Faudrait se calmer avec les attaques CSRF

Faudrait se calmer avec les attaques CSRF [Réglé]

Support Général

Dashmac Membre non connecté

Booster Bazooka

Le 15/08/2009 à 12h19

#66120

Booster Bazooka
Voir le profil du membre Dashmac
Inscrit le : 27/06/2009
Site internet

Reprise du message précédent

Bah le thème est Base j'en suis presque sûr car c'est le thème par défaut et elle a commençé en début de mois

Donc la V3 était actif

ben.popeye Membre non connecté

Equipe Historique Modérateur

Le 15/08/2009 à 12h25

#66121

Modérateur
Voir le profil du membre ben.popeye
Inscrit le : 04/08/2005
Email
Site internet
Groupes :
Equipe Historique

Tu peux faire voir quel est la page pointée par le lien qui permet de se déconnecter ?

Un problème, une question ? Cherchez dans la FAQ ou la documentation. Si vous ne trouvez pas la réponse, demandez du support sur le forum.

Bjarne Stroustrup, inventeur du C++ :
"There are two ways to write error-free programs; only the third works."

Dashmac Membre non connecté

Booster Bazooka

Le 15/08/2009 à 12h26

#66122

Booster Bazooka
Voir le profil du membre Dashmac
Inscrit le : 27/06/2009
Site internet

Je précise que je viens de remplacer le dossier member par la v3 numéro 2 et sa ne change rien.

Edit : http://www.monsite.com/member/member.php?disconnect=true&token=0b3f19d4dd749c1fb00a17886d6a7a2a510081aafe9797ca160e431e5b86567e

Et me redirige ici : member/csrf-attack.php sans me déco' =/

Édité par Dashmac Le 15/08/2009 à 12h27

ben.popeye Membre non connecté

Equipe Historique Modérateur

Le 15/08/2009 à 12h28

#66123

Modérateur
Voir le profil du membre ben.popeye
Inscrit le : 04/08/2005
Email
Site internet
Groupes :
Equipe Historique

Ton template est ok alors.
Tu utilises les deux navigateurs simultanément sur le même compte ?

Un problème, une question ? Cherchez dans la FAQ ou la documentation. Si vous ne trouvez pas la réponse, demandez du support sur le forum.

Bjarne Stroustrup, inventeur du C++ :
"There are two ways to write error-free programs; only the third works."

Dashmac Membre non connecté

Booster Bazooka

Le 15/08/2009 à 12h29

#66125

Booster Bazooka
Voir le profil du membre Dashmac
Inscrit le : 27/06/2009
Site internet

Non non.
PSEUDO1 sous Safari et Mozilla avec PSEUDO2.

JE ferme Firefox pour voir et édit mon message.

Edit : Toujours même bug. Et j'ai essayé avec d'autres pseudos sous safari et même bug =(

Édité par Dashmac Le 15/08/2009 à 12h30

ben.popeye Membre non connecté

Equipe Historique Modérateur

Le 15/08/2009 à 12h39

#66130

Modérateur
Voir le profil du membre ben.popeye
Inscrit le : 04/08/2005
Email
Site internet
Groupes :
Equipe Historique

Dans le lien que tu m'as donné quelques messages plus haut, il y a une longue valeur après token=, cette valeur là c'est le jeton qui permet de certifier que tu ne fais pas une attaque.
Peux-tu regarder dans la base de données, table phpboost_sessions, quel est le jeton que tu as dans cette table à la ligne correspondant à ton compte ?

Un problème, une question ? Cherchez dans la FAQ ou la documentation. Si vous ne trouvez pas la réponse, demandez du support sur le forum.

Bjarne Stroustrup, inventeur du C++ :
"There are two ways to write error-free programs; only the third works."

Dashmac Membre non connecté

Booster Bazooka

Le 15/08/2009 à 13h00

#66135

Booster Bazooka
Voir le profil du membre Dashmac
Inscrit le : 27/06/2009
Site internet

Dans la table session, il y a qu'un enregistrement, voici la session_id :

f4fc299310a99f7637a2fb7d169580ff7adc5c8294d651704b0e15dd6887733a

et j'ai dans le même enregistrement, un token :
edaa3de2479bedd821102ef0ae68141f80e9dfa4153cbe789f7d3351021bb806

Édité par Dashmac Le 15/08/2009 à 13h10

ben.popeye Membre non connecté

Equipe Historique Modérateur

Le 15/08/2009 à 13h58

#66144

Modérateur
Voir le profil du membre ben.popeye
Inscrit le : 04/08/2005
Email
Site internet
Groupes :
Equipe Historique

Il y a effectivement un problème.
Vide la table sessions de ton site et recommence la manipulation, je ne sais pas pourquoi les deux jetons ne correspondent pas, en tout cas c'est ça qui provoque l'erreur?

Un problème, une question ? Cherchez dans la FAQ ou la documentation. Si vous ne trouvez pas la réponse, demandez du support sur le forum.

Bjarne Stroustrup, inventeur du C++ :
"There are two ways to write error-free programs; only the third works."

Dashmac Membre non connecté

Booster Bazooka

Le 15/08/2009 à 19h53

#66171

Booster Bazooka
Voir le profil du membre Dashmac
Inscrit le : 27/06/2009
Site internet

J'ai vidé la table et le résultat est le même, par contre la table sessions est vide. J'espère que ça ne va pas le faire pour les membres.

Une autre solution Ben' ?

Édité par Dashmac Le 15/08/2009 à 19h56

Dashmac Membre non connecté

Booster Bazooka

Le 16/08/2009 à 11h55

#66263

Booster Bazooka
Voir le profil du membre Dashmac
Inscrit le : 27/06/2009
Site internet

BOn je sais pas pourquoi mais ca doit être à cause des URL Rewriting. Je viens de les activer et tout marche niquel.

Merci à tous de m'avoir aidé.

Support Général

Répondre

Vous n'êtes pas autorisé à écrire dans cette catégorie