Vous n'êtes pas connecté.

RSS p RSS a

#1 2010-03-24 14:22:27

Dake
Ancien administrateur
Date d'inscription: 2010-03-04
Messages: 363

Failles xss

Bonjour à tous  smile
Bon voila j'ai repéré de très nombreuses failles xss sur le jeu qu'il faudrait peut être corrigé ? A moins que avec la venu du nouveau design big_smile ce problème de sécurité soit réglé.

Hors ligne

 

#2 2010-03-24 15:31:35

percevan
Membre
Date d'inscription: 2005-05-02
Messages: 110

Re: Failles xss

Si tu as rellement vu des failles envoye un message privé à Nytro ou LeonLeCame smile Ils gereront ca sans avoir besoin de tout devoilé en plein jour.

Hors ligne

 

#3 2010-03-24 15:40:43

Dake
Ancien administrateur
Date d'inscription: 2010-03-04
Messages: 363

Re: Failles xss

J'avais envoyé un message à LeonLeCame y a 2 semaines mais aucunes réponses ni changements.

Hors ligne

 

#4 2010-03-24 16:06:06

leptitmoyon
Membre
Lieu: 93 harcore
Date d'inscription: 2004-12-08
Messages: 629

Re: Failles xss

va falloir sévir !
Vas y fais leur le tour de magie qui fait apparaitre Mickey, ensuite réclame une rançon


Prononce mon nom et t'as dit un truc de ouf

http://img218.imageshack.us/img218/7122/bannierefgsyl.jpg

Hors ligne

 

#5 2010-03-24 18:42:38

Prometeus
Programmeur
Date d'inscription: 2006-07-06
Messages: 2714

Re: Failles xss

Des failles xss, ça me fait bien rire...

Mais bon moi je dis ça je dis rien tongue


https://www.exolandia.com/shortinfo.php?p=Prometeus&IMG=2
Nous devons apprendre  à vivre ensemble comme des frères,
sinon nous allons mourir tous  ensemble comme des idiots. [Martin Luther King]

Hors ligne

 

#6 2010-03-24 19:54:57

Dake
Ancien administrateur
Date d'inscription: 2010-03-04
Messages: 363

Re: Failles xss

smile moi aussi ca me fait bien rire smile mais pourquoi ca te fait rire à toi ?

Hors ligne

 

#7 2010-03-24 20:21:43

Prometeus
Programmeur
Date d'inscription: 2006-07-06
Messages: 2714

Re: Failles xss

Arrête de me faire rire je vais m'étouffer avec mon popcorn smile
Bon c'est pas tout ça, j'ai un pain de maïs dans le four, faudrait pas qu'il crame...
Sur ce je te laisse continuer à faire mumuse avec wikini... dommage que ton lien ne soit pas sur le menu de l'aide ça ferait plus crédible wink


https://www.exolandia.com/shortinfo.php?p=Prometeus&IMG=2
Nous devons apprendre  à vivre ensemble comme des frères,
sinon nous allons mourir tous  ensemble comme des idiots. [Martin Luther King]

Hors ligne

 

#8 2010-03-24 21:05:53

Dake
Ancien administrateur
Date d'inscription: 2010-03-04
Messages: 363

Re: Failles xss

donc j'ai le droit légalement de m'amuser avec même pour les autres qui ne sont pas sur wikini mais directement dans le jeu ? smile smile smile

Hors ligne

 

#9 2010-03-25 00:05:59

Achille
Administrateur Général
Lieu: Televille
Date d'inscription: 2004-02-08
Messages: 696

Re: Failles xss

Qui a donné un compte à Exoborg ?  :p


https://www.exolandia.com/shortinfo.php?p=Achille&IMG=2

Hors ligne

 

#10 2010-03-26 19:49:25

Dake
Ancien administrateur
Date d'inscription: 2010-03-04
Messages: 363

Re: Failles xss

Je comprend pas, j'essaye de vous aider en cherchant des éventuels failles pour sécuriser le jeu et vous m'envoyez boulet....
Enfin bon smile Prometeus va voir dans le forum local de FritBerg ou y a mes 3 topic, après ça j'ai pas trouvé de plus grosses failles smile
A supprimer donc ces 3 messages et à sécuriser la faille (j'espere).

