security notes
J’ai effectue des tests de securite sur certains sites “africains”.
Le resultat est tres variee et je fus rassure sur certains tandis que sur d’autres cela
fut une CATASTROPHE generale, je pus dans un cas allez jusqu’a lire le contenu de la
base de donnee. Bine que certains “responsables” soient deja avertis des vulnerabilites
il y a belle lurettes, je fus suppris de constater qu’a defaut d’etre ferme, les trou de securite
furent partiellement aggrave.
Vous aimez trop cela, je ne vais pas citez les noms !!
Mais en tout cas sur 10 sites teste, seulement 4 n’ont pas de trous.
UPDATE:
here are my tests results
http://www.orange-info.sn [ XSS ]
http://www.bonaberi.com [ XSS, Newsletter manipulation ]
http://www.cameroun-info.net [ XSS, Newsletter manipulation ]
https://www.afrilandfirstbank.com/search/search.php (not the all website) [ XSS ]
http://www.iccnet.cm/page.php?page=newsletter [ Newsletter manipulation ]
http://www.lanouvelleexpression.net [ XSS ]
http://mon.abidjan.net/ [ XSS ]
http://lepopoli.com [ login form defect ]
Category: all 11 comments »
August 2nd, 2007 at 21:02
Salut man,
Tu as testé quels sites non? Et tu comptes informer les administrateurs de ces sites comment?
Etait-ce des sites purement “africains” (sites gouvernementaux, de sociétés publiques, etc..) ou des portails ciblant les africains (Seneweb, Abidjan.net, etc..) ????
August 2nd, 2007 at 21:37
uhmm,
des que je tombais sur un site je testais ma chose ( le nombre augmente qoutidienement ).
Bon j’ai des petits script qui font des checking.
J’ai pris la peine par exple sur certains sites camer de call au bled pour les informer des trous de securite qu’il y a sur leur site.
Reponse: “le responsable n’est pas la !!”
Bon je me demandais bien s’il fallait que je publie mes resultats et les sites.
Mais deja a titre informatif la palette est complete: site musicaux, tv, gouvernementaux.
Uhmm,
Mais ne parlons pas que des sites avec des trous de securite, il y en a qui m’ont VRAIMENT suppris et VRAIMENT propre.
August 6th, 2007 at 16:27
Il faut publier tes résultats, quand ce sera sur la place publique certains réagiront d’autres pas.
August 9th, 2007 at 04:53
voila mes resultats.
NB: certains sites “soucieux” ont quand meme pris la peine de me contacter, demander les screenshots et se sont mis au boulot pour rendre leur site plus sur.
August 9th, 2007 at 10:43
Il faut ask les dos ce n’est pas njoh lool
August 9th, 2007 at 15:46
lol !!
Je ne fais pas ca pour les dos,
(j’apprends beaucoup)
Mais cela ne serait pas de refus.
mais franchement il faut pas faire les ways pour faire
mais au moins faire comme si on voulait bien faire !!
Je vais publier dans les prochains jours les screenshots de toutes les sites qui ne veulent mettre un brin de securite sur les pages ( apllications ): c’est la moindre des choses.
September 2nd, 2007 at 15:16
[...] ne sont pas s�curis�s contre les attaques les plus simples.Lisez vous-m�me les articles sur son blog
http://lowe.wangandmin.com/blog/2007/07/24/security-notes/
http://lowe.wangandmin.com/blog/2007/08/08/the-chaos-beware/
Pour remedier à cela, voici deux livres [...]
September 3rd, 2007 at 21:06
[...] Et pour les autres, qui sont seulement vulnerables au XSS, il suffit d’entrez un code en utilisant un champ du site[ par exemple en ecrivant “><script>ton_code</script>] et le code sera execute par le webserveur. [...]
September 4th, 2007 at 14:14
Bravo pour l’initiative! Ce serait aussi interessant d’avoir plus de details sur les tests effectués et leurs resultats, screenshots etc. Keep it up!
September 4th, 2007 at 14:55
Alino,
il faut look ca ici
c’est simple meme comme les webmasters veulent me pousser a faire des screenshots
September 29th, 2007 at 05:53
[...] veux dire ce n’est pas un site d’infos comme les autres, donc les clients doivent pas acheter les ways en chantant “prudencia [...]