Langue
Carte des utilisateurs
🎨 Skin viewer
Anniversaire
Aucun anniversaire à venir
Galeries Photo
Petites Annonces
Les plus téléchargés
- 1 npds_galerie582
- 2 npds_agenda550
- 3 86-Car506
- 4 npds_annonces 503
- 5 Programmes de Technologie 1985 MEN ...501
- 6 photosize495
- 7 npds_glossaire475
- 8 npds_encapsuleur467
- 9 bootstrap.png408
- 10 superhero378
Index du forum »» Road map développement »» [Résolu] - nouvelle faille xss
[Résolu] - nouvelle faille xss#1481
2Contributeur(s)
2 Modérateur(s)
Nicolas2
trouver une nouvelle faille xss toujours dans user
si le block membre et activer via la gestion des blocks et si l'utilisateur active sont block membre et qu'il injecte du javascrip dans la description de sa page via sont profile sa passe !
concerne la function save_home() dans user.php
Correction :
si le block membre et activer via la gestion des blocks et si l'utilisateur active sont block membre et qu'il injecte du javascrip dans la description de sa page via sont profile sa passe !
concerne la function save_home() dans user.php
if ($ublockon) $ublockon=1; else $ublockon=0;
$ublock = FixQuotes($ublock);
Correction :
if ($ublockon) $ublockon=1; else $ublockon=0;
$ublock = removeHack(FixQuotes($ublock));
ah non lol !!!!
mais tu penses que c'est grave ?
car oui il peut mettre du js mais cela n'affectera que lui même ?
non ? je vois mal comment il pourrait faire des dégats vu que ce bloc n'est servi qu'a cet utilisateur et donc que le js du bloc ne sera dispo que pour cet utilisateur ???
mais tu penses que c'est grave ?
car oui il peut mettre du js mais cela n'affectera que lui même ?
non ? je vois mal comment il pourrait faire des dégats vu que ce bloc n'est servi qu'a cet utilisateur et donc que le js du bloc ne sera dispo que pour cet utilisateur ???
L'eau goutte à goutte finit toujours par percer la pierre...
Nicolas2
si le membre est un con mal attentionner sa reste une porte ouverte non ?
a toi de voir si cela vaux vraiment la peine d'y remédier
a toi de voir si cela vaux vraiment la peine d'y remédier
Message édité par : Nicolas2 / 06-03-2021 21:35
jpb
oui tu as raison sur le principe
mais c'est comme le covid faut voir ce que les médecins appelle le bénéfice / risque .... lol
- d'un côté ça peut protéger d'un utilisateur mal attentionné (mais malgré la puissance de js je ne vois pas une attaque majeure venant d'un js qui ne soit écrit que pour un utilisateur ??? mais bon je ne suis pas un hacker aussi lol )
- d'un autre côté ça pénalise un user qui veux se mettre un petit js sympa dans son bloc ....?
mais c'est comme le covid faut voir ce que les médecins appelle le bénéfice / risque .... lol
- d'un côté ça peut protéger d'un utilisateur mal attentionné (mais malgré la puissance de js je ne vois pas une attaque majeure venant d'un js qui ne soit écrit que pour un utilisateur ??? mais bon je ne suis pas un hacker aussi lol )
- d'un autre côté ça pénalise un user qui veux se mettre un petit js sympa dans son bloc ....?
L'eau goutte à goutte finit toujours par percer la pierre...
jpb
oui nico je crois ... et espère qu'on ne se trompe pas mais on reste dans une attitude positive et de confiance vis à vis des utilisateurs et ça je pense que c'est bien
L'eau goutte à goutte finit toujours par percer la pierre...