Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
3138 connectés 

  FORUM HardWare.fr
  Programmation

  Piratage de mon forum ...

 
 


Dernière réponse
Sujet : Piratage de mon forum ...
Freekill

ethernal a écrit a écrit :

 
 
:lol:
aucune idée... maintenant j'ai mis un urlencode/urldecode pour faire passer le pseudo dans l'url (c pas encore au point)
 
thx pour ta soluce je crois que je vais reprendre quelques trucs ;)  :jap:
par contre pour les caractères autorisés je crois qu'une regexp est plus simple.




 
C'est ce que je m'étais dit aussi à la base?  :D  
 
Je suis peut-être pas très doué en regexp, si tu trouves fais-moi signe?

Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
Freekill

ethernal a écrit a écrit :

 
 
:lol:
aucune idée... maintenant j'ai mis un urlencode/urldecode pour faire passer le pseudo dans l'url (c pas encore au point)
 
thx pour ta soluce je crois que je vais reprendre quelques trucs ;)  :jap:
par contre pour les caractères autorisés je crois qu'une regexp est plus simple.




 
C'est ce que je m'étais dit aussi à la base?  :D  
 
Je suis peut-être pas très doué en regexp, si tu trouves fais-moi signe?
HelloWorld Trouver un mot de passe c'est trop facile !
Tous ceux que j'ai pu voir, c'était tous les même !
Les gens ne saisissent que des * !!!
Y'a des idiots quand même ! (remarque, je fait pareil, mais c'est parce que tout le monde fait ça :D)
Y'en a qui mettent des ronds pleins, mais ils doivent avoir un drôle de clavier car moi j'ai pas cette touche.
darklord

Olivier51 a écrit a écrit :

darklord> Je voulais dire que vous n'avez trouvé qu'une faille, c'est sûrement probable qu'il y en ait des autres




 
ah ok !
Olivier51 darklord> Je voulais dire que vous n'avez trouvé qu'une faille, c'est sûrement probable qu'il y en ait des autres
HappyHarry euh une seule faille ?
 
moi g posté en utilisant Olivier/toto comme login/password, alors faudrait m'expliquer :)
ethernal

Freekill a écrit a écrit :

 
 
Ah merde, j'ai tout essayé sauf avec le &? :sweat:  
 
Sinon tu sais pourquoi il me mettait comme pseudo à confirmer "ethernal%C7%A0" ?
 
Pour ta vérification de pseudo à l'inscription, peut-être que ma solution t'intéressera (elle est copiée sur ce forum )  




 
:lol:
aucune idée... maintenant j'ai mis un urlencode/urldecode pour faire passer le pseudo dans l'url (c pas encore au point)
 
thx pour ta soluce je crois que je vais reprendre quelques trucs ;)  :jap:
par contre pour les caractères autorisés je crois qu'une regexp est plus simple.
darklord

Olivier51 a écrit a écrit :

en faite il n'y avait qu'une faille ...




 
ça m'étonnerait ...
Olivier51 Au faite j'ai pas répondu à la question, moi j'ai pas vérifier que une fois le profil était changé si c'était bien le profil de départ qu'on avait changé. C'est à dire :
1. Au s'authentifie pour changer son profil
2. On accède à TOUTE les données du profil (votre trechnique a été de changer le nom de votre profil ainsi que le mot de passe)
3. On les modifies
4. On enregistre (Et ici j'ai modifié dans la base de données sans vérifier si c'était bien le profil de départ).
Olivier51 J'ai pas changé mon mot de passe c'est toujours le même, je n'ai bien sûr pas fait la bétise de choisir un mot de passe aussi trivial.
Votre technique était d'éditer votre profil et de remplacer votre nom par le mien, mais vous n'avez pas été assez prudent, ça à remplacer votre profil et pas le mien, ce qui veut dire qu'à la fin on se retrouvait avec pas mal d'Olivier, olivier, webmaster, en faite il n'y avait qu'une faille ...
Freekill

juju-le-barbare a écrit a écrit :

bah maintenant que c'est corrigé et que j'imagine qu'Olivier51 a changé son pass, peut-on savoir c'était quoi ???
 
Olivier ?
olivier ?
codeur ?
 
Juste par curiosité :)  




 
1234 ?
toto ?
amour ?
sexe ?
test ?
 
 :D

juju-le-barbare bah maintenant que c'est corrigé et que j'imagine qu'Olivier51 a changé son pass, peut-on savoir c'était quoi ???
 
Olivier ?
olivier ?
codeur ?
 
Juste par curiosité :)
Freekill

ethernal a écrit a écrit :

 
 
j'ai vu ;)
là on peut pas dire qu'il y ai de bug... puisque je peux pas interdire à qq de choisir un nom dont le début existe déjà.
 
Par contre pour confirmer il y a un bug le nom devrait être transformé en ethernal  (avec ce nom je sais confirmer) ce qui fait que le login n'est pas le même.
va falloir que je modifie aussi la redirection après la confirmation (bugge :( )




 
Ah merde, j'ai tout essayé sauf avec le &? :sweat:  
 
Sinon tu sais pourquoi il me mettait comme pseudo à confirmer "ethernal%C7%A0" ?
 
