Problème de sécurité dans la Shoutox ?
En version 3.0.1
Support Général
Visiteur
J'ai un message bizarre dans ma shoutbox, je souhaiterais savoir si un petit malin n'a pas trouvé une faille dans PHPBoost ...
Voici un extrait de notre BDD :
id login user_id level contents timestamp
43 Pseudonyme insultant-1 -1 Message insultant 1255123401
Nous avons interdit aux non membre de poster dans la shoutbox, comment es-ce possible ?
Injection SQL ?
Visiteur
.Si non, continue ton rapport.
ben.popeye Membre non connecté
-
Modérateur
- Voir le profil du membre ben.popeye
- Inscrit le : 04/08/2005
- Site internet
- Groupes :
-
Equipe Historique
horn Membre non connecté
-
Modérateur
- Voir le profil du membre horn
- Inscrit le : 31/12/2007
- Site internet
- Groupes :
-
Equipe Historique
ben.popeye :
Ce n'est pas un invité qui a posté ce message mais bel et bien un membre du site dont le numéro est 43.
structure de la table : id login user_id => c'est un visiteur car le user_id est à -1
CrowkaiT Membre non connecté
-
Modérateur
- Voir le profil du membre CrowkaiT
- Inscrit le : 17/06/2005
- Site internet
- Groupes :
-
Equipe Historique
toTOW Membre non connecté
-
Booster Minigun
- Voir le profil du membre toTOW
- Inscrit le : 10/08/2009
- Site internet
Code :
<?php
global $CONFIG_SHOUTBOX;
$CONFIG_SHOUTBOX = array (
'shoutbox_max_msg' => 100,
'shoutbox_auth' => 0,
'shoutbox_forbidden_tags' =>
array (
0 => 'title',
1 => 'style',
2 => 'url',
3 => 'img',
4 => 'quote',
5 => 'hide',
6 => 'list',
7 => 'color',
8 => 'bgcolor',
9 => 'font',
10 => 'size',
11 => 'align',
12 => 'float',
13 => 'sup',
14 => 'sub',
15 => 'indent',
16 => 'pre',
17 => 'table',
18 => 'swf',
19 => 'movie',
20 => 'sound',
21 => 'code',
22 => 'math',
23 => 'anchor',
24 => 'acronym',
),
'shoutbox_max_link' => 2,
'shoutbox_refresh_delay' => 60000,
);
?>Pour la mise à jour, on attend la version qui intègrera les correctifs de la langue anglaise ... en attendant on touche à rien pour avoir à tout refaire.
Édité par toTOW Le 10/10/2009 à 22h23
Visiteur
ben.popeye Membre non connecté
-
Modérateur
- Voir le profil du membre ben.popeye
- Inscrit le : 04/08/2005
- Site internet
- Groupes :
-
Equipe Historique
C'est donc bel et bien un invité qui a posté.
Est-ce que la shoutbox est réservée aux membres depuis toujours ?
toTOW Membre non connecté
-
Booster Minigun
- Voir le profil du membre toTOW
- Inscrit le : 10/08/2009
- Site internet
ben.popeye :
Est-ce que la shoutbox est réservée aux membres depuis toujours ?
Normalement oui ... j'ai même été vérifier après ca pour être sur, et elle requiert toujours d'être au moins Membre pour pouvoir poster ...
horn Membre non connecté
-
Modérateur
- Voir le profil du membre horn
- Inscrit le : 31/12/2007
- Site internet
- Groupes :
-
Equipe Historique
Serait-il possible que le membre se soit inscrit => post => puis se soit désinscrit (il se passe quoi au niveau de phpboost à ce moment là?)
CrowkaiT Membre non connecté
-
Modérateur
- Voir le profil du membre CrowkaiT
- Inscrit le : 17/06/2005
- Site internet
- Groupes :
-
Equipe Historique
toTOW Membre non connecté
-
Booster Minigun
- Voir le profil du membre toTOW
- Inscrit le : 10/08/2009
- Site internet
Visiteur
Édité par Visiteur Le 22/10/2009 à 13h59
Visiteur
ou j'ai faux ?¿
ben.popeye Membre non connecté
-
Modérateur
- Voir le profil du membre ben.popeye
- Inscrit le : 04/08/2005
- Site internet
- Groupes :
-
Equipe Historique
Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie