bjr.    
 
ma fac est équipée d'une plateforme d'echange entre prof<-->étudiants
 
le forum laisse passer le JS. Curieux que je suis je me suis proposé d'inserer du php pour voir ce que ça donne:
 

 
 
curious isn't it?   s'pa executé. une explication à ce phenomène?
 
merci  

l'img c'est un screenshot du source de la page.
 
j'ai juste tapé:
 
<script language="php">echo '1';</script>
<?php echo '2'; ?>
 
 
 
 
 
dans le champ de saisie des msg

Le code n'est pas exécuté, il est considéré comme une simple chaine de texte et une fois arrivé a ton navigateur, ce dernier ne l'exécute pas non plus car c'est le serveur qui doit le faire
 
Par contre ca sent la XSS a plein nez

mais ça je l'ai bien remarqué.    
 
xss, si on veut. ça pourrait me permettre de comprendre comment qqn pourrait hacker mon site en exploitant cette faille.   je ne vexu pas nuire...

Salut,
 
c'est tout simplement parce que quand tu rentres ton code php dans le formulaire, il est stocké dans une base ou un fichier texte, et qu'ensuite il est affiché via un echo et non interprété avec eval() par exemple.
 
Sinon pas bien de hacker le forum de sa fac

 
ça depend... il y a tes notes sur le site?    

Sinon tu peux pas faire un include en js d'un script php situé ailleurs ?
Ca reviendrait au même nan ?

le php inclus serait executé SUR MON SITE. C'est le même problème que dnas 1 (i)frame.    
 
bon Masklinn, esox_ch, FlorentG, [...] z'êtes où là?  

La seule faille qu'il y a, c'est que tu peux mettre du javascript, et donc récupérer les cookies associés au domaine. Tu peux pas faire exécuter du PHP, vu que c'est juste un echo

j'ai déjà recupéré les cookies des 764 étudiants de mon amphi (login + pass   ) (ça fait une jolie collection d'identifiants ds le dossier "FAC" de ma boîte yahoo!mail   )
Je voudrais juste faire un semblant de "deface" pour ajouter mon NOM PRENOM dans le footer pour m'attirer les acclamations de mon prof. de médecine nucléaire qui programme en PHP+JS+C++    
 
Merci pour cette excellente justification Anthomicro. ça me semble très juste, j'y avais pas pensé    
 
je suis sûr que c'est exploitable...

XSS quoi

ouais on t'a dit.  

Et bah voilà il écoute pas...

Tu me diras j'ai hacké l'intranet de mon école l'année dernière, bête faille dans l'url (on pouvait télécharger n'importe quoi en changeant le nom du fichier dans l'url) bref j'ai téléchargé les fichiers php de l'intranet ... avec les mots de passe, etc ...
 
Sinon pour la faille en question, si t'arrives à inclure quelque chose ce dont je doute vu ce que je disais plus haut (affichage du contenu et non interprétation) tu renommes sur ton serveur le fichier en ".txt" par exemple, il sera pas analysé par ton serveur mais par celui qui fait l'inclusion.
 
C'est nickel quand t'as des failles de type upload ou include ça
 
Un petit script qui parcourt récursivement les dossiers et fichiers et qui t'affiche le contenu de tous les fichiers (et donc forcément des pass quelque part si utilisation d'une bdd) c'est le pied

J'veux pas jouer les rabageois mais....

ptain vous êtes lourd.  
A chaque fois qu'on parle de sécurité et de thèmes qui se pretent facilement au hacking on nous fais chier.    
 
Je veux juste "mieux comprendre pour mieux prevenir".   On n'est pas des serial defacers qui s'echangent des adresses de sites vulnérables...
 
Ce genre de truc c'est un moyen concret de découvrir les problèmes (et les résoudres eventuellement)
 
 

Donc là tu as déjà prévenu l'admin en lui livrant les cookies que tu as volé pour preuve à l'appui
 
Tu dis vouloir te faire mousser, l'intéret personnel est rarement louable... Maintenant si c'est juste pour draguer de la minette en montrant que t'es un super crak3r en rajoutant juste ton petit nom y'a pas grand risque m'enfin, tu joues tu sais ce que tu as à perdre

Nan nan il a dit que c'était pour un homme:

Et tu appel ça "mieux comprendre pour mieux prévennir"? Permet moi quand même d'avoir un petit doute sur tes intentions.
 
Je peux comprendre que tu tienne a vérifier s'il y a bien une faille avant de prévennir.
En revanche quand j'entends parler de collection d'ID/MDP, là je pense qu'on change de domaine.
 
Sans parler du fait que tu cherche a faire du Deface (pour reprendre tes propres mots).

c'est vrai que c'est pas très honnête de ma part d'avoir tout ce couple mdp/login, mais c'est juste histoire de déconner. j'ai modifié aucun pass, rien, ils sont tous dans un dossier, j'aime bien.   (comme un trophée   )
edit: je les ai même pas testé... certains mail n'ont même pas été lus...
 
Je veux juste savoir jusqu'où on peut aller et mettre en pratique pour vérifier. Je suis trop curieux.    
 
Sur ce: on peut locker si ça dérange. J'ai eu réponse à ma question, je remercie ceux qui ont brisé le tabou.