Batch Index du Forum
S’enregistrerRechercherFAQMembresGroupesConnexion
Répondre au sujet Page 1 sur 2
Aller à la page: 1, 2  >
Recrutement + Informations TRES importantes !
Auteur Message
Répondre en citant
Message Recrutement + Informations TRES importantes ! 
Bonjour a la communauté de batch.xoo.it ,

Je viens ici, dans ce forum, principalement, pour vous avertir d'une faille dans votre site web , qui oui , peut etre exploiter par des 'hackers' mais moi meme qui en est un, je souhaite vous aider , car grace a votre forum et votre communauté , pleins de personnes ont été aider dans ce domaine-ci .


Donc, je vous ais fait des screens sur les failles de votre site web , analyser avec un outil professionel (environ ~1500€) . (PS: J'ai cacher les zones qui affichent l'url de la faille en elle-même).



Faille CRSF Exclamation (Zone sans protection CRSF : Si vous ne savez pas ce qu'est la faille CRSF , cliquez ici ).

Screens pour faille Crsf :



--



( Il y a 127 failles CSRF ! )


Maintenant , screens pour faille de securité (User credentials) Exclamation :



--




( Il y a 3 failles de securité 'User credentials', et pour regler ceci il faut utiliser une sécurité SSL )


Maintenant , screens pour faille de securité (Default Php info page) Exclamation :



--



( Il y a 1 faille DPIH , trouver par GHDB (GHDB = Google Hacking DataBase, en gros, trouver par les dorks !) : Il faut faire attention a cette faille...





---

A present, puisque je vous ait montrer vos diverses failles dans votre forum, c'est pour vous demander, car c'est votre communauté qui choisis, si je peut etre recruter en tant qu'une personne de sécurité de votre site web, en gros, je vous avertis en

message privé de toutes failles presentes dans votre forum ou toutes tentatives de piratage de la part d'un hacker , et d'intrusion dans votre database (j'avertis par Message privé).

A present, c'est votre choix, et si vous voulez etre bien sécuriser, ceci peut etre positif.


Et si possible, par la suite un partenariat de mon forum et votre forum serait la bienvenue , mais bon, ceci est autre chose, j'en ferais probablement un topic.



Sur ce, je vous laisse,


Cordialement,

BatchPR0.





______________________________________________________

~~ Programmation ~~

----> Mon niveau en batch : 17/100

----> Mon niveau en C++ : 81/100

----> Mon niveau en VB : 93/100

----> Mon niveau en C# : 90/100


~~ Programmation WEB ~~

----> Mon niveau en HTML5 : 91/100

----> Mon niveau en PHP : 67/100

----> Mon niveau en JAVASCRIPT : 37/100

''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Visiter le site web du posteur
Message Publicité 
PublicitéSupprimer les publicités ?


Répondre en citant
Message Recrutement + Informations TRES importantes ! 
Bonjour Mr. Green

Je vois qu'il n'y a pas que des lamer en fin de compte, tu a l'air de bien maîtriser ton domaine quoi que ce n'est qu'un aperçu après tout.

Pour ce qui en est de ta demande je ne peux fournir une réponse, cela repose sur nos chers admins Smile

Mon avis:
Je vais quand même donner mon avis qui en est que je trouve l'idée intéressante si tu en reste à faire parvenir les failles par Mp, je ne veux pas dire que tu n'est pas quelqu'un de confiant mais donner un accé admin sans avoir un minimum de confiance... Mais dans les conditions que tu nous donne ça ne peut nous être que bénéfique... Non?

Mais j’insiste ensuite sur le fait qu'un "hackeur" n'a aucune raison de saccager le fofo sachant qu'avec nous il ne peut que apprendre et être aider. Et ensuite je sais que deux trois personnes du forum s'occuperaient de son cas Laughing


Mais c'est vrais qu'avec les faille que tu a repéré ça serais bien de les corriger. Confused


Bon j'ai juste donné un avis bref, c'est à laddy et shoot de décider le final de cette conversation.


Sans quoi, bonne journée et ++ Mr. Green

Okay Okay




______________________________________________________
│Øδ@π.
Visiter le site web du posteur Skype
Répondre en citant
Message Recrutement + Informations TRES importantes ! 
Bonjour logan , j'ai lut ton commentaire et ton avis est tout a fait bien comprehensible Okay .

