[Nms]

Je me permets de créer une topic pour cette épreuve, non pas pour demander un indice, mais tout simplement pour féliciter chaleureusement son auteur Mr_KaLiMaN (et son coauteur Darkfig) ! Cette épreuve est extrêmement pédagogique (de mon point de vue), et ce genre de qualité est à souligner ! L'exploitation recquiert des méthodes que l'on a pas l'habitude d'utiliser, et c'est tant mieux ! J'ai appris plusieurs choses que j'ignorais en faisant cette épreuve. C'était réellement un régal de la faire.

Donc encore une fois félicitations pour cette épreuve très réussie ! Que ceux qui croient que les injections SQL se limitent à ' OR 1=1 se ruent sur cette épreuve, ça ne pourra leur faire que le plus grand bien !

Mr_KaLiMaN j'attends ta prochaine épreuve avec impatience...

[Mr_KaLiMaN]

Bravo à Nms, achyl, _o_, et au couple Zmx&Dxyz !
4 validations et 4 méthodes différentes !
Congratz encore une fois

[_o_]

Allez, je fais également dans l'auto-congratulation.

Merci Mr_Kaliman, elle est très intéressante cette épreuve. Pédagogique, oui, la preuve : je connais le manuel MySql par coeur maintenant.

Plus sérieusement, elle montre deux choses :
- D'abord qu'il y a peu de limites à l'imagination, puisque par rapport à la manière d'exploiter la faille que tu prévoyais, personne ne l'a réellement utilisé de la façon prévue.
- Ensuite qu'on ne bouche pas une faille en ajoutant de longs filtres dans le code, comme cela est fait entre l'épreuve 23 et la 24. Ca alourdit le code, ça gêne la maintenabilité, et finalement, cela ne fait que déplacer la faille. Alors que de bonnes habitudes de codage, prise dès le départ, auraient considérablement réduit la possibilité d'un exploit là-dedans.

D'une manière plus générale, la plupart des épreuves de hack récentes sont très pédagogiques et m'ont beaucoup appris. Á tel point que j'ai une petite envie de relire les rares bouts de code php que j'ai écrits, pour voir si par hasard, j'aurais pas laissé traîner de bons gros trous bien gras.

[the lsd]

Á tel point que j'ai une petite envie de relire les rares bouts de code php que j'ai écrit, pour voir si par hasard, j'aurais pas laissé traîner de bons gros trous bien gras.

Ah toi aussi ?

Enjoy

The lsd

[phoenix1204]

Arf bah j'ai eu du mal... Je ne vais pas faire de redite de ce qu'ont si bien exprimé Nms et _o_ je pense tout pareil !
Par contre c'est là que se fait cruellement sentir l'absence d'une partie "Discussion afterwards" car j'aurais bien aimé
confronté ma solution (dont je ne suis pas satisfait) avec celles des autres dont le créateur bien sûr...

Noël est proche, on ne sait jamais

[S0410N3]

Je sais je sais et je suis le premier à y penser... Mais c'est pas si simple en l'état :'(

[zours]

Ben ouais. Ca c'est l'inconvénient de prendre des systèmes existants. C'est plus dur à intégrer. Là c'est du punBB, forcément, il a pas été prévu pour que des topics se découvrent au fur et à mesure...

Moi aussi, j'aurais bien aimé un afterwards. Mais bon, faut être réaliste aussi, ça représenterait une quantité de travail tout simplement monstrueuse.

[Zmx]

Á tel point que j'ai une petite envie de relire les rares bouts de code php que j'ai écrit, pour voir si par hasard, j'aurais pas laissé traîner de bons gros trous bien gras.

Ah toi aussi ?

Enjoy

The lsd

Tiens vu que je suis une quiche en PHP, je me demandais "pourquoi" vous n'utilisez pas ce genre de code: http://www.petefreitag.com/item/356.cfm

-Pour ceux qui ont réussi l'epreuve, je pense qu'il comprendrons sans que j'en parle plus.
- Pour ceux qui n'ont pas reussi, j'espere que ça ne donne pas un indice ...

[S0410N3]

Merci Mr_KaLiMaN pour le fun.
J'ai bien aimé cette épreuve. Comme disent les autres ça oblige à se farcir la doc MySQL si on est à court d'idée (ce qui était mon cas) et ça c'est franchement pas plus mal
On y découvre aussi quelques petites bizarreries au passage ^^
Bref, très intéressant
Vivement le prochain.

[sofiane]

Grand merci à Mr_KaLiMaN pour cette épreuve !

C'est fou ce que la joie est immense quand on est confronté à plusieurs barrage et qu'on arrive à trouver la brèche ! , j'avoue que je me suis farci aussi toute la Doc SQL..

Bravo aussi pour ceux qui l'on réussi.

[cekica]

salut à tous,

Je trouve cette épreuve génial à tel point que j'en reste bloqué.

un petit indice cerai la bienvenu ..
=D

[UMH-Belegkarnil]

Décidément les épreuves de hack sont toutes de plus en plus chouettes , félicitation à Mr_KaLiMaN

[I_doll]

Bon ça sent l'injection SQL à plein nez ça c'est clair.
Par contre laquelle tel est la question...?
J'aimerais pas trop en dire en posant ma question mais est ce que l'union fait la force ?

[Mr_KaLiMaN]

Rien ne vaut un test.

[wouanou]

Je suis en train d'apprendre par coeur la doc de MySQL puisque apparemment la réponse y est cachée quelque part, mais c'est vaste, surtout quand on ne sait pas ce que l'on cherche. Donc si une âme charitable pouvait donner quelque indication **orthographe !** la direction à prendre...
 - Y a t'il quelque chose en rapport avec l'encodage des caractères ?
 - J'ai été accueilli par un énigmatique "Pas trop loin non plus !" quand j'ai voulu déterminer la version de MySQL, je suppose donc qu'il est inutile d'aller chercher dans la doc des versions antérieures ?
 - Je cherche quoi là, une fonctionnalité ou un bug MySQL ?

Merci !