security notes

cadenas

J’ai effectue des tests de securite sur certains sites “africains”.
Le resultat est tres variee et je fus rassure sur certains tandis que sur d’autres cela
fut une CATASTROPHE generale, je pus dans un cas allez jusqu’a lire le contenu de la
base de donnee. Bine que certains “responsables” soient deja avertis des vulnerabilites
il y a belle lurettes, je fus suppris de constater qu’a defaut d’etre ferme, les trou de securite
furent partiellement aggrave.

Vous aimez trop cela, je ne vais pas citez les noms !!

Mais en tout cas sur 10 sites teste, seulement 4 n’ont pas de trous.

UPDATE:

here are my tests results

http://www.orange-info.sn [ XSS ]

http://www.bonaberi.com [ XSS, Newsletter manipulation ]

http://www.cameroun-info.net [ XSS, Newsletter manipulation ]

https://www.afrilandfirstbank.com/search/search.php (not the all website) [ XSS ]

http://www.iccnet.cm/page.php?page=newsletter [ Newsletter manipulation ]

http://www.lanouvelleexpression.net [ XSS ]

http://mon.abidjan.net/ [ XSS ]

http://lepopoli.com [ login form defect ]

  • muti
  • del.icio.us
  • Digg
  • Reddit
  • Technorati
  • Twitter

Category: all 11 comments »

11 Responses to “security notes”

  1. Nino

    Salut man,

    Tu as testé quels sites non? Et tu comptes informer les administrateurs de ces sites comment?

    Etait-ce des sites purement “africains” (sites gouvernementaux, de sociétés publiques, etc..) ou des portails ciblant les africains (Seneweb, Abidjan.net, etc..) ????

  2. septox

    uhmm,

    des que je tombais sur un site je testais ma chose ( le nombre augmente qoutidienement ).

    Bon j’ai des petits script qui font des checking.

    J’ai pris la peine par exple sur certains sites camer de call au bled pour les informer des trous de securite qu’il y a sur leur site.

    Reponse: “le responsable n’est pas la !!”

    Bon je me demandais bien s’il fallait que je publie mes resultats et les sites.

    Mais deja a titre informatif la palette est complete: site musicaux, tv, gouvernementaux.

    Uhmm,

    Mais ne parlons pas que des sites avec des trous de securite, il y en a qui m’ont VRAIMENT suppris et VRAIMENT propre.

  3. Etum

    Il faut publier tes résultats, quand ce sera sur la place publique certains réagiront d’autres pas.

  4. septox

    voila mes resultats.

    NB: certains sites “soucieux” ont quand meme pris la peine de me contacter, demander les screenshots et se sont mis au boulot pour rendre leur site plus sur.

  5. Etum

    Il faut ask les dos ce n’est pas njoh lool

  6. Septox

    lol !!

    Je ne fais pas ca pour les dos,
    (j’apprends beaucoup)

    Mais cela ne serait pas de refus.

    mais franchement il faut pas faire les ways pour faire
    mais au moins faire comme si on voulait bien faire !!

    Je vais publier dans les prochains jours les screenshots de toutes les sites qui ne veulent mettre un brin de securite sur les pages ( apllications ): c’est la moindre des choses.

  7. 2 livres PDF sur la sécurité informatique

    [...] ne sont pas s�curis�s contre les attaques les plus simples.Lisez vous-m�me les articles sur son blog

    http://lowe.wangandmin.com/blog/2007/07/24/security-notes/
    http://lowe.wangandmin.com/blog/2007/08/08/the-chaos-beware/

    Pour remedier à cela, voici deux livres [...]

  8. Le Septox » la correction

    [...] Et pour les autres, qui sont seulement vulnerables au XSS, il suffit d’entrez un code en utilisant un champ du site[ par exemple en ecrivant “><script>ton_code</script>] et le code sera execute par le webserveur. [...]

  9. Alino

    Bravo pour l’initiative! Ce serait aussi interessant d’avoir plus de details sur les tests effectués et leurs resultats, screenshots etc. Keep it up!

  10. Septox

    Alino,

    il faut look ca ici
    c’est simple meme comme les webmasters veulent me pousser a faire des screenshots

  11. Coming Soon « Africa 2.0

    [...] veux dire ce n’est pas un site d’infos comme les autres, donc les clients doivent pas acheter les ways en chantant “prudencia [...]


Leave a Reply


     

Afrigator