Ca serait marrant d'ajouter un module qui log l'heure + date des validations par pseudo si c'est pas déjà fait, histoire de repérer le malin qui se valide 10 epreuves en 5 minutes

C'est clair que ya aucun interet à tricher, mais je vois mal comment empecher ça, j'ai deja vu par exemple des personnes faire le challenge en "équipe" (ils crééent un compte commun,  puis chacun valide les épreuves qu'il peut, et ils se donnent le password entre eux, je sais pas trop si c'est de la triche mais c'est l'exemple type des mecs qui jouent juste pour le classement, ce qui est ridicule) ...

Alors les loustics de piratecafe, pour ne pas les citer, on le sait ce que vous fabriquez dans votre "private zone"  

DEDE quand tu dis que tu l'as créé toi même, as tu utilisé une class OCR, une librairie spécifique ... ??
Je vois pas du tout comment coder ca en php lol

Bon je réponds moi même à ma question lol

J'ai utilisé 3 lignes de PHP en couplant à un soft d'OCR

Merci à S0410N3 pour les lumières

Un mec qui propose des réponses sur son site j'aurais aucune pitié pour lui perso, et puis celui qui fait un site basé sur la sécurité informatique il est censé ne pas avoir de failles archi connues (je sais que personne ne peut être protégé à 100% mais ya des limites), donc faut assumer ce qu'on fait, surtout quand on sait que ca plaira pas à tout le monde !

yotho tu peux pas concatener des requêtes sur MySQL du moins, ça serait trop facile sinon ...

Evitez de trop faire mumuse sur des sites qui ne vous appartienent pas et si bous n'aavez pas d'autorisation, tout ce que vous essayez est loggué (access de apache) donc bon en cas de hack le webmaster pourra croire (a tord ?) que c'est vous !

Pourrais t-on avoir un indice à ce sujet ?
En effet, faut-il utiliser une class ou librairie spécifique, doit-on couplet php avec un logiciel d'ocr ?

Car là je ne vois pas trop par ou commencer, le code n'étant pas dans la source de l'image

Salut j'ai pas bcp regardé mais ce qui m'a paru flagrant c'est l'inclusion interne :

http://www.foount.info/index.php?l=xxx

j'ai pas trop regardé si tu avais des htaccess lol mais bon ca permet aux boulets de faire un peu de DOS

http://www.foount.info/index.php?l=./.././admin

a++

Salut, j'ai regardé un peu cette faille, je vais vous expliquez (pour ceux qui ne comprenne pas).

Enfaite le (.%2b)/e%00 est injecté dans le premier argument de preg_replace() de façon a evaluer (/e) le second argument de preg_replace (ce qui en faite executera le code comme du code php). Le %00 est un null byte qui permet d'annuler ce qui est après ((\])/si). le (.%2b) c'est pour satistfaire la condition $3 (ou \\3).

Ensuite tu peux injecter du code php via $userdata['user_sig'] en le placant après : pour que preg_replace() fasse son boulot

j'avais le même problème j'ai utilisé JAD et ca a decompilé nikel

Lol non ce n'est pas ça c'était une idée pour une future épreuve, je pensais qu'une injection de headers pourrait faire une épreuve sympa et un peu plus dur

une injection de headers dans mail() ne serait-elle pas plus sympatique ?

Sorry j'ai fais une confusion avec le set_time_limit()

Oui bien sur, si tu n'es pas trop familiarisé avec le Tux, installe une distrib type IPCOP, SME, FreeOS (orienté firewall), ces distros ont déjà ce qu'il faut pr le serveur proxy et DHCP. Tout ce configure via une interface web style Webmin. Il ne te reste plus qu'a installer DansGuardian, si tu choisis SME ou freeos, iDansGuardian existe en RPM donc c'est simplifié Ensuite, quelques paramètrages que je t'expliquerai par la suite (je les ai plus la :p) et le tour est joué

attention si le safemode est activé le set_time_limit() n'a aucune influence, si tu es sur ton propre serveur web, tu as 2 solutions, soit tu modifies ton php.ini avec  max_execution_limit (truc dans le genre ) ou tu utilises la commande que l'on ta donné avec le safe_mode désactivé.

Salut,

Ce qu'il faut faire dans ton cas c'est installé un proxy transparent filtré par DansGuardian.
Il faut utiliser une machine en tant que passerelle, installer un serveur DHCP, Squid  en mode transparent (tous les PC passeront par le proxy, sans aucune configuration de leur navigateur) et Dansguardian, tout cela est bien sur en logiciel libre . N'oubli pas de desactiver le serveur DHCP existant pour qu'il n'y ai pas de conflit. Le pc en passerelle aura 2 cartes réseaux, une raccordée au modem/routeur (ethernet :p) et l'autre au switch et detectera toutes tentatives. Tu peux même bloquer le téléchargement de certaines extensions, et tu as pleins de possibilités !