Forum Heroes' Chronicles
Nous sommes actuellement le Dim 20 Avr, 2025 23:02

Voir les messages sans réponses | Voir les sujets actifs


Index du forum » Fonctionnement du jeu » Bugs

Heures au format UTC + 1 heure





Publier un nouveau sujet Répondre au sujet  Page 1 sur 1
  [ 4 messages ] 
  Imprimer Sujet précédent | Sujet suivant 
Auteur Message
moa
 Sujet du message: Faille potentielle
MessagePublié: Dim 11 Déc, 2005 21:20 
Hors-ligne
Héros Débutant
 Profil

Inscrit le: Mer 19 Jan, 2005 19:36
Messages: 72
J'ai découvert une faille de sécurité importante mais simple type injection :

Les informations profile gèrent très mal les balises HTML.
Ainsi, quand vous mettez :

<script language="javascript">location.replace("http://www.yahoo.com");</script>

Ca vous redirige vers Yahoo!!
Cette faille utilisée de cette façon est bénine (quoique) mais si à la place de yahoo je mettais l'url de mise en hibernation ou de suppression...

Je n'ai pas eu l'occasion d'essayer d'injecter du PHP (forcément, quand j'essaye d'accceder au profil, c'est Yahoo qui apparait) mais si PHP est actif alors là... :?

Bref, je vous conseille de réparer ça au plus vite...
Haut
 

CerberusXt
 Sujet du message:
MessagePublié: Dim 11 Déc, 2005 21:27 
Hors-ligne
Héros Administrateur !
Avatar de l’utilisateur
 Site Internet  Profil

Inscrit le: Lun 05 Juil, 2004 14:32
Messages: 7624
Localisation: Tauren
Le PHP n'est pas interpreté, pour le javascript je le savais déjà mais disons que je compte sur le fait que personne ne s'amuse a ce genre de chose.
Du coup au revoir le html bonjour le bbcode beaucoup plus limité malheureusement.

A voir, sachant que le pire qui peut etre fait est la redirection vers la page de suppression qui en soit n'est pas suffisante vu qu'elle necessite la validation du joueur.

Une mesure simple va tout resoudre, j'edite quand elle est faite

Et voila, ni le PHP ni le javascript ne peuvent passer desormais (enfin normallement)

_________________
Le lâche connait la honte
Niou Taiknolog1e: Geekeries & Cie
42, le magazine par, pour, sur, dans les geeks !

Dernière édition par CerberusXt le Dim 11 Déc, 2005 21:38, édité 1 fois au total.

Haut
 

moa
 Sujet du message:
MessagePublié: Dim 11 Déc, 2005 21:31 
Hors-ligne
Héros Débutant
 Profil

Inscrit le: Mer 19 Jan, 2005 19:36
Messages: 72
Au passage si tu pouvais enlever la redirection vers Yahoo de mon profil... Ce serait sympa :roll:
Haut
 

chatissimus
 Sujet du message:
MessagePublié: Dim 11 Déc, 2005 21:38 
Hors-ligne
Charogneur de niveaux 42
Avatar de l’utilisateur
 Site Internet  Profil

Inscrit le: Mer 24 Nov, 2004 19:06
Messages: 8891
Localisation: joue à la balle
désactive javasrcipt dans ton naviagteur et tu poura Moa

_________________
°
*͌l* ̴ı̴̴ ͡|̲̲̲͡͡͡ ̲▫̲͡ ̲̲̲͡͡π̲̲͡͡ ̲̲͡▫̲̲͡͡ ̲| ̴ı̴ *͌l*

Haut
 

Afficher les messages publiés depuis:  Trier par  
Publier un nouveau sujet Répondre au sujet  Page 1 sur 1
  [ 4 messages ] 

Index du forum » Fonctionnement du jeu » Bugs

Heures au format UTC + 1 heure



Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 6 invité(s)

Vous ne pouvez pas publier de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum

Rechercher pour:
Aller vers:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group  
Design By Poker Bandits     
Updated By Kieron Thwaites (Ron2K)  
Traduction réalisée par Maël Soucaze © 2010 phpBB.fr