PHPfrance

la communauté d'entraide francophone dédiée au PHP

challange

Répondre


Cette question est un moyen d’empêcher des soumissions automatisées de formulaires par des robots.
Smileys
:D :) :( :o :shock: :? 8-) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :wink: :!: :?: :idea: :arrow: :| :mrgreen: =D> #-o =P~ :^o :non: :priere: 8-|
Voir plus de smileys
  Revue du sujet
 

  Étendre la vue Revue du sujet : challange

par mike » 29 sept. 2008, 20:13

je l'ai envoyer a damien par mp aucune réponse

par _activmik » 15 sept. 2008, 10:29

j'ai pas mis cette faille là pour savoir ce qu'on peut faire avec, je pense que tout ceux qui connaissent le html et un peu le javascrit le savent ...

Si je l'ai mis c'est pour qu'elle soit corrigée ....
Nan c'est pour montrer que tu roxx du bulbe 8-)
Loin de moi l'idée de te préter de mauvaises attentions, mais de la mettre sur le forum plutôt que de l'envoyer par MP aux admin du site, prouve que tu voulais surtout montrer que t'es un "killer" :wink:

Ceci dit, bravo de l'avoir trouvée, et merci (pour eux) :D

par mike001 » 13 sept. 2008, 21:05

j'ai pas mis cette faille là pour savoir ce qu'on peut faire avec, je pense que tout ceux qui connaissent le html et un peu le javascrit le savent ...

Si je l'ai mis c'est pour qu'elle soit corrigée ....

par savageman » 11 sept. 2008, 12:31

Le truc, c'est que si on peut faire alert, on peut aussi rediriger vers son propre serveur perso et récupérer les cookies...

par momox » 01 sept. 2008, 09:45

Le truc qui fout les boules, c'est qu'une variable GET soit renvoyée directement dans le code html sans aucun traitement... et ne soit pas vérifiée...

par Berzemus » 01 sept. 2008, 09:38

Encore faudrait-il créer un lien avec une url équivalente pour que ce soit viable.. ce n'est pas encore une injection de JS dans la page (genre par le profil ou quelque chose comme ça), ce qui foutrait déjà plus les boules. Mais bon, c'est pas reposant de savoir qu'un eval se balade en liberté.. :axe:

par Cyrano » 31 août 2008, 23:14

c'est pas l'id de session et je vous jure que sa risque rien ;)

EDIT : bonne allez,

voilà :

http://www.phpfrance.com/forums/privmsg ... /script%3E

copier bien tout le lien ...

voilà,

++, Mike
Ça, on dirait que ça indique qu'il y a un eval() en javascript et qu'on pourrait envoyer un code JavaScript ±malveillant par l'url. :-k

par albat » 31 août 2008, 21:47

Modération :
Afin d'obtenir plus de réponses, le sujet est déplacé dans le forum "PHPFrance".

par Sékiltoyai » 31 août 2008, 20:40

phpBB est un forum très humain…

par mike001 » 31 août 2008, 20:38

oui mais c'est un peu normal, l'erreur est humaine malheureusement ...

par Sékiltoyai » 31 août 2008, 20:38

C'est phpBB le problème. Il est de notoriété publique que phpBB est faillé à outrance…

par mike001 » 31 août 2008, 20:33

EDIT : bonne allez,

voilà :

http://www.phpfrance.com/forums/privmsg ... /script%3E

copier bien tout le lien ...

voilà,

++, Mike
je sais pas si c'est à jour, demande aux admins et j'ai dit que cétait une faille pas dangereuse ...

par katagoto » 31 août 2008, 20:32

on écrit pas challenge ?

Bref, PHPBB est à jour au moins ? ^^

Ce topic devrait plus êtres dans PHPFrance non ?

Esce sur une page de soumission ou de récupération de données ?

par mike001 » 31 août 2008, 20:15

c'est pas l'id de session et je vous jure que sa risque rien ;)

EDIT : bonne allez,

voilà :

http://www.phpfrance.com/forums/privmsg ... /script%3E

copier bien tout le lien ...

voilà,

++, Mike

par Berzemus » 31 août 2008, 20:13

genre l'id de session ? ouaip, je la vois. Mais qui te dis que les cookies phpfrance ne sont pas httponly ? hein ?