Apres, moi personnellement, je ne demande pas non plus un acces d'administrateur, non, (d'ailleurs tu as tout a fais raison sur ce fait) , après, la seul chose que je souhaite demander, et bien c'est seulement que je surveille un peu le forum (comme un moderateur) mais, dans les scripts, les failles types de sites webs etc.. après, je veut dire, je surveille uniquement, et je n'ai pas besoin d'acces d'administrateur.



En conclusion:

Je souhaite seulement etre celui qui surveille un peu le forum et qui vous avertis de tout probleme ( je ne demande pas plus, meme pas d'ailleurs un rang 'special' , ni encore, des options supplementaires sur ce compte-ci ) .

Je ne veut que etre favorable avec le forum, sans rien demander en retour.

Sinon sur le fait "Mais j’insiste ensuite sur le fait qu'un "hackeur" n'a aucune raison de saccager le fofo sachant qu'avec nous il ne peut que apprendre et être aider. " ceci n'est pas totalement vrai a 100%.

Car pour moi personnellement, qui bel et bien oui, je suis un hacker (white hat *) et bien je pense que les hackers (black hat) pirate TOUT les sites webs contenant une faille.

Un exemple ?

---> Un simple débutant voit une video sur les dorks google, et qu'il copie le script et qu'il le colle sur google. Et bien, ca fais toute une liste de sites contenant la faille dont il a copier le dork. Et ceci peut faire afficher par exemple votre site, et ensuite il ne va pas réfléchir et va sauter dessus pour tuer le site (du moins si il y arrive) mais principalement, c'est comme ca que des sites sont downs.


Apres sinon, oui, tu as raison. Ca serais bien de les corriger les failles Confused




______________________________________________________

~~ Programmation ~~

----> Mon niveau en batch : 17/100

----> Mon niveau en C++ : 81/100

----> Mon niveau en VB : 93/100

----> Mon niveau en C# : 90/100


~~ Programmation WEB ~~

----> Mon niveau en HTML5 : 91/100

----> Mon niveau en PHP : 67/100

----> Mon niveau en JAVASCRIPT : 37/100

''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Visiter le site web du posteur
Répondre en citant
Message Recrutement + Informations TRES importantes ! 
Re, Mr. Green

Je suis d'accord avec toi, et d'après ce que tu dis ça ne peut être que favorable pour le forum.

Ensuite pour l'histoire de hacker le fofo évidemment que ce n'est pas sur à 100% qu'une saloperies de galapagos des îles ne s’amuse à tout péter.

Si on peut corriger des failles facilement autant en profiter non? Wink

Bref merci à toi et à bientôt.

Okay



Dernière édition par Logan le Lun 3 Sep 2012 - 18:39; édité 1 fois

______________________________________________________
│Øδ@π.
Visiter le site web du posteur Skype
Répondre en citant
Message Recrutement + Informations TRES importantes ! 
Derien et a bientot Okay !




______________________________________________________

~~ Programmation ~~

----> Mon niveau en batch : 17/100

----> Mon niveau en C++ : 81/100

----> Mon niveau en VB : 93/100

----> Mon niveau en C# : 90/100


~~ Programmation WEB ~~

----> Mon niveau en HTML5 : 91/100

----> Mon niveau en PHP : 67/100

----> Mon niveau en JAVASCRIPT : 37/100

''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Visiter le site web du posteur
Répondre en citant
Message Recrutement + Informations TRES importantes ! 
Bonjour
je relirai tout à tete reposé demain matin
le probleme étant que le forum est hébergé sur un hebergeur de forum gratuit
et on a absoluement pas acces aux fichiers php et autres, donc pour corriger les failles çA risque de ne pas fonctionner.

Je pense qu il faudrait contacter xooit et voir pour ces failles.




______________________________________________________
Faites paraitre votre batch sur BatchClipboard
Visiter le site web du posteur
Répondre en citant
Message Recrutement + Informations TRES importantes ! 
Bonsoir.

Même pas besoin de faire de commentaire... Neutral

Effectivement comme l'a dit Laddy, les sources du forum ne peuvent pas être modifiées.

C'est simple d'utiliser un logiciel pour détecter les failles, mais il faut savoir s'en servir.

Les forums xooit ne sont pas sûrs à 100%, on le sait. Cependant si tu penses avoir trouvé une faille, tu as accès à des dizaines de milliers de forums alors ne te gène pas. Wink

A+




______________________________________________________
Répondre en citant
Message Recrutement + Informations TRES importantes ! 
Bonjour sablier94 et laddy, c'est pour vous informer que sous un forum xooit , et bien, que si on peut modifier les scripts (j'en avais un .. ) , et il faut juste allez dans le panneau d'administration, ensuite aller dans template > modifiez les templates ensuite modifiez les divers scripts de la page web en elle meme. Mais j'ai vu par moi meme, que la faille etait dans des zones modifiables par l'utilisateur . Apres, oui laddy a raison, mieux vaut avertir xooit ou autre...

