[HNC]

Ya-Ha!

Aujourd'hui, je viens de trouver une faille dans un site.
Bien sûr autant vous dire tout de suite que mes intensions sont "white hatives".


Explain:
Il y a un formulaire et l'on peut envoyer des messages dans une BDD, je l'ai testé et je me suis rendu compte que je pouvais entrer du html.


Je ne suis pas encore sûr à 100% qu'il y ait une faille, merci de me dire quoi faire pour m'en assurer.

Merci de vos réponses.

Edit : Il y a aussi une page permettant d'afficher les valeurs contenues dans la BDD.

[CommComm]

A supposer qu'il faille une réponse, **No Sms** à la bonne place, ton post.

[HNC]

A supposer qu'il faille une réponse, **No Sms** à la bonne place, ton post.

Je suis désolé dans ce cas là, où dois-je le mettre alors?

[Valarius]

dans hacking je pense ou alors peu t'etre dans defouloir

[Gardel]

Et puis bon, faire un thread pour ça, je suis pas sûr que ça vaille vraiment  la peine, ce que tu viens de découvrir c'est une faille XSS, connu quoi.

Entre parenthèses : comment oublier le htmlentities() :p

[HNC]

Simoff = HNC;
HNC = Simoff;

Et puis bon, faire un thread pour ça, je suis pas sûr que ça vaille vraiment  la peine, ce que tu viens de découvrir c'est une faille XSS, connu quoi.

Ok, alors comment m'assurer qu'il y a une faille?

Si vous êtes compétent dans le domaine pourriez-vous m'informer sur "la sécurisation de la faille et comment l'exploiter"

Dans un cas où il y aurait une faille le dirai au webmaster. Ne vous inquiétez pas ^^


Edit : J'ai trouvé une autre faille dans ce même site, la faille include, et encore la même faute "XSS" (d'après Gob) dans une autre page.
J'aimerai aussi bien que l'on m'explique comment faire pour entrer une requête Sql dans un champ, pour par exemple afficher le contenu de la BDD.

Merci

[cyberio]

Voila un des meilleurs site sur le sujet : http://www.google.fr

[Orikalc]

Va sur zataz si tu veux trouver une panoplie de site "faillant" .