Batch Index du Forum
S’enregistrerRechercherFAQMembresGroupesConnexion
Répondre au sujet Page 2 sur 2
Aller à la page: <  1, 2
Recrutement + Informations TRES importantes !
Auteur Message
Répondre en citant
Message Recrutement + Informations TRES importantes ! 
Revue du message précédent :

Citation:
Le forum est hébergé sur une plateforme de forums nommé xooit.com et nous n'avons aucun accès à toutes ressources php ou database du forum. Ormis quelques fichiers pour modifier le template de type tpl.


Bonjour, donc, tu as tout a fait raison avec un forum créer par defaut avec un theme etc.. MAIS , toutes ressources php (et non la database du forum) peut etre bel et bien modifier par l'utilisateur (Pas dans les fichiers .tpl) .


Citation:
Je te conseille plutot vivement de contacter xooit, pour parler de ces failles de sécurité et de voir si elles sont collmatés par la suite pour notre forum.
Ceci est une autre solution , oui.


Citation:
Edit : tite remarque toute gentile pour tes futures recrutements, adapte bien ton speech au contenu que tu visites, nous ne sommes pas un site web mais un forum


Pas de probleme Wink





PS: DarkBatcher, xooit utilise PHPBB 3 ...

Tu me crois pas ? --> Va voir ceci :(clique ici).

Ps: je crois savoir pourquoi tu ne me crois pas par rapport a la modification de scripts php etc.., c'est car, tu parles d'un forum xooit gratuit et NON héberger, mais c'est tout a fait modifiable du moment que l'on a payer et heberger son site sous xooit.


Merci de ta comprehension et aurevoir.



( RE'EDIT: J'ai fait une dedicace de votre forum et de DarkBatcher EN PERSONNE, ici :(clique ici)

Visiter le site web du posteur
Message Publicité 
PublicitéSupprimer les publicités ?


Répondre en citant
Message Recrutement + Informations TRES importantes ! 
Citation:
PS: DarkBatcher, xooit utilise PHPBB 3 ...

Tu me crois pas ? --> Va voir ceci :(clique ici).

Ps: je crois savoir pourquoi tu ne me crois pas par rapport a la modification de scripts php etc.., c'est car, tu parles d'un forum xooit gratuit et NON héberger, mais c'est tout a fait modifiable du moment que l'on a payer et heberger son site sous xooit.


Nan sans blague Shocked je vois que tu me comprends, je nie pas que dans l'absolu on peut toucher aux sources d'un forum basé sur xoo.it, seulement que c'est pas possible en l'état Mr. Green d'ailleurs quelqu'un sait un où on peux trouver la source de xoo.it, je me suis laissé entendre dire que c'était un projet open-source Laughing

et je peux t'assurer que les forums xooit et phpbb sont tout à fait différents, la base est la même, mais je suis pas sur que les thèmes, les bdd soient interopérables...

Et quand je dis que CRSF n'est pas dangereux, je parle pour un utilisateur averti. Une fois qu'on t'a mis au courant que quand tu te connecte à l'interface d'administration il faut se déconnecter à la fin et ne naviguer sur aucune autre page, tu ne risque plus rien Very Happy perso c'est ce que je fais Mr. Green

Tout est une question de précautions, c'est comme ne pas cliquer sur un lien douteux, ou ne pas exécuter un exécutable dans lequel on n'a pas confiance, ou alors dans une sandbox...

Citation:
( RE'EDIT: J'ai fait une dedicace de votre forum et de DarkBatcher EN PERSONNE, ici :(clique ici)


J'sais pas trop comment je dois le prendre xD on va dire que c'est gentillet Mort de Rire

@+




______________________________________________________
--
> Que pensez vous de l'ajout du repertoire point dans $PATH ?
Ma version de troll 18.0.32 beta 3 vient de me faire un core dump.
-+- SE in Guide du Linuxien Pervers : Bien développer son troll -+-

