Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 18-06-2011 07:20:27

SYLVIEB
N00b
Inscription : 18-06-2011
Messages : 2

Test sur une authentification requise ?

Salut,

Mon site est en ligne  (vente de fleur artificiel) depuis un petit mois maintenant et j'ai fais quelques test en suivant des tutorials.

Test SQL, xss, etc ....

Les résultats indiquent qu'ils n'y pas de failles pour ce type d'attaques bien connues.

Mais leur d'un scann avec "Acunetix" :

Je retrouve le lien de ma page ADMIN pour m'authentifiée et accèder à mon site e rentrant biensur mon identitfiant et mon mot de passe.

Acunetix indique : lien de ma page admin, un numéro de port, une adresse ip et l'hégergeur OVH.

Donc ma question est : est-il possible pour un hacker de passer ce type d'authentification requise ? Avec backtrack ?

A savoir que j'ai mis un identifiant et un passe blindé : 14/16 lettres et signe .

Merci de vos conseils !

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 18-06-2011 10:32:28

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Test sur une authentification requise ?

Arf, une fleuriste qui sait ce que c'est que le pentest, tu te rends compte que tu viens de bousiller un mythe là ? big_smile Messieurs, je pense que nous avons ici un spécimen rare !

Bienvenue à toi sur le forum, au passage wink

A ma connaissance, la seule façon de passer ce genre d'authentification c'est le bruteforce (attaque par dictionnaire). Si ton mot de passe fait effectivement 16 lettres+signes et est un peu aléatoire (utiliser l'adresse du site comme mot de passe n'est pas une bonne idée tongue), t'es tranquille un bruteforce est impossible. Enfin, "impossible" c'est relatif, si t'avais des secrets d'états hébergés y aurait peut-être des attaquants motivés, mais à priori dans ton cas c'est bon wink

Le seul problème qu'il pourrait y avoir c'est si le mécanisme d'authentification est un peu "exotique" (via un formulaire-maison ou fourni par un CMS), pour ça il faudrait avoir + de détails (Acunetix ne te donne aucune autre description de la "faille" ?). Tu utilises un système particulier pour déployer ton site (Joomla,...) ?

Hors Ligne

#3 18-06-2011 10:40:22

M1ck3y
Administrateur
Lieu : Lost in the darkness
Inscription : 14-02-2008
Messages : 6 354

Re : Test sur une authentification requise ?

Hello SYLVIEB, bienvenue chez nous wink

Si Acunetix trouve le lien de la page d'authentification à ton panel admin, c'est probablement que le lien en question figure quelque part sur ton site, et a donc été crawlé lors du pentest. Ce n'est pas parce qu'un hacker peut se retrouver sur cette page qu'il va pouvoir se logger en tant qu'admin, surtout si tu as pris la précaution de choisir un password complexe. Dis toi bien une chose: les softs de pentest automatisés (à plus forte raison sous win), c'est bien beau mais ce n'est pas ça qui va te détecter la vraie vulnérabilité critique qui sera exploitable par un hacker. C'est bon pour repérer quelques trucs, mais ça ne va pas trouver de manière automatisée ce qui est vraiment dangereux et qui ne sera repérable que par un etre humain qui prendra le temps de s'y intéresser.

Je suppose que tu utilise un CMS pour ton site de commerce, et bien en règle générale les CMS qui sont connus et énormément utilisés sont fiables lorsqu'ils sont à jour, mais bien souvent ce sont les modules, plugins et autres mods qui présentent des failles exploitables par les hackers, et c'est donc surtout sur ce plan qu'il faut etre vigilant. Si tu nous expliquais comment est fait ton site (oscommerce ou autre cms spécialisé, site "clé en main" fourni par l'hébergeur, site codé perso etc...) on pourrait peut etre te donner de meilleurs conseils, d'ailleurs tu peux nous faire voir la page en question avec un screenshot par exemple (en masquant l'url si tu le souhaite) histoire qu'on comprenne exactement de quoi il s'agit.

[edit]Grilled by antares[/edit]

Hors Ligne

#4 21-06-2011 07:36:55

SYLVIEB
N00b
Inscription : 18-06-2011
Messages : 2

Re : Test sur une authentification requise ?

Je suis loin de là une pro du pentest, je suis un brin parano car j'ai une amie qui sait fait pirater son site. A la rigueur si c'est le hacker qui possède une "éthique", il introduit le site, capture les BD pour x raisons et part, ce n'est pas grave mais si c'est un jeune con qui s'introduit, efface les données, juste parce que il a rien à faire d'autres dans sa vie , etc ... ça par contre c'est très très énervant.

Oui c'est un CMS spécialisé, module/plugins bien à jour.

Pour la page d'accueil d'authentification requise, elle est banale : Arrivé sur la page, une petite fenetre s'ouvre et demande login et password.

J'ai testé en me trompant volontairement avec un login et pass bidon, au bout de 4 fois , le serveur me "jette", c'est déjà ça, tout ce qui est test brute de force : je suis tranquille de ce côté là.

Je pensais que si le hacker conaissait la page admin, ip + le port , il pouvait "sniffer" le logi et le pass ? Imossible ?

Merci d'avoir répondu

Hors Ligne

#5 21-06-2011 07:52:41

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Test sur une authentification requise ?

Il peut le faire à condition d'être sur le même réseau local (câble ou WiFi) que toi. A moins d'avoir installé une crasse sur ta machine, depuis Internet il ne peut pas sniffer ton mot de passe wink

Mais M1ck3y a raison, il vaut mieux trouver (et virer) le lien vers ta page d'admin, ça sert à rien de tenter "l'ennemi". Si tu veux plus de détails, il nous faudrait le nom du CMS, un screenshot,...

Pour le coup du crasher (ce lui qui casse par ennui), ça fait partie des risques à accepter (même s'ils semblent être réduits dans ton cas). Je pense que ça rentre dans une bonne politique de backups réguliers, mais ça c'est un autre débat.

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Discussion Réponses Vues Dernier message
0 1702 15-09-2015 02:11:34 par Blastpp
10 1300 28-08-2015 05:21:46 par s1lv3rf0x
test WPS "hors ligne" par s1lv3rf0x
5 1501 28-05-2015 22:56:07 par s1lv3rf0x
3 1226 28-01-2014 13:11:16 par kcdtv
2 1374 25-01-2014 00:43:37 par Teeknofil

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.031 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]