Reprise du message précédent :

Ah ben non moi j'ai fait autrement, au niveau de l'édition du profil.....

Oué, en fait, si je comprends bien, c une vraie passoire son truc
Dommage, le site est intéressant

Ca nuit un peu à la crédibilté de l'ensemble...

Hacker vaillant, rien n'est impossible !
 
R3G > Comment t'as fait par le profil ?    
y'a rien dessus, hormis le fait que l'ID est 633...

Harkonnen a écrit a écrit : Hacker vaillant, rien n'est impossible !   R3G > Comment t'as fait par le profil ?     y'a rien dessus, hormis le fait que l'ID est 633...

T'es trop cerebral !  
Tu t'inscris, et puis tu vas éditer ton profil et tu changes ton pseudo, c'est tout !

 
C'est vrai que j'ai toujours tendance à me compliquer la tache inutilement...

Et sinon, c'est koi la technique avec l'url ? Parce que je suis pas un hacker, moi, j'y connais rien.

Ben il peut arriver, sur des sites vraiment passoires, que le nom de l'utilisateur et le mot de passe soient transmis directement au formulaire de traitement par l'URL, via une syntaxe du style :
www.site.com/forum.php?user=xxx&pass=yyy
je l'ai déja vu...

Ah ouais quand meme !
Bon ca je pense que j'aurais trouvé aussi.

Ah bon ? On peut faire ça aussi ?

gm_superstar a écrit a écrit :   Ah bon ? On peut faire ça aussi ?

chez moi ça marche pas

ben en fait le truc c que pour t'identifier au moment de poster tu mets login Olivier et mot de passe ce que tu veux, ca passe ... meme pas besoin de s'inscrire lol

Ah non, j'ai trouvé qu'un seul mot de passe qui fonctionne, le reste est refusé...

 
ah merde alors g eu un bol monstrueux lol (et son mot de passe est foireux )

 
putain le coup de bol !!!

Harkonnen a écrit a écrit :     putain le coup de bol !!!

Franchement, vu le mdp, y'a pas besoin de chance là !
 
      ptdr le mot de passe !

R3g a écrit a écrit :   Franchement, vu le mdp, y'a pas besoin de chance là !         ptdr le mot de passe !

 
skler

Freekill a écrit a écrit :     Au fait, j'ai réussi à enregistrer "ethernal " chez toi   ? (mais pas moyen de confirmer l'inscription par contre )

 
j'ai vu
là on peut pas dire qu'il y ai de bug... puisque je peux pas interdire à qq de choisir un nom dont le début existe déjà.
 
Par contre pour confirmer il y a un bug le nom devrait être transformé en ethernal  (avec ce nom je sais confirmer) ce qui fait que le login n'est pas le même.
va falloir que je modifie aussi la redirection après la confirmation (bugge )

ça y est je pense avoir corrigé la faille ...  

Je vous remércie de ne pas avoir pollué les autres posts du forum, j'avais réussi à trouver la personne qui m'avait piraté le forum au début, et il a bien utilisé la même technique que vous ...

ethernal a écrit a écrit :     j'ai vu là on peut pas dire qu'il y ai de bug... puisque je peux pas interdire à qq de choisir un nom dont le début existe déjà.   Par contre pour confirmer il y a un bug le nom devrait être transformé en ethernal  (avec ce nom je sais confirmer) ce qui fait que le login n'est pas le même. va falloir que je modifie aussi la redirection après la confirmation (bugge )

 
Ah merde, j'ai tout essayé sauf avec le &?  
 
Sinon tu sais pourquoi il me mettait comme pseudo à confirmer "ethernal%C7%A0" ?
 
Pour ta vérification de pseudo à l'inscription, peut-être que ma solution t'intéressera (elle est copiée sur ce forum ) :
 

bah maintenant que c'est corrigé et que j'imagine qu'Olivier51 a changé son pass, peut-on savoir c'était quoi ???
 
Olivier ?
olivier ?
codeur ?
 
Juste par curiosité

juju-le-barbare a écrit a écrit : bah maintenant que c'est corrigé et que j'imagine qu'Olivier51 a changé son pass, peut-on savoir c'était quoi ???   Olivier ? olivier ? codeur ?   Juste par curiosité

 
1234 ?
toto ?
amour ?
sexe ?
test ?
 
 

J'ai pas changé mon mot de passe c'est toujours le même, je n'ai bien sûr pas fait la bétise de choisir un mot de passe aussi trivial.
Votre technique était d'éditer votre profil et de remplacer votre nom par le mien, mais vous n'avez pas été assez prudent, ça à remplacer votre profil et pas le mien, ce qui veut dire qu'à la fin on se retrouvait avec pas mal d'Olivier, olivier, webmaster, en faite il n'y avait qu'une faille ...

Au faite j'ai pas répondu à la question, moi j'ai pas vérifier que une fois le profil était changé si c'était bien le profil de départ qu'on avait changé. C'est à dire :
1. Au s'authentifie pour changer son profil
2. On accède à TOUTE les données du profil (votre trechnique a été de changer le nom de votre profil ainsi que le mot de passe)
3. On les modifies
4. On enregistre (Et ici j'ai modifié dans la base de données sans vérifier si c'était bien le profil de départ).

 
ça m'étonnerait ...

Freekill a écrit a écrit :     Ah merde, j'ai tout essayé sauf avec le &?     Sinon tu sais pourquoi il me mettait comme pseudo à confirmer "ethernal%C7%A0" ?   Pour ta vérification de pseudo à l'inscription, peut-être que ma solution t'intéressera (elle est copiée sur ce forum )

 

aucune idée... maintenant j'ai mis un urlencode/urldecode pour faire passer le pseudo dans l'url (c pas encore au point)
 
thx pour ta soluce je crois que je vais reprendre quelques trucs  
par contre pour les caractères autorisés je crois qu'une regexp est plus simple.

euh une seule faille ?
 
moi g posté en utilisant Olivier/toto comme login/password, alors faudrait m'expliquer

darklord> Je voulais dire que vous n'avez trouvé qu'une faille, c'est sûrement probable qu'il y en ait des autres

 
ah ok !

Trouver un mot de passe c'est trop facile !
Tous ceux que j'ai pu voir, c'était tous les même !
Les gens ne saisissent que des * !!!
Y'a des idiots quand même ! (remarque, je fait pareil, mais c'est parce que tout le monde fait ça )
Y'en a qui mettent des ronds pleins, mais ils doivent avoir un drôle de clavier car moi j'ai pas cette touche.

ethernal a écrit a écrit :     aucune idée... maintenant j'ai mis un urlencode/urldecode pour faire passer le pseudo dans l'url (c pas encore au point)   thx pour ta soluce je crois que je vais reprendre quelques trucs   par contre pour les caractères autorisés je crois qu'une regexp est plus simple.

 
C'est ce que je m'étais dit aussi à la base?    
 
Je suis peut-être pas très doué en regexp, si tu trouves fais-moi signe?