[Dos9]
Visiter le site web du posteur Skype
Répondre en citant
Message Recrutement + Informations TRES importantes ! 
Citation:
Nan sans blague je vois que tu me comprends, je nie pas que dans l'absolu on peut toucher aux sources d'un forum basé sur xoo.it, seulement que c'est pas possible en l'état d'ailleurs quelqu'un sait un où on peux trouver la source de xoo.it, je me suis laissé entendre dire que c'était un projet open-source


Oui voila tu as compris Wink

Citation:
et je peux t'assurer que les forums xooit et phpbb sont tout à fait différents, la base est la même


Oui ca je le sais que les forums xooit et phpbb sont tout a fait différents , apres c'est vrai la base est la meme mais en tout cas d'apres mes sources, il y a des scripts je veux dire supplementaire et l'un plus sécurisée que l'autre.

Citation:
Et quand je dis que CRSF n'est pas dangereux, je parle pour un utilisateur averti. Une fois qu'on t'a mis au courant que quand tu te connecte à l'interface d'administration il faut se déconnecter à la fin et ne naviguer sur aucune autre page, tu ne risque plus rien perso c'est ce que je fais


Dans la base de ce sujet, tu n'a pas tort, mais je veut dire precisement pas ceci.

En gros je veut expliquer ceci :

on dit que quand l'administrateur veut supprimer un topic , l'url fait :

http://batch.xoo.it/index.php?mode=delete&p=2248 (fake lien)

ensuite, un simple visiteur passe, et a cette url, et connais comment supprimer un topic (car on dit qu'auparavant il etait admin' d'un forum xooit aussi) et bien si il colle le MEME lien dans la barre de recherche, l'effet est le meme! Ca c'est la faille

CSRF c'est comme si par exemple en donnant un autre exemple :


Un utilisateur a un url pour son compte qui est : http://www.fakelien.com/login=Utilisateur?mode=211 , et bien il se connecte a son compte 'Utilisateur' , mais si par exemple il enleve 'Utilisateur' et qu'il met :

http://www.fakelien.com/login=Admin?mode=211 , et bien il sera connecter en admin (ca c'est une faille Csrf) c'est pour ca que c'est dangereux !




EDIT:

Citation:
J'sais pas trop comment je dois le prendre xD on va dire que c'est gentillet


Oui il faut le prendre comme ça ;p




______________________________________________________

~~ Programmation ~~

----> Mon niveau en batch : 17/100

----> Mon niveau en C++ : 81/100

----> Mon niveau en VB : 93/100

----> Mon niveau en C# : 90/100


~~ Programmation WEB ~~

----> Mon niveau en HTML5 : 91/100

----> Mon niveau en PHP : 67/100

----> Mon niveau en JAVASCRIPT : 37/100

''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Visiter le site web du posteur
Répondre en citant
Message Recrutement + Informations TRES importantes ! 
Re !

Citation:
ensuite, un simple visiteur passe, et a cette url, et connais comment supprimer un topic (car on dit qu'auparavant il etait admin' d'un forum xooit aussi) et bien si il colle le MEME lien dans la barre de recherche, l'effet est le meme! Ca c'est la faille

CSRF c'est comme si par exemple en donnant un autre exemple :


Un utilisateur a un url pour son compte qui est : http://www.fakelien.com/login=Utilisateur?mode=211 , et bien il se connecte a son compte 'Utilisateur' , mais si par exemple il enleve 'Utilisateur' et qu'il met :

http://www.fakelien.com/login=Admin?mode=211 , et bien il sera connecter en admin (ca c'est une faille Csrf) c'est pour ca que c'est dangereux !


C'est pas du tout ce que j’appelle une faille CSRF :O ne ce que ton lien explique d'ailleurs xD d'ailleurs ce que tu me dis là, c'est une faille faille vraiment dangereuse et une erreur de codeur débutant bourré et aveugle Mort de Rire non ce qui est expliqué dans le lien c'est que la faille CSRF permet une usurpation de privilèges, d'un admin par exemple...

enfait le principe c'est que pour reprendre l'exemple du lien, tu utilise par exemple ce code là
Code:
[lang=html5]<a href="http://fake.url/admincp.php?delete=utilisateur">Cliquez pour voir mon super site !</a>


