Forum Heroes' Chronicles

Bonjour,

J'ai trouvé(encore?!) un faille dans l'affichage du HTML dans certains champs.
En effet, dans la fiche perso, on peut afficher une image, via du HTML.
Ainsi, une faille XSS se découvre. Imaginez :

// CENSURE //

Ceux qui s'y connaissent comprendront. Cette faille permettrait de récupérer le PHPSESSID, ce qui pourrait etre désobligeant

A bon entendeur...

Et ceux qui s'y connaissaient pas, y font comment ?

PS: Pour les failles: Mp->Cerb

Ils ne font pas, de toutes façons, c'est surtout pour Cerb (les autres, je vois pas pourquoi ils auraient besoin, à part pour des fins inavouables).
Ok pour le MP mais la derniere fois il n'avait meme pas répondu.

c'est le probleme d'autoriser l'affichage html ...


mais ne pas l'autoriser ca serai bete aussi ....


autrement dit c'est de la confiance .

Confiance ou pas confiance, il faudrait virer cette ligne de ton post, Athos...

Une simple ligne BBCODE serait préférable.
Vous vous rendez compte que n'importe quel persone pourrait récupérer votre identifiant de session simplement parce que vous regardez ses infos ?

c'est sur


le seul probleme c'est que le BBcode fait perdre toute mise en page possible.

A vouloir trop faire...

ton intervention est probablement justifiée athos mais d'un autre côté enlever le HTML c'est vraiment dommage.

pour info au ptis malins qui tenteraient d'en savoir plus, le multicompte est interdit. donc si par chance vous obtenez le login et mot de passe d'un autre joueur, si vous l'utilisez c'est le risque de plus pouvoir jouer du tout que vous prenez.

encore 2 joueurs gelés ya quelques jours...

Avec cette méthode il serait possible de récuperer le login et le mdp ? ou seulement le login ?

Bah en générale, quand tu pique un compte, c'est qu'il est meilleur et que tu ne compte pas garder ton ancien...

c'est l'inverse justement

il n'y a pas de bbcode sur la fiche de perso , tu code directement en html et c'est sur que d'un point de vue sécurité cela serai mieux qu'il y ait du BBcode mais cela serai moins joli :s



il est possible de récupérer toutes les variables de l'utilisateur au moment ou le script est lancé

En fait, imagine que je te donne alors que tu es connecté e lien vers ma fiche perso qui contient le code subversif, et bien ça me permettrait de prendre le controle de ta session.
Ainsi, je peux te supprimer, me faire un don plantureux ou changer ton mdp.

Imagine les ravages si un cracker créait un exploit en perl ou en C qui agirait automatiquement, en, par exemple, supprimant les comptes des victimes !

/me note dans son carnet: ne JAMAIS regarder la fiche perso d'un mec inconnu

J'veux pas jouer les rabajoies... Mais c'est sympatique de tout étaler en publique. Au moins, maintenant, meme ceux qui n'ont pas (encore) les capacités de faire tout ça savent quelle méthode adopter.

C'est important de signaler les bugs, là dessus j'suis tout à fait d'acc. Mais aller jusqu'à expliquer ce qu'on peut faire en explotant le bug, je trouve ça un peu déplacé.

Maintenant, on est certain que si qqun de mal intentionné passe par là, il aura de la m**** ...

... Sur ce ... Vous voudriez pas supprimer ce topic ?
Enfin... moi ce que j'en dis...