security notes
J’ai effectue des tests de securite sur certains sites “africains”.
Le resultat est tres variee et je fus rassure sur certains tandis que sur d’autres cela
fut une CATASTROPHE generale, je pus dans un cas allez jusqu’a lire le contenu de la
base de donnee. Bine que certains “responsables” soient deja avertis des vulnerabilites
il y a belle lurettes, je fus suppris de constater qu’a defaut d’etre ferme, les trou de securite
furent partiellement aggrave.
Vous aimez trop cela, je ne vais pas citez les noms !!
Mais en tout cas sur 10 sites teste, seulement 4 n’ont pas de trous.
UPDATE:
here are my tests results
http://www.orange-info.sn [ XSS ]
http://www.bonaberi.com [ XSS, Newsletter manipulation ]
http://www.cameroun-info.net [ XSS, Newsletter manipulation ]
https://www.afrilandfirstbank.com/search/search.php (not the all website) [ XSS ]
http://www.iccnet.cm/page.php?page=newsletter [ Newsletter manipulation ]
http://www.lanouvelleexpression.net [ XSS ]
http://mon.abidjan.net/ [ XSS ]
http://lepopoli.com [ login form defect ]
Salut man,
Tu as testé quels sites non? Et tu comptes informer les administrateurs de ces sites comment?
Etait-ce des sites purement “africains” (sites gouvernementaux, de sociétés publiques, etc..) ou des portails ciblant les africains (Seneweb, Abidjan.net, etc..) ????
uhmm,
des que je tombais sur un site je testais ma chose ( le nombre augmente qoutidienement ).
Bon j’ai des petits script qui font des checking.
J’ai pris la peine par exple sur certains sites camer de call au bled pour les informer des trous de securite qu’il y a sur leur site.
Reponse: “le responsable n’est pas la !!”
Bon je me demandais bien s’il fallait que je publie mes resultats et les sites.
Mais deja a titre informatif la palette est complete: site musicaux, tv, gouvernementaux.
Uhmm,
Mais ne parlons pas que des sites avec des trous de securite, il y en a qui m’ont VRAIMENT suppris et VRAIMENT propre.
Il faut publier tes résultats, quand ce sera sur la place publique certains réagiront d’autres pas.
voila mes resultats.
NB: certains sites “soucieux” ont quand meme pris la peine de me contacter, demander les screenshots et se sont mis au boulot pour rendre leur site plus sur.
Il faut ask les dos ce n’est pas njoh lool
lol !!
Je ne fais pas ca pour les dos,
(j’apprends beaucoup)
Mais cela ne serait pas de refus.
mais franchement il faut pas faire les ways pour faire
mais au moins faire comme si on voulait bien faire !!
Je vais publier dans les prochains jours les screenshots de toutes les sites qui ne veulent mettre un brin de securite sur les pages ( apllications ): c’est la moindre des choses.
[...] ne sont pas s�curis�s contre les attaques les plus simples.Lisez vous-m�me les articles sur son blog
http://lowe.wangandmin.com/blog/2007/07/24/security-notes/
http://lowe.wangandmin.com/blog/2007/08/08/the-chaos-beware/
Pour remedier à cela, voici deux livres [...]
[...] Et pour les autres, qui sont seulement vulnerables au XSS, il suffit d’entrez un code en utilisant un champ du site[ par exemple en ecrivant “><script>ton_code</script>] et le code sera execute par le webserveur. [...]
Bravo pour l’initiative! Ce serait aussi interessant d’avoir plus de details sur les tests effectués et leurs resultats, screenshots etc. Keep it up!
Alino,
il faut look ca ici
c’est simple meme comme les webmasters veulent me pousser a faire des screenshots
[...] veux dire ce n’est pas un site d’infos comme les autres, donc les clients doivent pas acheter les ways en chantant “prudencia [...]