Pour ta vérification de pseudo à l'inscription, peut-être que ma solution t'intéressera (elle est copiée sur ce forum ) :
 

Code :
  1. <?php
  2. // récupère les infos du formulaire
  3. $nom = $_POST[nom];
  4. $pass = $_POST[pass];
  6. // définit caractères autorisés
  7. $chiffres = range(48,57);
  8. $min = range(64,90);
  9. $maj = range(97,122);
  10. $other = array(32,39,45,46,95);
  12. $goodnom = "";
  14. // vérifie présence caractères interdits
  15. for ($i=0;$i<strlen($nom);$i++)
  16. {
  17. $thischar = substr($nom,$i,1);
  18. $ascii = ord($thischar);
  19. if ($ascii<126&&(in_array($ascii, $chiffres)||in_array($ascii, $min)||in_array($ascii, $maj)||in_array($ascii, $other)))
  20. {
  21.  $goodnom = $goodnom.$thischar;
  22. }
  23. }
  25. $goodnom = preg_replace("((\s)+?)"," ",$goodnom); // vire espaces multiples
  26. $goodnom = substr(trim($goodnom),0,30); // vire espaces en début et en fin de chaîne
  28. // si pseudo pas "autorisé"
  29. if ($_POST[nom]!=$goodnom)
  30. {
  31. echo "(formulaire demandant confirmation du changement du pseudo en $goodnom, avec des inputs hidden pour les donnés entrées)";
  32. die();
  33. }
  34. ?>
Olivier51 Je vous remércie de ne pas avoir pollué les autres posts du forum, j'avais réussi à trouver la personne qui m'avait piraté le forum au début, et il a bien utilisé la même technique que vous ...
Olivier51 ça y est je pense avoir corrigé la faille ...  :)
ethernal

Freekill a écrit a écrit :

 
 
Au fait, j'ai réussi à enregistrer "ethernal " chez toi  :D ? (mais pas moyen de confirmer l'inscription par contre :/ )




 
j'ai vu ;)
là on peut pas dire qu'il y ai de bug... puisque je peux pas interdire à qq de choisir un nom dont le début existe déjà.
 
Par contre pour confirmer il y a un bug le nom devrait être transformé en ethernal&nbsp; (avec ce nom je sais confirmer) ce qui fait que le login n'est pas le même.
va falloir que je modifie aussi la redirection après la confirmation (bugge :( )
HappyHarry

R3g a écrit a écrit :

 
Franchement, vu le mdp, y'a pas besoin de chance là !
 
 :lol:  :lol:  :lol: ptdr le mot de passe !




 
skler [:rofl]
R3g

Harkonnen a écrit a écrit :

 :ouch:  
putain le coup de bol !!!




Franchement, vu le mdp, y'a pas besoin de chance là !
 
 :lol:  :lol:  :lol: ptdr le mot de passe !
Harkonnen :ouch:  
putain le coup de bol !!!
HappyHarry

gm_superstar a écrit a écrit :

 
Ah non, j'ai trouvé qu'un seul mot de passe qui fonctionne, le reste est refusé...




 
ah merde alors g eu un bol monstrueux lol (et son mot de passe est foireux ;) )
gm_superstar

HappyHarry a écrit a écrit :

ben en fait le truc c que pour t'identifier au moment de poster tu mets login Olivier et mot de passe ce que tu veux, ca passe ... meme pas besoin de s'inscrire lol



Ah non, j'ai trouvé qu'un seul mot de passe qui fonctionne, le reste est refusé...
HappyHarry ben en fait le truc c que pour t'identifier au moment de poster tu mets login Olivier et mot de passe ce que tu veux, ca passe ... meme pas besoin de s'inscrire lol
juju-le-barbare

gm_superstar a écrit a écrit :

 
Ah bon ? On peut faire ça aussi ? :lol:  



chez moi ça marche pas :(
gm_superstar

R3g a écrit a écrit :

 
T'es trop cerebral !  
Tu t'inscris, et puis tu vas éditer ton profil et tu changes ton pseudo, c'est tout !



Ah bon ? On peut faire ça aussi ? :lol:

R3g Ah ouais quand meme !
Bon ca je pense que j'aurais trouvé aussi.
Harkonnen

R3g a écrit a écrit :

Et sinon, c'est koi la technique avec l'url ? Parce que je suis pas un hacker, moi, j'y connais rien.




Ben il peut arriver, sur des sites vraiment passoires, que le nom de l'utilisateur et le mot de passe soient transmis directement au formulaire de traitement par l'URL, via une syntaxe du style :
www.site.com/forum.php?user=xxx&pass=yyy
je l'ai déja vu...
R3g Et sinon, c'est koi la technique avec l'url ? Parce que je suis pas un hacker, moi, j'y connais rien.
Harkonnen

R3g a écrit a écrit :

 
T'es trop cerebral !  
Tu t'inscris, et puis tu vas éditer ton profil et tu changes ton pseudo, c'est tout !



:jap:  
C'est vrai que j'ai toujours tendance à me compliquer la tache inutilement...
R3g

Harkonnen a écrit a écrit :

Hacker vaillant, rien n'est impossible ! :d
 
R3G > Comment t'as fait par le profil ?  :??:  
y'a rien dessus, hormis le fait que l'ID est 633...




T'es trop cerebral !  
Tu t'inscris, et puis tu vas éditer ton profil et tu changes ton pseudo, c'est tout !
Harkonnen Hacker vaillant, rien n'est impossible ! :d
 
R3G > Comment t'as fait par le profil ?  :??:  
y'a rien dessus, hormis le fait que l'ID est 633...
R3g Ca nuit un peu à la crédibilté de l'ensemble...
Harkonnen Oué, en fait, si je comprends bien, c une vraie passoire son truc :/
Dommage, le site est intéressant
R3g

HappyHarry a écrit a écrit :

et moi je vais pas etre chien, j'ai assez fait mumuse ...
le probleme se situe au niveau de l'identification au moment du post d'un message




Ah ben non moi j'ai fait autrement, au niveau de l'édition du profil.....

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)