Bonjour!
J'aimerai avoir un avis, j'aimerai savoir si il est possible d'y injecté un script.
var _DO_=null;var _PAGE_=null
function _JGCS(e){if(e.currentStyle) return e.currentStyle;if (window.getComputedStyle) return window.getComputedStyle(e, null);if (document.defaultView.getComputedStyle) return document.defaultView.getComputedStyle(e, null);return new Object()}
function _T0(event){clA4.OnSubmit();return true}
function _T1(event){{
alert(clWDEncode.sEncodeCharset(unescape("Gestion de la maintenance informatique.\r\nLyc%E9e Langevin-Wallon Champigny sur Marne (94).\r\nD%E9velopp%E9 par Jean-Michel NICOLAS, Chef de Travaux.\r\nOutils : WebDev 12, MySql, d%E9ploiement WebDev sur serveur apache.\r\nProgramme : Version 2.0b.")))
}}
function _T2(event){{
alert(clWDEncode.sEncodeCharset(unescape("Gestion de la maintenance informatique.\r\n.\r\nD%E9velopp%E9 par jean jacque, Chef de Travaux.\r\nOutils : WebDev 12, MySql, d%E9ploiement WebDev sur serveur apache.\r\nProgramme : Version 2.0b.")))
}}
function _T3(event){{
alert(clWDEncode.sEncodeCharset(unescape("Gestion de la maintenance informatique.\r\n.\r\nD%E9velopp%E9 par jean jacque , Chef de Travaux.\r\nOutils : WebDev 12, MySql, d%E9ploiement WebDev sur serveur apache.\r\nProgramme : Version 2.0b.")))
}}
function _T4(event){{
alert(clWDEncode.sEncodeCharset(unescape("Gestion de la maintenance informatique.\r\n.\r\nD%E9velopp%E9 par jean jacque , Chef de Travaux.\r\nOutils : WebDev 12, MySql, d%E9ploiement WebDev sur serveur apache.\r\nProgramme : Version 2.0b.")))
}}
function _T5(event){{}clA4.OnBlur(event)}
function _T6(event){clA4.OnFocus(event);{}}
function _T7(event){{
alert(clWDEncode.sEncodeCharset(unescape("Gestion de la maintenance informatique.\r\n.\r\nD%E9velopp%E9 par jean jacque , Chef de Travaux.\r\nOutils : WebDev 12, MySql, d%E9ploiement WebDev sur serveur apache.\r\nProgramme : Version 2.0b.")))
}}
function _LOD_COM(event){}
</SCRIPT>
<script>function chfocus(){window.focus();if(_PAGE_.A4!=null)try{_PAGE_.A4.focus();}catch(e){}}</SCRIPT>
<script>var clA4=new WDSaisie("nom.prenom","A4","");</script><script>function FinInitJS(){clA4.Init();}</script><script>function FinSubmitAJAX(){clA4.RAZIndication();}</script><LINK REL=stylesheet TYPE=text/css HREF="/MAINTENANCE_WEB/Maintenance.css">
<STYLE TYPE=text/css>.l-0{}.l-1{background-image:url(/MAINTENANCE_WEB/arriere_plan_haut.jpg);background-repeat:repeat;}.MESSAGETITRE-0{font-family:Verdana, Arial, Helvetica, sans-serif;font-size:9pt;font-style:normal;font-variant:normal;font-weight:bold;color:#3300CC;}.l-3{font-family:Verdana, Arial, Helvetica, sans-serif;font-size:7pt;font-style:italic;font-variant:normal;font-weight:normal;color:#999999;text-align:left;text-transform:none;}
#A10,#bzA10{border:solid 1px #006633;border-collapse:collapse;empty-cells:show;border-spacing:0;}
#A4{width:206;height:25;}
#A8{width:206;height:25;}
#fzizA7,#tzizA7,#bzizA7{border:solid 1px #006633;border-collapse:collapse;empty-cells:show;border-spacing:0;}</STYLE></HEAD><BODY topmargin=0 leftmargin=0 bgcolor=#FFFFFF onkeypress="if(((event.keyCode!=null)?event.keyCode:((event.which!=null)?event.which:0))==13){javascript:if(_T0()){_JSL(_PAGE_,'A5','_self','','')};return(event.returnValue!=null)?(event.returnValue=false):false;}" onload="chfocus();FinInitJS();alert('Erreur d\47identification.\nVeuillez recommencer.');;_LOD_COM(event);"><table align=center width=982><tr align=left valign=top><td><div style="position:relative">
N'y aurait - il pas moyen d'un introduire une injection sql, car sur l'une des autre page une faille de type XSS est présente & ce lon moi aussi une faille type sql injection, car quand j'introduis un guillemet dans l'url:
http://www.wwww/svi/?page=mapage"
Voici l'erreur provoquer:
Notice: Undefined variable: nomdefili in x:\websti\web\svi\index.php on line 122
Notice: Undefined variable: f_dir in x:\websti\web\svi\index.php on line 149
Warning: main(PresentationStage".html): failed to open stream: No such file or directory in x:\websti\web\svi\index.php on line 149
Fatal error: main(): Failed opening required 'PresentationStage".html' (include_path='.;C:\PROGRA~1\EASYPH~1\\php\pear\') in x:\websti\web\svi\index.php on line 149
Je rajoute que la faille sql et cette erreur se trouve sur une autre page que cette de "Connection". J'ai essayé d'introduire dans le champ login: 'OR 1=1 et password: 'OR 1=1
Mais aucune erreur n'apparait.....
Une dernière chose de **orthographe !** ma attiré l'œil:
L'url de la page de connection pour la maintenance du site est:
http://www.xxx.com/WD120AWP/WD120Awp.exe/CTX_1320-1-bWfikwWYDF/Accueil/SYNC_176660593Voila maintenant j'aimerai savoir ce que vous en pensez vous...
Très cordialement,