| Forum Heroes' Chronicles http://forum.heroeschronicles.nainwak.org/phpbb3/ |
|
| Faille de type XSS http://forum.heroeschronicles.nainwak.org/phpbb3/viewtopic.php?f=38&t=12119 |
Page 1 sur 2 |
| Auteur: | Athos [ Mar 21 Mars, 2006 19:16 ] |
| Sujet du message: | Faille de type XSS |
Bonjour, J'ai trouvé(encore?!) un faille dans l'affichage du HTML dans certains champs. En effet, dans la fiche perso, on peut afficher une image, via du HTML. Ainsi, une faille XSS se découvre. Imaginez : // CENSURE // Ceux qui s'y connaissent comprendront. Cette faille permettrait de récupérer le PHPSESSID, ce qui pourrait etre désobligeant 
A bon entendeur... |
|
| Auteur: | le_bourin [ Mar 21 Mars, 2006 19:18 ] |
| Sujet du message: | |
Citer: Ceux qui s'y connaissent comprendront.
Et ceux qui s'y connaissaient pas, y font comment ? PS: Pour les failles: Mp->Cerb |
|
| Auteur: | Athos [ Mar 21 Mars, 2006 19:29 ] |
| Sujet du message: | |
le_bourin a écrit: Citer: Ceux qui s'y connaissent comprendront. Et ceux qui s'y connaissaient pas, y font comment ? PS: Pour les failles: Mp->Cerb Ils ne font pas, de toutes façons, c'est surtout pour Cerb (les autres, je vois pas pourquoi ils auraient besoin, à part pour des fins inavouables). Ok pour le MP mais la derniere fois il n'avait meme pas répondu. |
|
| Auteur: | chatissimus [ Mar 21 Mars, 2006 20:13 ] |
| Sujet du message: | |
c'est le probleme d'autoriser l'affichage html ... mais ne pas l'autoriser ca serai bete aussi .... autrement dit c'est de la confiance . |
|
| Auteur: | Olorin [ Mar 21 Mars, 2006 20:16 ] |
| Sujet du message: | |
Confiance ou pas confiance, il faudrait virer cette ligne de ton post, Athos... |
|
| Auteur: | Athos [ Mer 22 Mars, 2006 7:07 ] |
| Sujet du message: | |
Une simple ligne BBCODE serait préférable. Vous vous rendez compte que n'importe quel persone pourrait récupérer votre identifiant de session simplement parce que vous regardez ses infos ? |
|
| Auteur: | chatissimus [ Mer 22 Mars, 2006 14:21 ] |
| Sujet du message: | |
c'est sur le seul probleme c'est que le BBcode fait perdre toute mise en page possible. |
|
| Auteur: | Athos [ Mer 22 Mars, 2006 15:02 ] |
| Sujet du message: | |
A vouloir trop faire... |
|
| Auteur: | Achile [ Mer 22 Mars, 2006 16:55 ] |
| Sujet du message: | |
ton intervention est probablement justifiée athos mais d'un autre côté enlever le HTML c'est vraiment dommage. pour info au ptis malins qui tenteraient d'en savoir plus, le multicompte est interdit. donc si par chance vous obtenez le login et mot de passe d'un autre joueur, si vous l'utilisez c'est le risque de plus pouvoir jouer du tout que vous prenez. encore 2 joueurs gelés ya quelques jours... 
|
|
| Auteur: | le_bourin [ Mer 22 Mars, 2006 16:58 ] |
| Sujet du message: | |
Avec cette méthode il serait possible de récuperer le login et le mdp ? ou seulement le login ? |
|
| Auteur: | Kerem [ Mer 22 Mars, 2006 17:44 ] |
| Sujet du message: | |
Achile a écrit: ton intervention est probablement justifiée athos mais d'un autre côté enlever le BBcode c'est vraiment dommage.
pour info au ptis malins qui tenteraient d'en savoir plus, le multicompte est interdit. donc si par chance vous obtenez le login et mot de passe d'un autre joueur, si vous l'utilisez c'est le risque de plus pouvoir jouer du tout que vous prenez. encore 2 joueurs gelés ya quelques jours... Bah en générale, quand tu pique un compte, c'est qu'il est meilleur et que tu ne compte pas garder ton ancien... |
|
| Auteur: | chatissimus [ Mer 22 Mars, 2006 18:07 ] |
| Sujet du message: | |
Achile a écrit: ton intervention est probablement justifiée athos mais d'un autre côté enlever le BBcode c'est vraiment dommage. c'est l'inverse justement il n'y a pas de bbcode sur la fiche de perso , tu code directement en html et c'est sur que d'un point de vue sécurité cela serai mieux qu'il y ait du BBcode mais cela serai moins joli :s le_bourin a écrit: Avec cette méthode il serait possible de récuperer le login et le mdp ? ou seulement le login ?
il est possible de récupérer toutes les variables de l'utilisateur au moment ou le script est lancé |
|
| Auteur: | Athos [ Jeu 23 Mars, 2006 18:57 ] |
| Sujet du message: | |
En fait, imagine que je te donne alors que tu es connecté e lien vers ma fiche perso qui contient le code subversif, et bien ça me permettrait de prendre le controle de ta session. Ainsi, je peux te supprimer, me faire un don plantureux  ou changer ton mdp.
Imagine les ravages si un cracker créait un exploit en perl ou en C qui agirait automatiquement, en, par exemple, supprimant les comptes des victimes ! |
|
| Auteur: | le_bourin [ Jeu 23 Mars, 2006 19:00 ] |
| Sujet du message: | |
/me note dans son carnet: ne JAMAIS regarder la fiche perso d'un mec inconnu |
|
| Auteur: | Myonnaise_le_fourbe [ Jeu 23 Mars, 2006 22:13 ] |
| Sujet du message: | |
J'veux pas jouer les rabajoies... Mais c'est sympatique de tout étaler en publique. Au moins, maintenant, meme ceux qui n'ont pas (encore) les capacités de faire tout ça savent quelle méthode adopter. C'est important de signaler les bugs, là dessus j'suis tout à fait d'acc. Mais aller jusqu'à expliquer ce qu'on peut faire en explotant le bug, je trouve ça un peu déplacé. Maintenant, on est certain que si qqun de mal intentionné passe par là, il aura de la m**** ... ... Sur ce ... Vous voudriez pas supprimer ce topic ? 
Enfin... moi ce que j'en dis... |
|
| Page 1 sur 2 | Heures au format UTC + 1 heure |
| Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group http://www.phpbb.com/ |
|