Auteur |
Message |
maverick
Messages : 619
Inscrit le : 04/04/2002 |
Posté le 24/11/2002 à 09:22:25
Message N°1 #
|
Bonjour à toutes et à tous,
Dans la nuit du 23 au 24 novembre 2002, un petit plaisantin a trouvé et exploité une faille de sécurité présente sur le forum.
Pour le détail, il "suffisait" de placer du javascr1pt à la place de l'url lors de l'insertion d'une image.
Malheureusement, ce procédé lui a permis de récupérer les cookies présents sur votre pc pour le site PHPTools4U.com. Ainsi donc, il possèderai votre login et votre mot de passe, ce dernier étant encrypté en MD5.
Nous vous recommandons donc de changer votre mot de passe dans les plus brefs délais si vous étiez sur le forum dans la nuit de 23 au 24 novembre.
Vous pouvez faire ce changement ici : .http://www.phptools4u.com/membres/update.php
Nous ne remercierons donc pas ce plaisantin pour avoir perturbé le fonctionnement du site au lieu de nous avoir fait part du bug.
Ceci étant, si jamais vous trouvez une faille ou un bug, il serait bien de nous le faire remonter. Je vous rappelle, que les scr1pts présent sur le site sont destinés à être disponibles pour les membres par la suite. Ainsi donc, le maximum de bugs éliminés dès le départ, le plus tranquille vous serez.
L'équipe PHPTools4U.com
____________________
|
|
polo
Messages : 5
Inscrit le : 24/11/2002 |
Posté le 24/11/2002 à 10:47:41
Message N°2 #
|
Il s'agit de Raver patron d'un site de hack, qui s'amuse un peu...
J'ai été victime de lui également... j'ai remplacé le mot "javascr1pt" par "java scr1pt" dans le forum et ça marche plus son truc...
A vous de voir...
Ci@o ! |
|
polo
Messages : 5
Inscrit le : 24/11/2002 |
Posté le 24/11/2002 à 10:48:40
Message N°3 #
|
et je vois que vous l'avez déjà fait... alors j'ai rien dit...
sacré Raver... |
|
Erianor
Messages : 199
Inscrit le : 12/05/2002 |
Posté le 24/11/2002 à 11:02:11
Message N°4 #
|
Ben ouaip, ce qui est galère sur le net c'est que même si on fait les choses dans un but non commercial, qui ne gêne personne, et ben on attire quand même les hackers...
Merci pour la transparence les gars.
Ceci dit, j'y connais pas grand chose mais n'est il pas envisageable de ne pas stocker login et mots de passe dans les cookies. Si on stocke uniquement l'identifiant de session ou quelque chose comme ça, les risques me semblent moins grand. En cas de problème on vire les ID de session sur le serveur et le seul inconvéniant est que les utilisateurs doivent se re-connecter. Y a une 'faille' dans mon raisonnement ? |
|
raver
Messages : 11
Inscrit le : 24/11/2002 |
Posté le 24/11/2002 à 11:25:06
Message N°5 #
|
ouais c'est moi le petit plaisantin, désolé il n'y a rien de méchant mais la tentation était trop forte, quand je vois une faille je suis obligé de l'exploiter c'est plus fort que moi.
allé sans rancune
LESNIAK Mathieu
57 rue Feray
CORBEIL ESSONNES, 91100
mathieu.lesniak@laposte.net
et rappel toi hypnowarez.org rulezz |
|
raver
Messages : 11
Inscrit le : 24/11/2002 |
Posté le 24/11/2002 à 11:27:18
Message N°6 #
|
il est vrai par contre que je possède quelques mot de passe , avec john the ripper ( un outil bien connu le md5 vole en 5 mins. ) mais bon c'est rien de bien méchant.
|
|
maverick
Messages : 619
Inscrit le : 04/04/2002 |
Posté le 24/11/2002 à 11:30:14
Message N°7 #
|
Non non sans rancune
olivier noblanc
29/10/1981
10 rue de l orme
90700 chatenois-les-forges
Photo
Pour ce qui est de John The Ripper, ca dépend du mot de passe, mais il y en a certain qui tiennent beaucoup plus que 5 min...
____________________
|
|
polo
Messages : 5
Inscrit le : 24/11/2002 |
Posté le 24/11/2002 à 11:36:06
Message N°8 #
|
Enchanté, moi c'est:
Polo Ray Bello
141 th street
Miami Beach
Tel: 555 - 6969 |
|
raver
Messages : 11
Inscrit le : 24/11/2002 |
Posté le 24/11/2002 à 12:47:14
Message N°9 #
|
une photo de cul poilu c'est super dur a trouver, sur le web, je lance un apel pour pouvoir remplacer ma photo, même si vous contribuez au fait que je suis de plus en plus connu.
|
|
Random
Messages : 3
Inscrit le : 24/11/2002 |
Posté le 24/11/2002 à 14:56:54
Message N°10 #
|
raver a écrit : et rappel toi hypnowarez.org rulezz</I>
Y'a de plus en plus de rigolos sur le web c'est dingue, mais on est tombé sur un spécimen, rien que la news sur son site est tordante |
|