tu voix pas le pass c'est qu'il est crypté) de façon à ce qu'au lieu de crypter le passe que le mec entre il decrypte le mot de passe correcte et l'affiche sur la page ou dans une alerte.
Si vous proteger seulement l'index : comem la pluspar desg ens utilisent des noms "communs" pour les noms des ficchier addnews.php,admin.php,sendnewsletter.php il sera facile aux """""""hacker"""""" de trouver le nom d'un fichier se trouvant dans l'éspace admin ... vous comprennez la suite.
Pour la protection par .httacces : c'est pas très pratique vu que tu es obligé d'avoir un accés ftp pour ajotuer/modifier des "comptes".
Mais en php tu peux facilement faire un script permettant d'éditer un fichier.