Forum Heroes' Chronicles :: Voir le sujet - Faille potentielle

Forum Heroes' Chronicles http://forum.heroeschronicles.nainwak.org/phpbb3/

Faille potentielle http://forum.heroeschronicles.nainwak.org/phpbb3/viewtopic.php?f=38&t=10170	Page 1 sur 1

Auteur:	moa [ Dim 11 Déc, 2005 21:20 ]
Sujet du message:	Faille potentielle
J'ai découvert une faille de sécurité importante mais simple type injection : Les informations profile gèrent très mal les balises HTML. Ainsi, quand vous mettez : <script language="javascript">location.replace("http://www.yahoo.com");</script> Ca vous redirige vers Yahoo!! Cette faille utilisée de cette façon est bénine (quoique) mais si à la place de yahoo je mettais l'url de mise en hibernation ou de suppression... Je n'ai pas eu l'occasion d'essayer d'injecter du PHP (forcément, quand j'essaye d'accceder au profil, c'est Yahoo qui apparait) mais si PHP est actif alors là... Bref, je vous conseille de réparer ça au plus vite...

Auteur:	CerberusXt [ Dim 11 Déc, 2005 21:27 ]
Sujet du message:
Le PHP n'est pas interpreté, pour le javascript je le savais déjà mais disons que je compte sur le fait que personne ne s'amuse a ce genre de chose. Du coup au revoir le html bonjour le bbcode beaucoup plus limité malheureusement. A voir, sachant que le pire qui peut etre fait est la redirection vers la page de suppression qui en soit n'est pas suffisante vu qu'elle necessite la validation du joueur. Une mesure simple va tout resoudre, j'edite quand elle est faite Et voila, ni le PHP ni le javascript ne peuvent passer desormais (enfin normallement)

Auteur:	moa [ Dim 11 Déc, 2005 21:31 ]
Sujet du message:
Au passage si tu pouvais enlever la redirection vers Yahoo de mon profil... Ce serait sympa

Auteur:	chatissimus [ Dim 11 Déc, 2005 21:38 ]
Sujet du message:
désactive javasrcipt dans ton naviagteur et tu poura Moa

Page 1 sur 1	Heures au format UTC + 1 heure
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group http://www.phpbb.com/