Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 08-11-2012 01:13:07

ewanmcgregor
Membre Hyperactif
Inscription : 12-04-2011
Messages : 45
Site Web

Site web invulnérable ou pas assez de connaissances ?

Salut à tous,

je me penche de près sur tout ce qui est sécurité web et tout ca et je test  des sites de mes amis, mais y'en a beaucoup on je ne réussit  rien et je ne sais pas quoi faire. Voici comment je procède :

-J'analyse le serveur avec nmap
-J'analyse le site avec nikto
-Si c'est un cms j'utilise un scan de cms ( joomscan par exemple)
-Je tente une inclusion sql sur l'url du genre www.site.com/index.php?id=1
-Si ca marche , ben c'est bon ( dans 1 cas sur 100)
-Je test la session admin avec hydra ( qui ne me trouve jamais le mot de passe)
-Je regarde les fichiers .htacces et robots.txt au cas où.

Donc si quelqu'un peut me dire comment il fait, et comment en apprendre plus, me donner des astuces et tout et tout, jee suis preneur .

Merci wink

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 08-11-2012 10:20:05

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Site web invulnérable ou pas assez de connaissances ?

Il faut que tu ajoutes les injections SQL et le XSS à ton arsenal, c'est des failles importantes (surtout le SQL).
Tu peux regarder (entre autres) du côté de sqlmap et xssploit, mais il y en a d'autres.

Tu peux aussi faire un scan avec Wapiti, qui va faire une série de tests de base que tu pourras approfondir si besoin smile Et regarde également dans les menus de BackTrack (surtout les 3 premiers : Information gathering", "Vulnerability assessment", "Exploitation tools") : si certains ont l'air intéressants, va voir sur Google ce qu'ils fnt et comment ils fonctionennt wink

Hors Ligne

#3 08-11-2012 10:53:05

ronin
Membre Radioactif
Inscription : 08-05-2011
Messages : 82
Site Web

Re : Site web invulnérable ou pas assez de connaissances ?

Les quelques fois que j'ai testé Nikto j'avais plein de faux positifs ou d'informations bidons. A voir.

Hors Ligne

#4 08-11-2012 11:21:40

ewanmcgregor
Membre Hyperactif
Inscription : 12-04-2011
Messages : 45
Site Web

Re : Site web invulnérable ou pas assez de connaissances ?

Oui j'utilise sqlmap, c'est lui qui me permet l'injection sql . Je vais tester ton scanner, et je verrai ce qu'il donne après y'a un logiciel sous BT qui permet l'injection XSS ?
Pour ce qui est du menu backtrack, ok, mais il y tellement peu de tuto ...

Hors Ligne

#5 08-11-2012 14:46:44

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 316

Re : Site web invulnérable ou pas assez de connaissances ?

Sqlmap franchement c'est moyen, ça marche mais pour peu que la config n'accepte que quelques requetes a la fois sqlmap va vite se bloquer (voir du coté de Fail2ban, IDS firewall etc...)


Après l'injection SQL reste la plus grosse tare d'un site web.Je reprends ton exemple:

Supposons que le site est vulnérable a ça, rien ne va se passé car cette requete est sans doute filtré sur la plupart des sites.Par contre si tu tape cette meme requete d'une manière différente tu pourrais avoir des surprises, sois imaginaire smile

Perso voila comment je procède

En 1er analyser l'architecture du site
En second les test SQL
En dernier les XSS/CRSF et compagnie (la aussi il faut etre un peu imaginatif)


Bon courage smile

Hors Ligne

#6 08-11-2012 17:29:51

ewanmcgregor
Membre Hyperactif
Inscription : 12-04-2011
Messages : 45
Site Web

Re : Site web invulnérable ou pas assez de connaissances ?

Je ne comprends trop quand tu dis sois imaginaire ... Ca veux dire inventer des requetes bidons ? Genre : www.site.com/annonces.php?id=234 ??
Qu'entends tu par "de maniere différentes" ?
Et puis si c'est un site sous joomla, c'est impossible ?
Merci

Hors Ligne

#7 08-11-2012 17:46:26

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 316

Re : Site web invulnérable ou pas assez de connaissances ?

Je n'ai pas été très clair autant pour moi wink etre imaginatif veut dire que ta requete peut-etre présentée différement et vouloir dire la meme chose.

exemple d'une requete SQL simple:

Pourtant le résultat est le meme, c'est comme si tu veux faire une addition et arriver a un résultat de 4, tu vas me dire 2+2=4 (exemple 1 requete simple) mais 1+1+1+1=4 aussi (exemple 2) si tu vois la chose sous cette angle la tu devrai mieux t'en sortir smile

Dans ce cas la c'est un exemple mais si tu vois que le site cible est en ASP ça ne sera pas le meme genre de requete a envoyer...

Pour joomla il me semble qu'il y a des exploits la dessus mais je ne connais pas tout roll

Dernière modification par koala (08-11-2012 17:47:55)

Hors Ligne

#8 08-11-2012 17:54:34

ewanmcgregor
Membre Hyperactif
Inscription : 12-04-2011
Messages : 45
Site Web

Re : Site web invulnérable ou pas assez de connaissances ?

Merci beaucoup déjà pour ton aide,

oui sous joomla ya des exploits, mais assez dur à appliquer qand il n'y a pas de templates ajoutés...
Pour ce qui est des requetes, je vois ce que tu veux dire, mais est ce que les logiciels comme sqlmap peuvent les interpréter correctement ?
De plus quels logiciels conseilles tu à utiliser pour les injections ( sqlninja, sqlmap , un autre ) ?
Merci

Hors Ligne

#9 08-11-2012 20:13:03

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 316

Re : Site web invulnérable ou pas assez de connaissances ?

j'utilise pas sqlmap ni les autres donc je peux pas trop te dire mais regarde dans les fichiers voir quel requete sqlmap utilise et change les si tu sens que c'est trop basic wink


J'y vais au feeling et celon ce qui me passe par le crane pour les injections, occasionelement j'utilise W3af mais c'est pas très discret donc bon.

Hors Ligne

#10 08-11-2012 20:46:36

ewanmcgregor
Membre Hyperactif
Inscription : 12-04-2011
Messages : 45
Site Web

Re : Site web invulnérable ou pas assez de connaissances ?

Ah ok, tu y vas manuellement alors , woaw wink
Je vais tester, mais je sens que si je reussis, je vais apparaitre facilement dans les logs...

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Discussion Réponses Vues Dernier message
3 225 21-11-2016 09:43:17 par MiscL
Site de crack en ligne par windaube21
5 8131 23-11-2014 00:07:00 par bartowski
13 1114 20-06-2014 16:47:23 par M1ck3y
2 1063 06-06-2014 16:32:04 par kcdtv
Authentifier a un site web par cocobricot
2 1232 14-04-2014 19:22:20 par M1ck3y

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.086 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]