Reprise du message précédent :

En taule les hackers terroristes.  
Je suis sûr que c'est toi qui a immobilisé les serveurs de vote de l'UMP.

han mais ça fait peur vos trucs

ah ça censure
 
je donne pas de détails de toute façon, à part à Marc, tant que c'est pas fixé par MD

 
Merci

sur la dernière à mon avis il faut non seulement la corriger, mais aussi vérifier en db pour voir si qqn de malveillant s'en est déja servi ...

tout comme toi j'ai essayé de mettre "Enorme", mais non, ça semble bloqué côté serveur
 
edit: ah non t'es une fille

Par contre c'est très intelligent d'en parler ici
Comme ça, tout les k3v1n avec un minimum de stuff vont tester tout ce qu'ils peuvent pour tenter de reproduire, parcequ'ils n'y avaient pas pensés/c'étaient dis que ça ne marcherais pas
 
Je suis pas pour la sécu par l'obscurantisme, mais quand on fait les choses bien, on fait l'annonce publique QUAND il y a un fix

ah il veut m'autopsier  

Log4n tu comprends pas le principe :  

Tout ceux qui auront essayé de trouver une faille qui n'est pas seront KBSGVP et signalées aux chinois du FBI de la NSA  

On est pas vendredi, ça marche pas    
 
J'ai que ça a faire
Et, techniquement, à moins qu'il n'ai eu l'accord de M.arc avant c'est non seulement illégal, mais ça doit bien aller à l'encontre des règles du forum

Grave BAN.
 
XaT

Demande de Ban = Ban. Oh, wait…

Zipo n'a pas de sexe, c'est un briquet

je suis assez d'accord avec toi en fait
 
bon pour info MD a déja à moitié corrigé la faille #4 là (elle était exploitable de 2 urls et ils en ont corrigé une des deux)

là c'est "je code en étant drogué"

Tain mais vous payez pour ça ?

Tu devrais casser ton PEL pour offrir un vrai forum à tous tes camarades hfriens.

Ils étaient sous extasy là

bon bah j'en ai trouvé une 5ème
même genre que #1 et #2 (non-persistant, de type GET) mais sur le forum (pas le site)

Moi j'dis qu'il faut le nommer supadmin là

J'en veut pour preuve l’édition de ce post par le compte de M.arc en personne!

Challenge accepted.

Il semblerai qu'il puisse se nommer tout seul

faut le nommer joceadmin alors

même si c'était mon but, c'est le 1er au courant dès que je trouve une nouvelle faille, il serait donc bien idiot de se laisse piéger
 
pour l'instant c'est moi la principale victime en fait : à force de bidouiller les urls dans tous les sens j'ai supprimé tous mes drapeaux sur Discussions sans faire exprès

Jamais tester avec son compte principal. Ni son navigateur/ip habituel  
Deja parceque ça évite de niquer son compte en bidouillant  
Mais aussi parceque si les modos/admins/supadmins apprécient pas, tu te fait pas ban/tt ton compte important  

Quelqu'un sait si Zipo travaillait dans l'élevage laitier avant de se reconvertir dans l'info?
Parce que si c'est le cas, ses propos ne sont pas à prendre pour argent comptant.
En effet, c'est bien connu,  

A+,

A+ comme note pour une blague aussi pourrite, ça vaut un B- et encore.

 
   
 
La plus grosse faille d'HFR ne vient pas du code MD mais bien de ses dirigeants  

taist

ça y est la #4 vient d'être entièrement corrigée par MD, donc je peux poster les détails
 
c'est tout bête : les mots-clefs des smileys ne sont pas vérifiés, on peut insérer n'importe quels caractères, donc j'ai simplement rajouté

dans les mots-clefs du smiley [:absolument fabuleux:1 ]
 
et bim le code javascript était persisté et éxécuté par tous ceux qui se baladaient sur :
 

et

 

 
MD a corrigé ça en échappant les caractères lors de l'affichage
 
bien entendu ici mon alert n'était pas dangereux, mais qqn de malveillant qui pouvait récupérer le document.cookie d'une victime et se logguer à sa place
 
Marc a vérifié l'historique en database et à priori personne ne l'a jamais exploité donc c'est bon
 

ah ben en fait ils ont bien bossé aujourd'hui, ils les ont quasiment toutes corrigées
 
ça c'était la faille xss #2 :
 

 

 
je viens de tester c'est corrigé là
 
la faille #3, corrigée aussi :
 

la #5, corrigée aussi :
 

 

 
 
il ne reste que la #1 en fait, qui n'est toujours pas corrigée