Hébergement du site en PHP et Mysql par WDMédia-hébergement
Vous aussi adpotez les éléPHPants de Vincent Pontier !  


Rechercher dans le forum

Mots-clés :

Trouver :
un de ces termes tous les termes

Depuis :
7 j 15 j 30 j


Retour à l'index du forum

Vulnérabilités dans MyNews 1.2

Message original de N-0-X

Le : 12/07/2004 à 17:10:23

Dejà lu 67036 fois avant vous

Bonsoir. Comme le dit le titre, MyNews est contient deux failles. La première, s'apelle XSS. par exemple, mettez comme message <script>alert("XSS vulnérable!")</script>, vous verrez que lors du chargement de la page, une fenêtre affiche "XSS vulnérable".
La seconde vulnérabilité que j'ai remarqué (je ne suis probablement pas le premier), c'est dans le pseudonyme. C'est d'ailleurs elle qui permet le tout. En effet, si on rajoute simplement un argument php (ou MySQL) qui permet de faire les commentaires(comme #, /* ou encore //), alors, on peux mettre tous les caractère que l'on veux dans le corps du commentaire...

Voila ce que je vous propose pour sécuriser vos scripts, rajoutez cela juste après le premier "else" dans ajouter2.php3:

/*
Sécurisation de MyNews1.2 et ajout d'une fonctionnalité:
Possibilité d'utiliser des apostrophes dans les commentaires
Poste ici toute remarque
*/
$pseudo = htmlspecialchars("$pseudo", ENT_QUOTES);
$commentaire = htmlspecialchars("$commentaire", ENT_QUOTES);


Normalement, ce code devrait fonctionner, mais dîtes moi s'il ne fonctionne pas.

Amicalement, N-0-X.

Re: Vulnérabilités dans MyNews 1.2

Réponse de Kirow

Le : 15/12/2006 à 11:08:32

Quand je suis sur l'administration des news, j'entre les donnés, je fais ajouter une news, il me marque "Oops, il y a un champ vide" Alors que j'ai bien tout rempli (Et je n'ai coché aucun option)

Re: Vulnérabilités dans MyNews 1.2

Réponse de Kirow

Le : 15/12/2006 à 11:09:33

(Désolé le double post)

Si quelqu'un pourrait m'aider :/, merci...

(Et bonjour aussi, j'ai oublié ^^")

Re: Vulnérabilités dans MyNews 1.2

Réponse de ben

Le : 15/12/2006 à 11:35:13

probleme de variables et registerglobal à off ?
remplace $variable par $_post[variable] dans ajouert_verif.php et les autres fichiers

Re: Vulnérabilités dans MyNews 1.2

Réponse de Kirow

Le : 15/12/2006 à 12:54:48

J'vais essayé, j'te dirais quoi, merci beaucoup de ta reponse ^^

Re: Vulnérabilités dans MyNews 1.2

Réponse de Kirow

Le : 15/12/2006 à 13:37:52

Voila, ca m'ecris ceci ... -_-

Parse error: syntax error, unexpected '{' in /var/freespace/Monsite//News/admin/ajouter_verif.php on line 3

Merci de l'aide =), bonne journée

Re: Vulnérabilités dans MyNews 1.2

Réponse de moogli

Le : 25/12/2006 à 02:03:59

salut,

http://www.phpjungle.info/phpdebutant/MyNews1.2.2.zip

la fonction d'échappement tiens comptes des magic_quote, il est bon de la modifier pour utiliser mysql_real_escape_string plutot que addslashes ! (y a d'autre truc à modifier ensuite mais j'ai pas le temps :) ).

NOX : htmlspecialchars c'est à réserver pour l'affichage :)


@+

Re: Vulnérabilités dans MyNews 1.2

Réponse de KrqsNwKfRsNd

Le : 13/03/2009 à 20:40:47

BFEWxs <a href="http://dulszjropoll.com/">dulszjropoll</a>, [url=http://phkccbbhllmf.com/]phkccbbhllmf[/url], [link=http://slnpxdzppyjb.com/]slnpxdzppyjb[/link], http://vpkkhkekhqlf.com/
Retour à l'index du forum


Ajouter une réponse

Nom :

Email :

Titre :

Message :

Combien font 3 + 4 ?

Mise en forme : gras = [b]...[/b], italic = [i]...[/i], souligné = [u]...[/u], citation = [quote]...[/quote], lien = [url]liens_externe[/url] ou [url nom=texte]liens_externe[/url], code source : [code]...[/code]

Recevoir les réponses par mail :
Oui Non

Mémoriser mon nom et mon email :
Oui Non

 

Charte des forums PHPDébutant

Bienvenue à vous,

Vous voici donc prêt à poster sur les forums de PHPDébutant. Avant toute chose, merci de prendre le temps de lire les quelques lignes qui suivent.

Attention, à partir du moment ou vous postez dans les forums, vous acceptez la présente charte. Si votre message est modéré ou supprimé, vous ne pourrez pas dire que vous n'étiez pas au courant des règles !

