[Skity]

Bonjour,

Je pense que c'est la première fois que je poste sur ce Forum.
Tout d'abord je voudrais dire que c'est un excellent site aussi bien pour ceux qui veulent découvrir, ceux qui veulent apprendre mais aussi pour connaître les possibilités en informatique et se protéger.

Je poste car j'ai beaucoup cogiter sur cette épreuve et essayé beaucoup de choses mais la je suis face à un mur.
J'ai compris l'utilité de chacune des pages, lu toutes les pages de ce forum et je n'y arrive toujours pas.

Sans trop essayé de spoiler, il y a l'administrateur qui est censé faire l'idiot sauf que chez moi il ne le fait pas. J'ai pourtant tester en local et cela fonctionne très bien mais pas sur le site 

Si quelqu'un pouvait m'aider et si possible lui montrer ce que j'ai fais par MP (pour éviter de trop aider sur le forum car tous les éléments sont là).
Car c'est rare que je demande rapidement de l'aide. Je cherche bien avant de poster mais je ne sais plus quoi faire 

Merci d'avance,
Skity

[adrien4607]

La je bloc comme pas possible  ,
J'arrive a afficher des boite de dialogue, j'ais donc fait un script que j'ais tester sur mon site et qui fonctionne
Le hic c'est que dès qu'il y a une * et ** une partie de mon code est effacer il me les faut pour temp pour mon XML******.o**n(*****, ************);

Un petit indice serais le bienvenu, j'ais déja lus toute les page du sujet, mais bon je vais les rellire a l’affût d'indice   ...???

Edit : Trouver :aller faire un tour sur http://ha.ckers.org/xss.html

Edit : sur un simple alert('XSS') sa fonctionne mais dans mon script sa foir  
Surement une limitation de caractère  
J'en ais conclu que le script devais faire un max de 90 caractère  

Edit : Je ne comprend plus quant je n'exploite pas la faille y a pas de limitation, si je met juste une * pas de limitation, par contre après un "on*****=*" y a une limite 

[adrien4607]

Bon j'ais réussis a faire une redirection ver une page inexistante du site car j'ais toujours ce problème de nombre de caractère, il faut bien utiliser S****g.f***C**rC**e, ou je me plante complètement ????

[adrien4607]

Je vous donne un petit conseille :
Attention a votre navigateur !

Internet Explorer : 0/10 (bloque tous, modifie la page a coup sur)
Google Chrome : 5/10 (possibilité d’exécuter du code mais très limiter, et modification de la page si ...)
Firefox : 8/10(Possibilité d’exécuter du code mais limiter, modification de page très minime si ...)

Mais aucun de ces navigateur non exécuter mon script, ils modifient la page pour ne pas exécuter le script

Edit : Après de nombreux de test, celons le script utiliser, Firefox le lance ou pas a vous de trouver comment le former

[neroptik]

Ahhhhh ! Mes yeuuuuuux x_x

Mais aucun de ces navigateur non exécuter mon script, ils modifient la page pour ne pas exécuter le script

Ah les 5alauds ! C'est pas fair-play ça !

[adrien4607]

Ahhhhh ! Mes yeuuuuuux x_x

Mais aucun de ces navigateur non exécuter mon script, ils modifient la page pour ne pas exécuter le script

Ah les 5alauds ! C'est pas fair-play ça !

Quoi ???

Je nais rien dit qui pouvais donner la réponses ...????

[neroptik]

Euuuhhhh : http://fr.wikipedia.org/wiki/Sarcasme
Bon d'accord c'était peut-être mal dosé 

[adrien4607]

Mouai je vois pas le rapport ou on a pas le même humour

Ton avatar il est sympa


Edit : enfin l'épreuve est valider  
Un grand merci a tous ceux qui mon aider et a Nms qui m'aura fait apprendre de nombreuse chose

[kevin2007]

J'ai beau lire et relire les 18 pages de ce topic, je n'arrive pas à comprendre la forme du message que l'on doit lui envoyer ?
Mon exploit est OK, il marche très bien sur l'index, je récupère les biscuits via un script distant.
Mais maintenant quand il s'agit de lui faire cliquer sur mon lien via l'email, je remarque dans l'URL après l'envoie du mail, que mon lien est encodé. Il faut qu'il le reçoive décodé ?

[thibzko]

Bonjour, je suis un petit nouveau sur le site, même si j'ai un peu commencé les épreuves des différentes catégories ^^
Là je doit dire que j'ai vraiment du mal. Je sais exactement ce qu'il faut faire: étapes par étapes, j'ai bien assimilé tout le nécessaire.

Le problème c'est que je n'arrive pas à utiliser la première faille (X**).

J'ai donc des question:
      - C'est bien sur le côté du formulaire qu'il faut exploiter cette faille ou ou je me prend la tête depuis 4 heures ? ( )
      - Selon les navigateurs, les injections sont elles toute gérée ou non (les plus connues) ?

Pour le vol du biscuit, pas de problème je sais comment faire pour me l’appréhender.

Le problème c'est que je bloque sur quelque chose de basique. J'ai beau tester plein de choses, je n'ai jamais de résultats concluants 

Si quelqu'un peu m'éclairer, merci

[sadiquo]

Arf je bloque complétement pour la premiére partie de l'épreuve (l'alert) la seconde je pensse qu'avec tous les ancien message j'ai compris comment faire mais comme je ne peux pas faire les caractères spéciaux je n'y arrive pas

EDIT: finalement trouver tous seul comme un grand

[hl037]

Alors, après avoir bien galéré, j'ai validé, et je vais essayer de vous guider un peu:
Pour la première partie, et pour voir comment marche la faille, bidouillez, et regardez l'impact que ça a sur le code source (enfin, ça, c'est à faire dans quasiment toutes les épreuves...)
Pour la seconde partie, soyez simplement audacieux, comme ça a été spécifié maintes fois, l'épreuve est d'un réalisme TOTALEMENT BLUFFANT!!
Faites comme si vous vouliez vraiment avoir le webmaster... J'ai moi même été surpris de voir comment la simulation a été poussée!
(surtout, ne vous posez pas de question : de toute façon, vous verrez les "coulisses" et vous aurez facilement le pass si vous avez réussi la première partie)

[the ProNC]

bonjour
je suis totalement bloqué sur cette épreuve, depuis le temps que j'essaye, je n'y arrive toujours pas...
en lisant le forum, j'ai compris qu'il fallait mettre un lien pour que le robot clique dessus, et ce lien redirige vers une page sur NC mais laquelle contient notre script...
je pense que c'est là que je suis bloqué, je ne comprend pas comment faire pour pouvoir rediriger vers une page hors de NC mais qui se fait passer pour une page de newbiecontest.
Svp aidez moi, donnez moi un indice, ou une piste.

[hl037]

...ça, ce n'est pas le problème, as-tu trouvé la faille déjà? ...Après, il n'y a pas trente-six façon de récupérer ce qu'il te faut pour finir... Relis mon précédent post, je "donne" la solution, et surtout ne pas perdre de vue le degrés de réalisme

[the ProNC]

Enfaite après avoir lu le forum, j'ai compris qu'il s'agit d'une faille XSS
mais je n'ai pas réussi à la mettre en œuvre
Que veux-tu dire par "les coulisses"?
Merci