C'est noté.

Je delete le shout.

Merci

Bjour je suis l'autre admin du serveur

/old réglé
/pages réglé

je m'occupe de la xss tt de suite (félicitation c'était bluffant !!)

est-ce que vous pouvez jeter un œil à créditer mon compte avec starPass
code illimité pour le premier = wrtest01
et pour le second wrtest05 (5 fois :-) )

Merci
Cordialement

Je confirme, HELL_OF_BSOD est bien l'autre admin.
Je m'occupe de SSL & contrôle des types cet aprèm.

Merci,

macman31

Faille xss corrigée !! (merci "htmlspecialchars();")

Je crée un certificat ur le https

Cordialement

Un Certif auto-signé ?
Traès franchement, mauvaise idée. Tout les browser vont afficher un warning et la pluspart des gens ne rajouteron pas une exeption pour ton certif.
Si tu veux un "vrai" certificat SSL signé par une CA :
http://www.verisign.com/ssl/buy-ssl-certificates/index.html (pour lee "vrai" pro, reconnu, le meilleur service du marché, mais assez chère)
http://www.ovh.com/fr/produits/ssl.xml : Une bouchée de pain, mais ne permet pas les même garanties que VeriSign.
Ou alors renseigne toi pour savoir si ton hoster ne te propose pas une formule de SSL "gratuit".
Mais, le SSL auto signé, mauvaise idée. (Pour le référencement c'est horrible aussi).
Un SSL autosigné est plustot utile dans le cas d'un LAN avec des services permettant ou nécessitant du SSL pour fonctionner. En gros, en interne et non-public.

Votre machine est a jour? Car je trouve la version de php un peu vieille...

@THE-DEATH Comment as-tu fais pour avoir ta faille xss moi j'avai mit ceci dans la shout-box et je n'avais rien eu :

<script>alert("xss")</script>

Bizarre que toi tu est eu quelle que chose ^^

[edit]
Plus possible de se connecter avec compte de test (HACKBBS/HACKBBS).

[/edit]

[edit2]

Ça remarche ;)
[/edit2]

HACKBBS : compte recréé suite a l'effacement du mot de passe dans la BDD
User : HACKBBS
Pass : HACKBBS

Merci de ne PAS changer le mot de passe de ce compte.

Cordialement,
macman31

@ROOTBSD : Le système est à jour, mais PHP ne veut pas se mettre à jour correctement.

@RAYON-GAMA : il a tout d'abord fermé la balise span : </span> avant de mettre le code.

macman31

@MACMAN31 A bah c'est logique ;) Merci ^^

Il y a beaucoup de tests sur le site web, c'est génial.
Mais quelqu'un pourrais-t-il jeter un coup d'œil à la sécurité du serveur en lui même et des services accessibles depuis le net ? Car le serveur, c'est un peut le "nerf de la guerre" ;-)

Merci d'avance,

macman31

Tu parle tu serveur wow ?

Serveur Linux ;-) (qui héberge le serveur WoW)

macman31

rayon-g : je ferme le span et j'evites de mettre du texte dans le alert, un 0 va permettre de ne pas mettre de quotes qui sont dans la plus part des cas filtrées, c'est pour ça que tous les alert() que je place ne contiennent jamais de texte mais que des chiffres.
alert(0) reste pareil alors que alert("Hello") peut facillement devenir alert(\"Hello\") et ne fonctionnera pas.

Ah okey merci pour ces précisions.