Forum Exolandia / Failles xss

Dake · 2010-03-24 14:22:27

Bonjour à tous
Bon voila j'ai repéré de très nombreuses failles xss sur le jeu qu'il faudrait peut être corrigé ? A moins que avec la venu du nouveau design ce problème de sécurité soit réglé.

percevan · 2010-03-24 15:31:35

Si tu as rellement vu des failles envoye un message privé à Nytro ou LeonLeCame Ils gereront ca sans avoir besoin de tout devoilé en plein jour.

Dake · 2010-03-24 15:40:43

J'avais envoyé un message à LeonLeCame y a 2 semaines mais aucunes réponses ni changements.

leptitmoyon · 2010-03-24 16:06:06

va falloir sévir !
Vas y fais leur le tour de magie qui fait apparaitre Mickey, ensuite réclame une rançon

Prometeus · 2010-03-24 18:42:38

Des failles xss, ça me fait bien rire...

Mais bon moi je dis ça je dis rien

Dake · 2010-03-24 19:54:57

moi aussi ca me fait bien rire mais pourquoi ca te fait rire à toi ?

Prometeus · 2010-03-24 20:21:43

Arrête de me faire rire je vais m'étouffer avec mon popcorn
Bon c'est pas tout ça, j'ai un pain de maïs dans le four, faudrait pas qu'il crame...
Sur ce je te laisse continuer à faire mumuse avec wikini... dommage que ton lien ne soit pas sur le menu de l'aide ça ferait plus crédible

Dake · 2010-03-24 21:05:53

donc j'ai le droit légalement de m'amuser avec même pour les autres qui ne sont pas sur wikini mais directement dans le jeu ?

Achille · 2010-03-25 00:05:59

Qui a donné un compte à Exoborg ? :p

Dake · 2010-03-26 19:49:25

Je comprend pas, j'essaye de vous aider en cherchant des éventuels failles pour sécuriser le jeu et vous m'envoyez boulet....
Enfin bon Prometeus va voir dans le forum local de FritBerg ou y a mes 3 topic, après ça j'ai pas trouvé de plus grosses failles
A supprimer donc ces 3 messages et à sécuriser la faille (j'espere).

crackintosh · 2010-03-26 20:08:27

Dake, j'ai supprimé tes balises, merci de ne pas continuer à mettre des balises de script ou de CSS dans les sujets de tes posts.

Envoie un mail à LeonLeCame pour lui expliquer tout ça

Dake · 2010-03-26 20:11:33

Oups désolé j'en est rajouté une dernière j'ai pas résisté (je rigole haut et fort). J'envoi un message à LeonLeCame immédiatement.

Prometeus · 2010-03-26 21:01:57

Les "failles" xss on s'en fiche un peu (quand je dis "on" je parle bien entendu des joueurs et pas des admins)

Tu ne peux pas attaquer la DB avec ça ni perturber le jeu.

Si certains joueurs sont assez idiots pour suivre des liens fantaisistes qui viennent de "sources" non fiables c'est leur problème.

Tu as envoyé un message aux admins c'est bien, c'est la chose à faire et tu as eu raison de le faire... Pour ça bravo !

Quand à faire tout un tralala sur le sujet en place publique parce que tu n'as pas eu de réponse immédiate je ne suis pas certain que ça fasse avancer les choses.

Dake · 2010-03-26 21:24:24

Faux,
Avec cette faille, ( je parle pas de celle de wikini mais une directement dans le jeu) j'ai pu modifier le design et la valeur de l'argent pour chaque habitant (niveau apparence) demandé au habitants de FritBerg. Mais j'aurai très bien pu aussi créer des boucle infinie de messages JS, faire des redirections vers d'autre sites, créer un système pour récupéré les cookies des joueurs si les infos pass sont transmissent par là, j'aurais même pu faire des injections SQL pour supprimer toutes la base de données des joueurs, des items, des villes.... A partir du moment ou je peux altérer le système cela devient très dangereux. Encore plus pour cette faille: l'utilisateur n'a pas le choix, il suffit qu'il aillent sur le forum de sa ville pour que le script soit exécuté ! Elle ne doit donc surtout pas être prise à la légère et doit être corrigé dans les plus bref délais !

Prometeus · 2010-03-26 21:44:25

Ouais, ouais... tu n'es pas sur le site de la banque de france mais sur un jeu... (et tu ne peux pas injecter de code dans la DB)
Je n'en dirai pas plus...

