[Mandrake]

OK grâce à Pijiu, ça fonctionne maintenant.
Ceci dit, ce que j'avais fait me semble tout à fait correct mais ne semble pas fonctionner dans cette épreuve...

RDV en afterwards pour vérifier si j'ai merdé ou si cette épreuve est légèrement buggée...

Maintenant pour tout ceux qui galèrent encore sur cette épreuve, j'apporte ma pierre à l’édifice

• Cette épreuve est effectivement "ultra-réaliste", mais possède un petit plus qui ne l'est pas et qui permettra de s'en sortir à ceux qui ont la flemme de coder ou de prendre un hébergement
• L'admin est très con,... mais pas tant que ça. En effet, il ne clique que si une grande majorité du message est lisible. Si c'est trop incompréhensible, il ne clique pas
• La boite mail de l'admin n'est pas en HTML, donc inutile de lui envoyer un joli message
• Ce n'est pas parce que ça fonctionne sur vous que ça va forcément fonctionner sur l'admin (je dois vérifier ce point dans l'afterwards d'ailleurs). Redevelopper un formulaire d'envoi pour voir ce que vous recevez sur votre boîte ne vous sera d'aucune utilité (mis à part pour apprendre à écrire ce formulaire  )

Sinon, c'est une super épreuve qui permet d'apprendre beaucoup de choses. Passez-y un peu de temps. Les histoires de portes c'est bon...mangez-en !

[Scaum]

Bonjour tout le monde,

Je bloque un peu sur cette histoire de portes, même après avoir déjà pas mal parcouru ce forum.
J'ai découvert qu'une certaine balise n'était pas très sécurisée sur la page index, mais j'ai du mal à l'exploiter. Je peux ajouter des attributs à la balise, mais bizarement si j'ajoute un attribut prenant un script en paramètre (onclick ?) la valeur passée via url n'est jamais prise en compte pour cet attribut.

Google ne m'aide pas trop là dessus, je n'arrive pas y trouver de cas similaires ou de raisons (sécurités ?) pour lesquelles les valeurs de ces attributs ne sont pas prises en compte. Quelqu'un aurait-il une explication ? Suis-je sur la bonne voie ? 

[the lsd]

Ça devrait être mieux maintenant. Si ça ne fonctionne toujours pas, envoie moi un PM ou passe sur IRC, on verra ton problème tous les deux.

Enjoy

The lsd

[slave.poire]

But de l'épreuve : accéder à la zone réservée aux membres.

Cela fais plus d'un mois que j'essaye de trouver un moyen d'acceder à la page réservé au membre pour trouver le code de l'épreuve. En faitc'est la valeur du cookie ...

[Scaum]

Ahhh parfait
J'ai pas possé plus loin mais je peux afficher une alert sans soucis  j'ai gagné un cookie ?

merci

[mdm]

Bon, je crois que je vais devenir dingue.

J'arrive à bidouiller l'URL de la première page pour en faire ce que je veux, mais la page ne change pas d'un iota.

Je peux ajouter une image, faire un lien, un onload() onerreor() que que je fasse j'ai juste l'image qui ne s'affiche pas et au grans jamais le javascript se lance.

Pourtant le html je suis sur que c'est bon car si je copie le source de la page que j'ai bidouillé par injection en local et que j'ouvre le fichier ça marche.....

Je deviens fou!

[the lsd]

Il y a des risques que le chall fonctionne mal sous chrome/IE (posez pas la question, vous voulez pas savoir), il vaut mieux faire ça sur FF pour le moment, je suis dessus.

Enjoy

The lsd

[LawLawL]

Il me semble que la dernière fois que j'ai utilisé FF, ça a fait planté mon ordi x)

[pixis]

A mon humble avis c'est plus une question d'ordinateur que de challenge

[the lsd]

+1

Il n'y a pas grand chose (comprendre rien du tout) qui peut faire crasher un browser dans ce chall, ni dans aucun j'ai envie de dire.

Enjoy

The lsd

[sfxo]

Bonjour,

Après lecture des 24 pages, je pense avoir compris les manipulations à effectuées.

Elles se font en au moins 2 étapes 

Je bloque à la première !!

Comme les autres, j'ai bien un script de récupération des gateaux que je veux faire cliquer par l'admin, mais rien ne se
passe. J'envoie pourtant un message à l'admin avec mon petit cadeau, mais il m'indique juste que le message a bien été envoyé. Pourtant, mon cadeau pointe bien sur son site avec la porte.
Sur cette porte, j'arrive parfaitement à faire afficher une alert, et donc en théorie, je devrais pouvoir avoir le gateau !!

J'ai compris que l'admin était simulé et que les infos du gateau ne seraient données que si mon cadeau avait la bonne syntaxe.

C'est bien joli, mais des syntaxes, il risque d'y en avoir un tas, un peu comme les fautes d'orthographes !!
J'ai ajouté une trace dans mon script qui m'indique d'ailleurs que l'admin n'y passe pas, ce qui confirme que la faille est simulé.

Quelq'un peut-il me filer un indice pour trouver la bonne syntaxe? car le côté réaliste s'arrête là malheureusement, d'après ce que j'ai pu lire sur le forum. Si c'est juste une vérif de syntaxe, je peux longtemps tourner en boucle et en bourrique

Merci d'avance de votre coup de main, car j'aimerais bien passer à la suivante sans perdre mon temps sur une condition que je n'ai pas codé et que j'aurai du mal à deviner.

[the lsd]

Salut sfxo,

Effectivement, c'est simulé. Mais la simulation est quand même très large, si tu ne fais pas des trucs alambiqués, ça devrait rouler. Je rappelle une fois de plus qu'il vaut mieux utiliser FF pour cette épreuve. Si jamais tu ne trouves pas, envoie moi un PM

Enjoy

The lsd

[sfxo]

Bonjour,

Challenge réussi. Merci à ceux qui m'ont aiguillé.

Quelques conseils mais pas trop :
- La faille est 100% réaliste
- Pas besoin d'avoir un site extérieur, une adresse bidon suffit pour les gateaux.
Ca marche aussi avec un vrai site extérieur d'ailleurs et tout ce qui va bien !!
- Pour le reste, je ne peux pas en dire plus même si j'avoue avoir été bien aidé sur un point précis
qui m'a permis de me débloquer.

Bonne recherche et merci à newbiecontest.

[shuifurax]

Bonjour,

Peut on me dire si quand la faille est bien exploitée, la "réponse" est elle instantanée?

Merci !

[iscario]

Bonjour,

J'ai écris ce que je crois être un scenario d'exploitation valide, cependant je bloque sur ce que je crois être un problème d'implémentaiton de la simulation. Quelqu'un ayant validé serait-il disponible par MP pour que je lui envoi mon scenario et mes réflexions pour qu'il m'aiguille un peu ?
Merci