Le lien est déguisé en lien inoffensif, vu que ça affiche "Cliquez pour voir mon super site !". Et là, si un admin clique dessus alors qu'il est logué dans l'interface d'administration, ça exécutera la page avec les privilèges de l'administrateur, vu que c'est son pc qu'envoie la requête, avec les cookie et la session php Very Happy

@+




______________________________________________________
--
> Que pensez vous de l'ajout du repertoire point dans $PATH ?
Ma version de troll 18.0.32 beta 3 vient de me faire un core dump.
-+- SE in Guide du Linuxien Pervers : Bien développer son troll -+-

[Dos9]
Visiter le site web du posteur Skype
Répondre en citant
Message Recrutement + Informations TRES importantes ! 
Citation:
le lien c'est que la faille CSRF permet une usurpation de privilèges, d'un admin par exemple...

C'est bien ce que je dit Wink

Citation:
C'est pas du tout ce que j’appelle une faille CSRF :O


bien sur que si c'est ce qu'on appelle une faille CSRF Wink



Exemple de Wikipedia :

Citation:
Supposons que Bob soit l'administrateur d'un forum et qu'il soit connecté à celui-ci par un système de sessions. Alice est un membre de ce même forum, elle veut supprimer un des messages du forum. Comme elle n'a pas les droits nécessaires avec son compte, elle utilise celui de Bob grâce à une attaque de type CSRF.
Alice arrive à connaître le lien qui permet de supprimer le message en question.
Alice envoie un message à Bob contenant une pseudo-image à afficher (qui est en fait un script). L'URL de l'image est le lien vers le script permettant de supprimer le message désiré.
Bob lit le message d'Alice, son navigateur tente de récupérer le contenu de l'image. En faisant cela, le navigateur actionne le lien et supprime le message, il récupère une page web comme contenu pour l'image. Ne reconnaissant pas le type d'image associé, il n'affiche pas d'image et Bob ne sait pas qu'Alice vient de lui faire supprimer un message contre son gré.



--> Et c'est bien ce que je precise Wink


@+




______________________________________________________

~~ Programmation ~~

----> Mon niveau en batch : 17/100

----> Mon niveau en C++ : 81/100

----> Mon niveau en VB : 93/100

----> Mon niveau en C# : 90/100


~~ Programmation WEB ~~

----> Mon niveau en HTML5 : 91/100

----> Mon niveau en PHP : 67/100

----> Mon niveau en JAVASCRIPT : 37/100

''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Visiter le site web du posteur
Répondre en citant
Message Recrutement + Informations TRES importantes ! 
hello !

non non, je suis formel, aucun des deux exemples que tu m'as donné ne sont des faire CRSF, d'ailleurs tu sais lire wikipédia, il y est bien ecrit "session" Mort de Rire le lien ne suffit pas, il faut aussi un admin idiot et/ou inconscient pour que ça marche xD

@+




______________________________________________________
--
> Que pensez vous de l'ajout du repertoire point dans $PATH ?
Ma version de troll 18.0.32 beta 3 vient de me faire un core dump.
-+- SE in Guide du Linuxien Pervers : Bien développer son troll -+-

[Dos9]
Visiter le site web du posteur Skype
Répondre en citant
Message Recrutement + Informations TRES importantes ! 
Dire que je m'en tiens à "ça ne peut être que bénéfique si il ne touche pas lui-même." Mort de Rire Mort de Rire

Fin si darkounet fait un spitch, c'est qu'il est sur de lui. et je suis d'accord sur certaines choses mais j'ai pas vraiment pus tout lire, j'ai mes devoirs d'histoire à coter... ^^


++ Mr. Green




______________________________________________________
│Øδ@π.
Visiter le site web du posteur Skype
Répondre en citant
Message Recrutement + Informations TRES importantes ! 
Je ne suis pas un expert la dedans mais vue de ce que je connais , ce sont des failles mais pas du tout dangereuse !

