Quelqu'un saurait pas comment il a fait pour hacker mon forum, il a réussit à prendre mon identité et changer mon mot de passe et adresse mail, voici ça démo :
http://www.codeur.org/forum/
 
Et mon forum :
http://www.codeur.org/forum/liste_forum.php
 
J'ai mis ça dans le forum programmation, puisque c'est moi qui est programmé le forum, et j'ai vu qu'il y en avait pas mal qui avait programmé leur forum ici, ça pourrais intéressé d'autres personnes ...

ça m'intéresse aussi pcq j'ai pas trouvé de problème...
 
- tu as des inclusions de pages distantes dans ton forum ?
- le login et pwd du cookie est vérifié (s'il y en a un ?) entre autre lors de l'édition d'un profil
 

ah ouai quand même    
 
http://www.codeur.org/forum/messag [...] 89&theme=5

ca m'a pris 3 minutes, le temps de créer un compte    
 

bien vu
après test plus approfondi j'ai trouvé aussi
je cherchais plus compliqué !
 
si personne t'a déjà expliqué contacte moi en MP

Ouai, mais je suppose qu'il a 50 millions d'autres failles.
Mais la franchement même ma soeur pourrait le faire    
 
Fait gaffe aussi a empecher le listing des répertoires ;-)

par curiosité il y a qqch dans /admin/ ?  
pcq j'ai tenté pleins de noms de fichier sans tomber dur la demande d'authentification (uniquement une page d'erreur de ton site)

mdr?    
 
 

Jette un oeil sur les derniers inscrits dans ta table users?

 
ouai, moi je testais le SQL injection que j'ai découvert récemment dans un magazine pour les pirates gniark gniark gniark (ca marche pas d'ailleurs ... mais comme je connais même pas le php, j'avais pas trop d'espoir)

1. Répertoire browsable ?

Indiana Jones a écrit a écrit : 1. Répertoire browsable ?

 
ouai mais c'est pas ca qui permet de piquer le compte d'un autre  

 
Au fait, j'ai réussi à enregistrer "ethernal " chez toi   ? (mais pas moyen de confirmer l'inscription par contre )

Chuis un boolay, j'y arrive po    

Harkonnen a écrit a écrit : Chuis un boolay, j'y arrive po

Mouarf, je viens d'y arriver En fait y'a pas de protection.
 
Edit: ah non en fait j'ai eu de la chance

gm_superstar a écrit a écrit :   Mouarf, je viens d'y arriver En fait y'a pas de protection.   Edit: ah non en fait j'ai eu de la chance

 
Tu peux t'expliqer ?
ça m'intéresse (dans le but de faire ds forums dignes de ce nom

Je dois être le pire boolay du monde : je trouve pas la page pour s'inscrire  

gm_superstar a écrit a écrit :   Mouarf, je viens d'y arriver En fait y'a pas de protection.   Edit: ah non en fait j'ai eu de la chance

tu fais comment ? (en MP)

Tu peux t'expliqer ?
ça m'intéresse (dans le but de faire ds forums dignes de ce nom (re)

moi veut juste savoir, car chu curieux de savoir  

Aye j'ai reussi !

ptdr .... c vraiment trop trop facile  

bon aller la soluce pour les ignar du php?  

j'sais pas si j'dois

a oki        
 
cest vraiment fort là!!  
 
( viens de trouver )

Pfff... c tout moi ça   !
Je m'étais embarqué dans un truc pas possible, alors que la solution était des plus simples !!
Merci à ceux qui ont ouvert les yeux de l'être trop compliqué que je suis !
Mais c de la faute de Mareek ça ! A force de le lire, je me suis imprégné de sa devise "J'ai jamais aimé faire simple quand je pouvais faire compliqué"

Maxime a écrit a écrit : bon aller la soluce pour les ignar du php?

Si ca peut t'aider, ca a rien à voir avec le php

 
mais alors absolument pas
edit : c meme pour ca qu'on a tous ete un peu déroutés par la simplicité de la méthode  

jai dit que jai trouver
effectivemetn ca rien avoir  

moi ce qui me ferais marrer,cest de savoir sil oliver le sais!  

une question: tu es au courant que ta page http://www.codeur.org/forum/liste_forum.php ne marche que dans IE ? (on dirait des faux liens )

et moi je vais pas etre chien, j'ai assez fait mumuse ...
le probleme se situe au niveau de l'identification au moment du post d'un message

vous pouvez maider plz? http://forum.hardware.fr/forum2.ph [...] h=&subcat=  

t'as qu'à mettre un titre correct
le sqattage de topics est passible de la télétubisation

Nan ? Vous avez qd meme pas trouvé son mot de passe ?

ah et pis un autre truc, sur le  forum du monsieur , tout le monde poste a la meme date/meme heure  

Bon, j'ai meme pas été voir le site, mais laisser moi deviner, il passe le login pour poster en parametre de l'url et il suffit d'en mettre un autre, j'ai bon ? Ou c'est quand même moins gros ?

C'est même plus gros que ça

Ah ben non moi j'ai fait autrement, au niveau de l'édition du profil.....