Pourquoi une charte

Le but de cette charte est simple : que ces forums restent cordiaux et que les personnes aidant les autres ne se sentent pas lésées, insultées, critiquées. Pour que ces forums fonctionnent, il faut des personnes qui répondent aux questions. Pour que celles ci restent sur le forum, il faut les traiter avec respect, et ne pas les confondre avec des bonnes poires, esclaves, etc...

Mesures de régulation

  • Un nouveau message ne disant pas bonjour, ou insultant, dont le titre est tout en majuscules, pourra être supprimé sans justification (raisons non limitatives).
  • Prenez le temps de vérifier que la question que vous allez poser n'a pas déjà été posée, à l'aide du formulaire de recherche.
  • Prenez également le temps de vérifier que la réponse à votre question ne se trouve pas dans les tutoriaux. Nous ne pouvons pas répeter pour chaque visiteur tous les cours, il sont écrits, profitez-en (dans l'ordre tant qu'à faire) !
  • Nous ne faisons pas de scripts tout prêts. Nous aidons et vous guidons pour que vous puissiez trouver vous même la réponse, ce qui est beaucoup plus formateur.
  • Si vous comptez poster un message publicitaire, abstenez-vous. Au mieux le message sera supprimé, au pire les habitués descendront votre service en flamme.
  • Pour tout message de recrutement, précisez bien votre demande. Inutile de poster pour trouver un développeur pour faire gratuitement votre site de webmastering qui vous rapportera plein de sous. Les seuls coups de mains donnés en développement sont pour des associations ou des sujets passionnant un développeur.
  • Toute personne tenant des propos racistes ou illicites sera bannie et pourra faire l'objet de poursuites.
  • L'humour étant très présent sur ces forums, ne réagissez pas violemment à des propos qui pourraient être à prendre au second degré et avec de l'humour.
  • Attention aux trolls ! Leur multiplication peut entraîner la mort des forums, et sans forum, plus d'aide !
  • Respectez les thèmes des forums. Pensez aussi à vérifier que votre message n'a pas été déplacé si vous le croyez effacé.

Conseils

  • N'oubliez pas que les personnes à qui vous vous adressez sont des bénévoles qui donnent de leur temps pour vous. Si vous êtes méchants avec eux, il n'aideront plus et vous n'aurez plus d'aide !
  • Ne soyez pas pressé. Nous avons une vie aussi, et nous ne sommes par forcément tout le temps disponibles.
  • N'oubliez pas que les smileys sont la pour faire comprendre l'humeur dans laquelle vous rédigez un message. Il est indispensable de mettre des smileys quand vous faites de l'humour, sinon le message pourrait être mal perçu (ca serait quand même idiot de plomber l'ambiance en faisant de l'humour !).
  • Surveillez votre orthographe, nous ne vous demandons pas d'être littéraire, mais que votre message soit au moins compréhensible. Evitez à tout prix le style SMS.
  • Expliquez clairement le problème, ce n'est pas toujours facile, mais mieux vaut essayer de le faire le plus possible.
  • Ne postez pas de questions trop vagues du genre "comment faire un forum". Cela ne sert à rien, cela ne s'explique pas sur un coin de forum.
  • Mettez un titre clair, correspondant au sujet que vous allez poster. A l'aide, au secours, etc... ne sont pas d'une grande utilité pour ceux qui vont vous aider. Parfois nous passons en coup de vent, et si nous ne savons pas ce que va contenir le message, nous ne le regarderons même pas.
  • Ne mettez par [URGENT] ou autre joyeuseté du genre dans vos titres de messages. Cela irrite les gens (il y'a plus urgent dans la vie, pensez aux gens qui meurent de faim ou ayant besoin des pompiers, ça c'est urgent), et vous n'aurez pas votre réponse plus vite pour autant.
  • Si vous connaissez déjà à quel domaine votre question d'adresse (par exemple mysql, html, php, javascript), n'hésitez pas à le marquer au début de votre message, avec un [html] par exemple (notez les minuscules).
  • Ne dites pas "ça marche pas". Il y a toujours des raisons. Je vous invite à consulter le tutorial "ça marche pas" qui vous aidera à mieux expliquer votre problème.
  • Ne postez pas 36000 lignes de code. Sur le forum, le code apparaît non coloré et sans indentation, ce qui est illisible. Au dessus de 5 lignes, plus personne ne lit et vous n'aurez pas de réponse. Utilisez le wall
  • En règle générale restez courtois et clair, n'oubliez pas que la politesse fait partie de la vie courante. Il est de bon ton de dire bonjour même pour une réponse, même plusieurs fois dans la journée (ceux qui vous lisent n'ont pas forcément lu vos autres messsages)

La Fin

Avec tout ces conseils vous augmenterez les chances de réponse, leur pertinence et leur rapidité

Voilà, ça sera tout, bonne écriture :)

Fermer les règles et poster un message


www.phpdebutant.org © 2024 - L'équipe de phpDebutant - Hébergement : WDMédia-hébergement