Darkbatcher a encore raison Mort de Rire




______________________________________________________
Expert Réseau & Anonymat !
" Les shell codes ??..c'est juste des boite a outils ! "


Visiter le site web du posteur
Répondre en citant
Message Recrutement + Informations TRES importantes ! 
Citation:
"session" le lien ne suffit pas, il faut aussi un admin idiot et/ou inconscient pour que ça marche xD


C'est bien ce que je dis Wink

Et je l'ai dit, qu'il faut qu'il CLIQUE DESSUS l'admin pour qu'il soit 'pris au piege' Smile



et :

Citation:
ça ne peut être que bénéfique si il ne touche pas lui-même


c'est bien ce que je dit..





Citation:
ce sont des failles mais pas du tout dangereuse !


Par defaut si l'admin ne clique pas sur le lien ou n'execute pas le lien, ce n'est pas dangereux, mais si il l'execute LA c'est grave.. exemple?

---> imagine que " ici " redirige vers une faille CSRF, et bien, l'admin ne le sais pas, alors il clique, donc, apres la c'est grave car ca peut encourer des risques...


Citation:
Darkbatcher a encore raison


Pas totalement, mais dans certains domaines, oui Wink .



En conclusion: On dit quasi la meme chose.. juste que tu n'est pas d'accord que dés que l'admin clique sur un lien qui redirige vers une faille crsf cela provoque une action faite par l'admin (que l'utilisateur a prevus dans son lien) exemple: l'ajouter en admin. Et tu n'est pas d'accord que ca, s'en ai une, pourtant si Wink


@+




______________________________________________________

~~ Programmation ~~

----> Mon niveau en batch : 17/100

----> Mon niveau en C++ : 81/100

----> Mon niveau en VB : 93/100

----> Mon niveau en C# : 90/100


~~ Programmation WEB ~~

----> Mon niveau en HTML5 : 91/100

----> Mon niveau en PHP : 67/100

----> Mon niveau en JAVASCRIPT : 37/100

''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Visiter le site web du posteur
Répondre en citant
Message Recrutement + Informations TRES importantes ! 
Re !

ben voilà c'est ce que je martèle depuis le début xD
m'enfin joli repli stratégique Okay
Citation:
http://www.fakelien.com/login=Admin?mode=211 , et bien il sera connecter en admin (ca c'est une faille Csrf) c'est pour ca que c'est dangereux !

il etait question de l'admin clic là Mort de Rire

Enfin bref, merci quand même, ça nous a permit de faire une piqure de rapel pour les membres du staff Mr. Green

en tout cas, très content d'avoir pu troller avec toi Mort de Rire et merci pour la dédicasse Mr. Green

@+




______________________________________________________
--
> Que pensez vous de l'ajout du repertoire point dans $PATH ?
Ma version de troll 18.0.32 beta 3 vient de me faire un core dump.
-+- SE in Guide du Linuxien Pervers : Bien développer son troll -+-

[Dos9]
Visiter le site web du posteur Skype
Répondre en citant
Message Recrutement + Informations TRES importantes ! 
Citation:
ben voilà c'est ce que je martèle depuis le début xD


?? Alors pourquoi tu ne comprenais pas ce que je dis =3 .. En gros enfaite, on disais la meme chse, mais differement Okay


Citation:
m'enfin joli repli stratégique


Je n'ai pas fait une repli mais j'ai utiliser ma strategie *jeu de mot yeah*


Citation:
en tout cas, très content d'avoir pu troller avec toi et merci pour la dédicasse


Gros derien Wink




______________________________________________________

~~ Programmation ~~

----> Mon niveau en batch : 17/100

----> Mon niveau en C++ : 81/100

----> Mon niveau en VB : 93/100

----> Mon niveau en C# : 90/100


~~ Programmation WEB ~~

----> Mon niveau en HTML5 : 91/100

----> Mon niveau en PHP : 67/100

----> Mon niveau en JAVASCRIPT : 37/100

''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Visiter le site web du posteur
Message Recrutement + Informations TRES importantes ! 


Montrer les messages depuis:
Répondre au sujet Page 2 sur 2
Aller à la page: <  1, 2
  



Index | créer un forum | Forum gratuit d’entraide | Annuaire des forums gratuits | Signaler une violation | Conditions générales d'utilisation
Copyright 2008 - 2016 // Batch