Sur ce, je vous est quand meme avertis et c'est ceci le principal Okay




______________________________________________________

~~ Programmation ~~

----> Mon niveau en batch : 17/100

----> Mon niveau en C++ : 81/100

----> Mon niveau en VB : 93/100

----> Mon niveau en C# : 90/100


~~ Programmation WEB ~~

----> Mon niveau en HTML5 : 91/100

----> Mon niveau en PHP : 67/100

----> Mon niveau en JAVASCRIPT : 37/100

''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Visiter le site web du posteur
Répondre en citant
Message Recrutement + Informations TRES importantes ! 
Hello !

BatchPR0 a écrit:
Bonjour sablier94 et laddy, c'est pour vous informer que sous un forum xooit , et bien, que si on peut modifier les scripts (j'en avais un .. ) , et il faut juste allez dans le panneau d'administration, ensuite aller dans template > modifiez les templates ensuite modifiez les divers scripts de la page web en elle meme. Mais j'ai vu par moi meme, que la faille etait dans des zones modifiables par l'utilisateur .

Dommage tu t'en étais plutot bien sortit pour l'instant Mr. Green
On ne peut pas modifier les scripts php, les templates sont juste des fichier de présentation, si tu mets du php dedans il ne sera pas executé. Et comme toutes les failles décrites ici necessitent de modifier les scripts php, on est coincés Very Happy

De plus les 127 failles CRSF ne sont pas vraiment dangereuses, il faut un incroyable concours de circonstances pour que sa marche ou alors une crédulité avançée des administrateurs pour que ça marche Mort de Rire

Apres ça fait longtemps que j'atends que xoo.it utilise SSL, a la limite rien que pour la connexion ...

Au fait, c'est quoi une faille DIPH ?

je me demande si tu fais pas un peu le scareware là Mort de Rire

@+




______________________________________________________
--
> Que pensez vous de l'ajout du repertoire point dans $PATH ?
Ma version de troll 18.0.32 beta 3 vient de me faire un core dump.
-+- SE in Guide du Linuxien Pervers : Bien développer son troll -+-

[Dos9]
Visiter le site web du posteur Skype
Répondre en citant
Message Recrutement + Informations TRES importantes ! 
Bonjour darkbatcher.

Moi qui est dans xooit depuis un bon bout de temps en tant qu'administrateur d'un forum de hacking, et bien, je viens d'affirmer que si c'est bien possible.

Comment ?

Et bien il faut juste allez dans la zone des templates et modifiez le script de n'importe quel zone (par exemple l'index). Et bien sur que le HTML, PHP et JAVASCRIPT sont éxecutés. Une preuve ? Clique ===> ici (ce n'est pas de la pub ou autre je ne fais que donner une preuve concrete Okay "ps: c'est moi bryan45520" ) .


127 failles CRSF ne sont pas vraiment dangereuses ? Tu crois vraiment ca ? Et bien SI. Car, si par exemple on utilise dans l'url , le meme script que l'administrateur en lui meme utilise, vous etes bien apres on peut dire embêtée.


En tout cas tu as raison sur une chose: il faut que xooit utilise SSL.


PS: DIPH C'est le raccourci de "Default Php info page" et non je ne fais pas le scareware Mort de Rire


En tout cas, bonne continuation a tous.




______________________________________________________

~~ Programmation ~~

----> Mon niveau en batch : 17/100

----> Mon niveau en C++ : 81/100

----> Mon niveau en VB : 93/100

----> Mon niveau en C# : 90/100


~~ Programmation WEB ~~

----> Mon niveau en HTML5 : 91/100

----> Mon niveau en PHP : 67/100

----> Mon niveau en JAVASCRIPT : 37/100

''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Visiter le site web du posteur
Répondre en citant
Message Recrutement + Informations TRES importantes ! 
BatchPR0 a écrit:
Bonjour darkbatcher.

Moi qui est dans xooit depuis un bon bout de temps en tant qu'administrateur d'un forum de hacking, et bien, je viens d'affirmer que si c'est bien possible.

Comment ?