Hors ligne

 

#11 2010-03-26 20:08:27

crackintosh
Administrateur Général
Lieu: Fritberg
Date d'inscription: 2004-08-30
Messages: 859

Re: Failles xss

Dake, j'ai supprimé tes balises, merci de ne pas continuer à mettre des balises de script ou de CSS dans les sujets de tes posts.

Envoie un mail à LeonLeCame pour lui expliquer tout ça

Hors ligne

 

#12 2010-03-26 20:11:33

Dake
Ancien administrateur
Date d'inscription: 2010-03-04
Messages: 363

Re: Failles xss

Oups désolé j'en est rajouté une dernière j'ai pas résisté (je rigole haut et fort). J'envoi un message à LeonLeCame immédiatement.

Hors ligne

 

#13 2010-03-26 21:01:57

Prometeus
Programmeur
Date d'inscription: 2006-07-06
Messages: 2714

Re: Failles xss

Les "failles" xss on s'en fiche un peu (quand je dis "on" je parle bien entendu des joueurs et pas des admins)

Tu ne peux pas attaquer la DB avec ça ni perturber le jeu.

Si certains joueurs sont assez idiots pour suivre des liens fantaisistes qui viennent de "sources" non fiables c'est leur problème.

Tu as envoyé un message aux admins c'est bien, c'est la chose à faire et tu as eu raison de le faire... Pour ça bravo !

Quand à faire tout un tralala sur le sujet en place publique parce que tu n'as pas eu de réponse immédiate je ne suis pas certain que ça fasse avancer les choses.


https://www.exolandia.com/shortinfo.php?p=Prometeus&IMG=2
Nous devons apprendre  à vivre ensemble comme des frères,
sinon nous allons mourir tous  ensemble comme des idiots. [Martin Luther King]

Hors ligne

 

#14 2010-03-26 21:24:24

Dake
Ancien administrateur
Date d'inscription: 2010-03-04
Messages: 363

Re: Failles xss

Faux,
Avec cette faille, ( je parle pas de celle de wikini mais une directement dans le jeu) j'ai pu modifier le design et la valeur de l'argent pour chaque habitant (niveau apparence) demandé au habitants de FritBerg. Mais j'aurai très bien pu aussi créer des boucle infinie de messages JS, faire des redirections vers d'autre sites, créer un système pour récupéré les cookies des joueurs si les infos pass sont transmissent par là, j'aurais même pu faire des injections SQL pour supprimer toutes la base de données des joueurs, des items, des villes.... A partir du moment ou je peux altérer le système cela devient très dangereux. Encore plus pour cette faille: l'utilisateur n'a pas le choix, il suffit qu'il aillent sur le forum de sa ville pour que le script soit exécuté ! Elle ne doit donc surtout pas être prise à la légère et doit être corrigé dans les plus bref délais !

Hors ligne

 

#15 2010-03-26 21:44:25

Prometeus
Programmeur
Date d'inscription: 2006-07-06
Messages: 2714

Re: Failles xss

Ouais, ouais... tu n'es pas sur le site de la banque de france mais sur un jeu... (et tu ne peux pas injecter de code dans la DB)
Je n'en dirai pas plus...

Encore une fois tu as prévenu les admins c'est super... (nécessaire et suffisant)


https://www.exolandia.com/shortinfo.php?p=Prometeus&IMG=2
Nous devons apprendre  à vivre ensemble comme des frères,
sinon nous allons mourir tous  ensemble comme des idiots. [Martin Luther King]

Hors ligne

 

#16 2010-03-26 21:52:37

Dake
Ancien administrateur
Date d'inscription: 2010-03-04
Messages: 363

Re: Failles xss

Je te conseille de lire ça http://fr.wikipedia.org/wiki/Injection_SQL
Enfin bref j'ai prévenu les admins ce topic n'a plus d'intérêts.

Hors ligne

 

#17 2010-03-26 21:56:55

leptitmoyon
Membre
Lieu: 93 harcore
Date d'inscription: 2004-12-08
Messages: 629

Re: Failles xss

Bravo dake, c'est ce qu'on appelle un "chai"


Prononce mon nom et t'as dit un truc de ouf

http://img218.imageshack.us/img218/7122/bannierefgsyl.jpg

Hors ligne

 

