J'ai remarqué par hasard ce lien "anti aspirateur" qui est censé provoquer un banip de 24h si on visite la page en question

Perso, j'appelle ça une faille CSRF, vu qu'il n'y a aucune protection (un simple GET sur index.php et pouf, banni)
Mettre un token aléatoire ne serait pas du luxe (genre index-13ef9613d.html ou un truc du genre)

Je n'ai pas testé avec un referer invalide mais par contre avec un referer vide, le ban est exécuté

Bonjour à tous,

Il me semble avoir fait le plus dur : je sais où se trouve secret.php, j'ai réussi à devenir administrateur, et j'arrive aussi à exécuter la fonction validation().
Par contre, je n'ai trouvé aucun moyen d'accéder au contenu de secret.php ... Et visiblement c'est pas ce qui a l'air de poser le plus de problème d'après les réponses que j'ai pu lire sur ce fil ...

Et je ne pense pas non plus qu'il faille le bruteforcer (ça représenterai 1440 reqûetes au maximum).

Une piste ?

Merci d'avance.