Et bien il faut juste allez dans la zone des templates et modifiez le script de n'importe quel zone (par exemple l'index). Et bien sur que le HTML, PHP et JAVASCRIPT sont éxecutés. Une preuve ? Clique ===> ici (ce n'est pas de la pub ou autre je ne fais que donner une preuve concrete Okay "ps: c'est moi bryan45520" ) .


mauvaise réponse Razz tu peux en effet ajouter du script javascript et du HTML, mais en aucun cas te ne peux modifier les scripts php, qui sont les seuls vraiment importants
Ne me prends pas pour un abruti, je sais très bien que c'est du javascript sur ta page... Et mention spéciale pour l'utiliation du plugin au fait Mort de Rire
tu peux faire le test :
Code:
[lang=php]<?php echo 'je m'appelle virusman !' ?>

Si ça marche je veux bien bouffer mon pc Mort de Rire

Citation:
127 failles CRSF ne sont pas vraiment dangereuses ? Tu crois vraiment ca ? Et bien SI. Car, si par exemple on utilise dans l'url , le meme script que l'administrateur en lui meme utilise, vous etes bien apres on peut dire embêtée.


Non je persiste et je signe ^^, un faille CRSF n'est pas vraiment dangereuse dans la mesure elle ne fonctionnerait que par chance ( genre coup de pot, l'admin est justement logué dans le panneau d'administration ) ou par connerie (l'admin clique sur un lien douteux alors même qu'il est connecté sur le panneau d'administration) voir même les deux Razz

En principe, l'admin est pas censé être le dernier des abrutis... Comme on le dit souvent, le meilleur antivirus qui existe, c'est l'utilisateur derrière son pc Mr. Green c'est bizarre je connais tout un tas de gens qui sont régulièrement emmerdés, et moi jamais, je me demande bien pourquoi Mort de Rire

@+




______________________________________________________
--
> Que pensez vous de l'ajout du repertoire point dans $PATH ?
Ma version de troll 18.0.32 beta 3 vient de me faire un core dump.
-+- SE in Guide du Linuxien Pervers : Bien développer son troll -+-

[Dos9]
Visiter le site web du posteur Skype
Répondre en citant
Message Recrutement + Informations TRES importantes ! 
Citation:

Non je persiste et je signe ^^, un faille CRSF n'est pas vraiment dangereuse dans la mesure elle ne fonctionnerait que par chance ( genre coup de pot, l'admin est justement logué dans le panneau d'administration ) ou par connerie (l'admin clique sur un lien douteux alors même qu'il est connecté sur le panneau d'administration) voir même les deux



Si une faille CRSF est bel et bien dangereuse, va par exemple ecrire 'Faille CRSF' sur google, et lit la description de cette failles, et non, elle n'est pas considérée comme 'pas vraiment dangereuse' .


Citation:
Si ça marche je veux bien bouffer mon pc


Je vais le faire, et je te balance le lien d'un forum xooit avec le message que tu m'a dit et tu verras Wink




Citation:
Ne me prends pas pour un abruti, je sais très bien que c'est du javascript sur ta page...


Je n'ai jamais dit le contraire Okay


Citation:
mauvaise réponse tu peux en effet ajouter du script javascript et du HTML, mais en aucun cas te ne peux modifier les scripts php, qui sont les seuls vraiment importants


Comme je te l'ai dit precedemment, tu verra Wink




______________________________________________________

~~ Programmation ~~

----> Mon niveau en batch : 17/100

----> Mon niveau en C++ : 81/100

----> Mon niveau en VB : 93/100

----> Mon niveau en C# : 90/100


~~ Programmation WEB ~~

----> Mon niveau en HTML5 : 91/100

----> Mon niveau en PHP : 67/100

----> Mon niveau en JAVASCRIPT : 37/100

''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Visiter le site web du posteur
Répondre en citant
Message Recrutement + Informations TRES importantes ! 
Re,
j ai relu ton 1er message, et je reste sur ma position qui est la suivante.

Le forum est hébergé sur une plateforme de forums nommé xooit.com et nous n'avons aucun accès à toutes ressources php ou database du forum. Ormis quelques fichiers pour modifier le template de type tpl.

Je te conseille plutot vivement de contacter xooit, pour parler de ces failles de sécurité et de voir si elles sont collmatés par la suite pour notre forum.

Je laisse le soin de converser avec Darkbatcher qui maitrise plus que moi le sujet.

