Navigation : Forums > Forum Général > Problème de sécurité sur PHPTools4U

Pages : 1 2 3 > Poster un nouveau sujet Ajouter un message
Auteur Message
maverick

maverick

Messages : 619
Inscrit le : 04/04/2002
Posté le 24/11/2002 à 09:22:25 Message N°1 #
Bonjour à toutes et à tous,

Dans la nuit du 23 au 24 novembre 2002, un petit plaisantin a trouvé et exploité une faille de sécurité présente sur le forum.
Pour le détail, il "suffisait" de placer du javascr1pt à la place de l'url lors de l'insertion d'une image.

Malheureusement, ce procédé lui a permis de récupérer les cookies présents sur votre pc pour le site PHPTools4U.com. Ainsi donc, il possèderai votre login et votre mot de passe, ce dernier étant encrypté en MD5.
Nous vous recommandons donc de changer votre mot de passe dans les plus brefs délais si vous étiez sur le forum dans la nuit de 23 au 24 novembre.

Vous pouvez faire ce changement ici : .http://www.phptools4u.com/membres/update.php

Nous ne remercierons donc pas ce plaisantin pour avoir perturbé le fonctionnement du site au lieu de nous avoir fait part du bug.

Ceci étant, si jamais vous trouvez une faille ou un bug, il serait bien de nous le faire remonter. Je vous rappelle, que les scr1pts présent sur le site sont destinés à être disponibles pour les membres par la suite. Ainsi donc, le maximum de bugs éliminés dès le départ, le plus tranquille vous serez.

L'équipe PHPTools4U.com
____________________
image
Profil Citer
polo

Messages : 5
Inscrit le : 24/11/2002
Posté le 24/11/2002 à 10:47:41 Message N°2 #
=D Il s'agit de Raver patron d'un site de hack, qui s'amuse un peu...
J'ai été victime de lui également... j'ai remplacé le mot "javascr1pt" par "java scr1pt" dans le forum et ça marche plus son truc...
A vous de voir...

Ci@o !
Profil Citer
polo

Messages : 5
Inscrit le : 24/11/2002
Posté le 24/11/2002 à 10:48:40 Message N°3 #
et je vois que vous l'avez déjà fait... alors j'ai rien dit...

sacré Raver...
Profil Citer
Erianor

Messages : 199
Inscrit le : 12/05/2002
Posté le 24/11/2002 à 11:02:11 Message N°4 #
Ben ouaip, ce qui est galère sur le net c'est que même si on fait les choses dans un but non commercial, qui ne gêne personne, et ben on attire quand même les hackers...

Merci pour la transparence les gars.

Ceci dit, j'y connais pas grand chose mais n'est il pas envisageable de ne pas stocker login et mots de passe dans les cookies. Si on stocke uniquement l'identifiant de session ou quelque chose comme ça, les risques me semblent moins grand. En cas de problème on vire les ID de session sur le serveur et le seul inconvéniant est que les utilisateurs doivent se re-connecter. Y a une 'faille' dans mon raisonnement ?
Profil Citer
raver

Messages : 11
Inscrit le : 24/11/2002
Posté le 24/11/2002 à 11:25:06 Message N°5 #
ouais c'est moi le petit plaisantin, désolé il n'y a rien de méchant mais la tentation était trop forte, quand je vois une faille je suis obligé de l'exploiter c'est plus fort que moi.

allé sans rancune

LESNIAK Mathieu
57 rue Feray
CORBEIL ESSONNES, 91100
mathieu.lesniak@laposte.net


et rappel toi hypnowarez.org rulezz
Profil Citer
raver

Messages : 11
Inscrit le : 24/11/2002
Posté le 24/11/2002 à 11:27:18 Message N°6 #
il est vrai par contre que je possède quelques mot de passe , avec john the ripper ( un outil bien connu le md5 vole en 5 mins. ) mais bon c'est rien de bien méchant.

Profil Citer
maverick

maverick

Messages : 619
Inscrit le : 04/04/2002
Posté le 24/11/2002 à 11:30:14 Message N°7 #
Non non sans rancune :-)

olivier noblanc
29/10/1981
10 rue de l orme
90700 chatenois-les-forges

Photo

Pour ce qui est de John The Ripper, ca dépend du mot de passe, mais il y en a certain qui tiennent beaucoup plus que 5 min...
____________________
image
Profil Citer
polo

Messages : 5
Inscrit le : 24/11/2002
Posté le 24/11/2002 à 11:36:06 Message N°8 #
Enchanté, moi c'est:

Polo Ray Bello
141 th street
Miami Beach

Tel: 555 - 6969
Profil Citer
raver

Messages : 11
Inscrit le : 24/11/2002
Posté le 24/11/2002 à 12:47:14 Message N°9 #
une photo de cul poilu c'est super dur a trouver, sur le web, je lance un apel pour pouvoir remplacer ma photo, même si vous contribuez au fait que je suis de plus en plus connu.

:P
Profil Citer
Random

Messages : 3
Inscrit le : 24/11/2002
Posté le 24/11/2002 à 14:56:54 Message N°10 #
raver a écrit : et rappel toi hypnowarez.org rulezz</I>
Y'a de plus en plus de rigolos sur le web c'est dingue, mais on est tombé sur un spécimen, rien que la news sur son site est tordante
Profil Citer

Navigation : Forums > Forum Général > Problème de sécurité sur PHPTools4U

Pages : 1 2 3 > Poster un nouveau sujet Ajouter un message


Se rendre directement sur le forum :