#18 2010-03-26 22:15:24

Prometeus
Programmeur
Date d'inscription: 2006-07-06
Messages: 2714

Re: Failles xss

Les admins et concepteurs sont tous des professionnels ayant quelques heures de vol au compteur, pas des perdreaux nés de la veille.
Ma remarque n'était pas d'ordre général mais spécifique au jeu...
(Merci pour ton lien mais je connais très bien le sujet donc pas besoin de me rafraichir la mémoire)


https://www.exolandia.com/shortinfo.php?p=Prometeus&IMG=2
Nous devons apprendre  à vivre ensemble comme des frères,
sinon nous allons mourir tous  ensemble comme des idiots. [Martin Luther King]

Hors ligne

 

#19 2010-03-27 09:55:32

Dake
Ancien administrateur
Date d'inscription: 2010-03-04
Messages: 363

Re: Failles xss

extrait tiré de wikipédia:
"Imaginons à présent que le script PHP exécutant cette requête ne vérifie pas les données entrantes pour garantir sa sécurité. On pourrais alors fournir les informations suivantes :  SELECT uid WHERE name = 'Dupont' AND password = ' ' OR 1=1"
Ah moins que je n'est pas bien compris, les données entrantes ne sont pas vérifiées on peut injecté des scripts.
Enfin bon le problème n'est pas là et je ne posterai pas d'autres messages sur cette bdd.

Dernière modification par Dake (2010-03-27 10:07:40)

Hors ligne

 

#20 2010-03-27 10:07:40

LeonLeCame
Administrateur
Lieu: quelque part sur Exolandia
Date d'inscription: 2003-12-29
Messages: 4726
Site web

Re: Failles xss

Le problème ici venait du fait qu'il s'agissait d'un module externe... Le problème a été fixé par Thom hier.

A nouveau je réitère ma proposition tant pour Prom que pour Dake : si vos connaissances le permettent, vous pouvez corriger les fautes directement. Ce sera d'autant plus rapide et efficace smile


https://www.exolandia.com/shortinfo.php?p=LeonLeCame&IMG=2]

In 1963, a corporation, named  The Center, isolated a young pretender named Jarod  ... but one day, the Pretender ran away...

Hors ligne

 

#21 2010-03-27 10:20:04

Dake
Ancien administrateur
Date d'inscription: 2010-03-04
Messages: 363

Re: Failles xss

Ok smile par contre je ne vois pas comment corriger les fautes de faille directement, le problème est en cours ou c'est résolu ?

Hors ligne

 

#22 2010-03-27 10:24:04

LeonLeCame
Administrateur
Lieu: quelque part sur Exolandia
Date d'inscription: 2003-12-29
Messages: 4726
Site web

Re: Failles xss

Code:

03/26/10: Yesterday
23:47 Changeset [322] by tho
quick fix for xss in title, add protection against sql injection too

A priori je dirais résolu ... Mais Dake tu t'y connais en programmation ou plus en "piratage" ? :p


https://www.exolandia.com/shortinfo.php?p=LeonLeCame&IMG=2]

In 1963, a corporation, named  The Center, isolated a young pretender named Jarod  ... but one day, the Pretender ran away...

Hors ligne

 

#23 2010-03-27 11:12:38

Dake
Ancien administrateur
Date d'inscription: 2010-03-04
Messages: 363

Re: Failles xss

Effectivement c'est résolu je ne peux plus insérer de script smile , sinon je m'y connais bien plus en programmation au niveau PHP, SQL et JavaScript que en "piratage" j'était juste curieux de voir comment fonctionné les failles xss wink

Dernière modification par Dake (2010-03-27 12:24:29)

Hors ligne

 

#24 2010-05-24 21:16:10

TupacAmaru
Membre
Lieu: Armagh Hertang.Donegal.Bangor
Date d'inscription: 2005-11-20
Messages: 166

Re: Failles xss

Je devrais venir voir le FG plus souvent... :(je rigole haut et fort):

Mon camarade, celui qui réfléchit avant mais toujours aussi péremptoire, devrait lire MISC N°49 (Mai/juin 2010)...

Un article de qualité, comme le sont tous les articles de cette revue, lui permettrait me mesurer ce qu'est une vulnérabilité xss.


Sur ce bonne soirée, je vais chercher où poster ce pour quoi je suis venu.

Dernière modification par TupacAmaru (2010-05-24 21:42:36)


http://nsa03.casimages.com/img/2008/12/31/mini_081231064650349534.jpg
  Bangor ma Bro, Bangor atav !!!

Hors ligne

 

Pied de page du Forum

Powered by FluxBB