Edit : tite remarque toute gentile pour tes futures recrutements, adapte bien ton speech au contenu que tu visites, nous ne sommes pas un site web mais un forum Wink




______________________________________________________
Faites paraitre votre batch sur BatchClipboard
Visiter le site web du posteur
Répondre en citant
Message Recrutement + Informations TRES importantes ! 
Citation:
Le forum est hébergé sur une plateforme de forums nommé xooit.com et nous n'avons aucun accès à toutes ressources php ou database du forum. Ormis quelques fichiers pour modifier le template de type tpl.


Bonjour, donc, tu as tout a fait raison avec un forum créer par defaut avec un theme etc.. MAIS , toutes ressources php (et non la database du forum) peut etre bel et bien modifier par l'utilisateur (Pas dans les fichiers .tpl) .


Citation:
Je te conseille plutot vivement de contacter xooit, pour parler de ces failles de sécurité et de voir si elles sont collmatés par la suite pour notre forum.
Ceci est une autre solution , oui.


Citation:
Edit : tite remarque toute gentile pour tes futures recrutements, adapte bien ton speech au contenu que tu visites, nous ne sommes pas un site web mais un forum


Pas de probleme Wink





PS: DarkBatcher, xooit utilise PHPBB 3 ...

Tu me crois pas ? --> Va voir ceci :(clique ici).

Ps: je crois savoir pourquoi tu ne me crois pas par rapport a la modification de scripts php etc.., c'est car, tu parles d'un forum xooit gratuit et NON héberger, mais c'est tout a fait modifiable du moment que l'on a payer et heberger son site sous xooit.


Merci de ta comprehension et aurevoir.



( RE'EDIT: J'ai fait une dedicace de votre forum et de DarkBatcher EN PERSONNE, ici :(clique ici)




______________________________________________________

~~ Programmation ~~

----> Mon niveau en batch : 17/100

----> Mon niveau en C++ : 81/100

----> Mon niveau en VB : 93/100

----> Mon niveau en C# : 90/100


~~ Programmation WEB ~~

----> Mon niveau en HTML5 : 91/100

----> Mon niveau en PHP : 67/100

----> Mon niveau en JAVASCRIPT : 37/100

''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Visiter le site web du posteur
Répondre en citant
Message Recrutement + Informations TRES importantes ! 
Citation:
PS: DarkBatcher, xooit utilise PHPBB 3 ...

Tu me crois pas ? --> Va voir ceci :(clique ici).

Ps: je crois savoir pourquoi tu ne me crois pas par rapport a la modification de scripts php etc.., c'est car, tu parles d'un forum xooit gratuit et NON héberger, mais c'est tout a fait modifiable du moment que l'on a payer et heberger son site sous xooit.


Nan sans blague Shocked je vois que tu me comprends, je nie pas que dans l'absolu on peut toucher aux sources d'un forum basé sur xoo.it, seulement que c'est pas possible en l'état Mr. Green d'ailleurs quelqu'un sait un où on peux trouver la source de xoo.it, je me suis laissé entendre dire que c'était un projet open-source Laughing

et je peux t'assurer que les forums xooit et phpbb sont tout à fait différents, la base est la même, mais je suis pas sur que les thèmes, les bdd soient interopérables...

Et quand je dis que CRSF n'est pas dangereux, je parle pour un utilisateur averti. Une fois qu'on t'a mis au courant que quand tu te connecte à l'interface d'administration il faut se déconnecter à la fin et ne naviguer sur aucune autre page, tu ne risque plus rien Very Happy perso c'est ce que je fais Mr. Green

Tout est une question de précautions, c'est comme ne pas cliquer sur un lien douteux, ou ne pas exécuter un exécutable dans lequel on n'a pas confiance, ou alors dans une sandbox...

Citation:
( RE'EDIT: J'ai fait une dedicace de votre forum et de DarkBatcher EN PERSONNE, ici :(clique ici)


J'sais pas trop comment je dois le prendre xD on va dire que c'est gentillet Mort de Rire

@+




______________________________________________________
--
> Que pensez vous de l'ajout du repertoire point dans $PATH ?
Ma version de troll 18.0.32 beta 3 vient de me faire un core dump.
-+- SE in Guide du Linuxien Pervers : Bien développer son troll -+-

[Dos9]
Visiter le site web du posteur Skype
Message Recrutement + Informations TRES importantes ! 


Montrer les messages depuis:
Répondre au sujet Page 1 sur 2
Aller à la page: 1, 2  >
  



Index | créer un forum | Forum gratuit d’entraide | Annuaire des forums gratuits | Signaler une violation | Conditions générales d'utilisation
Copyright 2008 - 2016 // Batch