Encore une fois tu as prévenu les admins c'est super... (nécessaire et suffisant)

Dake · 2010-03-26 21:52:37

Je te conseille de lire ça http://fr.wikipedia.org/wiki/Injection_SQL
Enfin bref j'ai prévenu les admins ce topic n'a plus d'intérêts.

leptitmoyon · 2010-03-26 21:56:55

Bravo dake, c'est ce qu'on appelle un "chai"

Prometeus · 2010-03-26 22:15:24

Les admins et concepteurs sont tous des professionnels ayant quelques heures de vol au compteur, pas des perdreaux nés de la veille.
Ma remarque n'était pas d'ordre général mais spécifique au jeu...
(Merci pour ton lien mais je connais très bien le sujet donc pas besoin de me rafraichir la mémoire)

Dake · 2010-03-27 09:55:32

extrait tiré de wikipédia:
"Imaginons à présent que le script PHP exécutant cette requête ne vérifie pas les données entrantes pour garantir sa sécurité. On pourrais alors fournir les informations suivantes : SELECT uid WHERE name = 'Dupont' AND password = ' ' OR 1=1"
Ah moins que je n'est pas bien compris, les données entrantes ne sont pas vérifiées on peut injecté des scripts.
Enfin bon le problème n'est pas là et je ne posterai pas d'autres messages sur cette bdd.

Dernière modification par Dake (2010-03-27 10:07:40)

LeonLeCame · 2010-03-27 10:07:40

Le problème ici venait du fait qu'il s'agissait d'un module externe... Le problème a été fixé par Thom hier.

A nouveau je réitère ma proposition tant pour Prom que pour Dake : si vos connaissances le permettent, vous pouvez corriger les fautes directement. Ce sera d'autant plus rapide et efficace

Dake · 2010-03-27 10:20:04

Ok par contre je ne vois pas comment corriger les fautes de faille directement, le problème est en cours ou c'est résolu ?

LeonLeCame · 2010-03-27 10:24:04

Code:

03/26/10: Yesterday
23:47 Changeset [322] by tho
quick fix for xss in title, add protection against sql injection too

A priori je dirais résolu ... Mais Dake tu t'y connais en programmation ou plus en "piratage" ? :p

Dake · 2010-03-27 11:12:38

Effectivement c'est résolu je ne peux plus insérer de script , sinon je m'y connais bien plus en programmation au niveau PHP, SQL et JavaScript que en "piratage" j'était juste curieux de voir comment fonctionné les failles xss

Dernière modification par Dake (2010-03-27 12:24:29)

TupacAmaru · 2010-05-24 21:16:10

Je devrais venir voir le FG plus souvent... :(je rigole haut et fort):

Mon camarade, celui qui réfléchit avant mais toujours aussi péremptoire, devrait lire MISC N°49 (Mai/juin 2010)...

Un article de qualité, comme le sont tous les articles de cette revue, lui permettrait me mesurer ce qu'est une vulnérabilité xss.

Sur ce bonne soirée, je vais chercher où poster ce pour quoi je suis venu.

Dernière modification par TupacAmaru (2010-05-24 21:42:36)

#1 2010-03-24 14:22:27

Failles xss

#2 2010-03-24 15:31:35

Re: Failles xss

#3 2010-03-24 15:40:43

Re: Failles xss

#4 2010-03-24 16:06:06

Re: Failles xss

#5 2010-03-24 18:42:38

Re: Failles xss

#6 2010-03-24 19:54:57

Re: Failles xss

#7 2010-03-24 20:21:43

Re: Failles xss

#8 2010-03-24 21:05:53

Re: Failles xss

#9 2010-03-25 00:05:59

Re: Failles xss

#10 2010-03-26 19:49:25

Re: Failles xss

#11 2010-03-26 20:08:27

Re: Failles xss

#12 2010-03-26 20:11:33

Re: Failles xss

#13 2010-03-26 21:01:57

Re: Failles xss

#14 2010-03-26 21:24:24

Re: Failles xss

#15 2010-03-26 21:44:25

Re: Failles xss

#16 2010-03-26 21:52:37

Re: Failles xss

#17 2010-03-26 21:56:55

Re: Failles xss

#18 2010-03-26 22:15:24

Re: Failles xss

#19 2010-03-27 09:55:32

Re: Failles xss

#20 2010-03-27 10:07:40

Re: Failles xss

#21 2010-03-27 10:20:04

Re: Failles xss

#22 2010-03-27 10:24:04

Re: Failles xss

Code:

#23 2010-03-27 11:12:38

Re: Failles xss

#24 2010-05-24 21:16:10

Re: Failles xss

Pied de page du Forum