Page 1 sur 1

Problèmes de sécurité

MessagePosté: Jeu Jan 12, 2006 5:54 pm
de jop
Je pose ici une copie du mail que j'ai fait à partir de l'interface contact, vu que l'admin a sa boîte "pleine".

The following address(es) failed: administrateur@en1heure.com mailbox is full

================

Salut, je me suis créé un compte sur votre forum phpbb (ahem), mais j'ai pensé plus sympathique de ne pas faire fuir tout le monde directement...

Bref :
Trous de sécurité qui permet les xss sur votre page de contact. Lorsque l'on ne remplit pas un des trois champs, vous faîtes afficher le contenu des deux autres... Grave erreur ! C'est là que le xss peut agir.. Voir plus, mais je n'ai pas trop cherché, pas que cela à faire.


Ensuite, dans votre panneau d'administration, c'est une vraie catastrophe le gestionnaire de fichier. Il faudrait peut être penser à vérifier que les fichiers sont ceux uniquement ceux qui vous appartiennent et pas tous ceux du système (à savoir, remplacer vos variables en GET, c'est pas la mer à boire...).

Bon, je vais pas faire un poste détaillé, mais si vous voulez aller plus loin, vous avez mon mail. Sécurisez votre appli si vous souhaitez avoir des utilisateurs.