NPDS : Gestion de contenu et de communauté
Content & Community Management System (CCMS) robuste, sécurisé, complet, performant, parlant vraiment français, libre (Open-Source) et gratuit.
39 visiteur(s) et 0 membre(s) en ligne.
Autres infos
Activité du Site
Pages vues depuis 25/05/2001 : 109 371 136
- Nb. de membres 8 695
- Nb. d'articles 1 695
- Nb. de forums 26
- Nb. de sujets 8
- Nb. de critiques 92
Index du forum »» Sécurité »» [Résolu] - Grosses failles sur les forums !!!!
[Résolu] - Grosses failles sur les forums !!!!#4681
2Contributeur(s)
3 Modérateur(s)
Anonyme
Faille de sécurité sur vos forums
J'ai fait un petit test pour confirmer ce qu'il me semblait, il est facile de lire les posts du forum protégé :
Il m'a suffit de m'inscrire à la notification de nouveaux msgs de ce forum pour recevoir ce mail :
##################################################
Vous recevez ce Mail car vous vous êtes abonné à : Forum => Equipe ********
Le titre de la dernière publication est => Salut, ******
L'URL pour cet article est : http://****************/viewtopic.php?topic=66&forum=11
Attention votre inscription est une inscription en tant que membre du site Net-Host et non pas en tant que membre du service d'hébergement !
--------------------------------------------
******** - Hébergement PHP/MySQL
************* -:- copyright 2003
--------------------------------------------
##################################################
L'url (http://www.************/viewtopic.php?topic=66&forum=11) ne permet pas d'y acéder sans avoir le mot de passe, normal, le forum est protégé, donc tout va bien.
SAUF QUE, les topics ne sont pas numérotés par forum, mais la numérotation est la même pour tous les forums.
Donc, il suffit juste de modifie l'url en : "http://www.*********/viewtopic.php?topic=66&forum=10" pour voir s'ouvrir la page, sans avoir les droits d'accès à ce topic.
Les ********** ont été volontairement placé par mes soins pour ne pas donner d'informations sur le site.
J'ai fait un petit test pour confirmer ce qu'il me semblait, il est facile de lire les posts du forum protégé :
Il m'a suffit de m'inscrire à la notification de nouveaux msgs de ce forum pour recevoir ce mail :
##################################################
Vous recevez ce Mail car vous vous êtes abonné à : Forum => Equipe ********
Le titre de la dernière publication est => Salut, ******
L'URL pour cet article est : http://****************/viewtopic.php?topic=66&forum=11
Attention votre inscription est une inscription en tant que membre du site Net-Host et non pas en tant que membre du service d'hébergement !
--------------------------------------------
******** - Hébergement PHP/MySQL
************* -:- copyright 2003
--------------------------------------------
##################################################
L'url (http://www.************/viewtopic.php?topic=66&forum=11) ne permet pas d'y acéder sans avoir le mot de passe, normal, le forum est protégé, donc tout va bien.
SAUF QUE, les topics ne sont pas numérotés par forum, mais la numérotation est la même pour tous les forums.
Donc, il suffit juste de modifie l'url en : "http://www.*********/viewtopic.php?topic=66&forum=10" pour voir s'ouvrir la page, sans avoir les droits d'accès à ce topic.
Les ********** ont été volontairement placé par mes soins pour ne pas donner d'informations sur le site.
developpeur
Cette faille est corrigée dans la version 5.0 en cours de réalisation effectivement.
Merci de ta remarque.
Merci de ta remarque.
Anonyme
Y'a pas de quoi :-) Si j'avais su qu'elle était déjà corrigée j'aurais pas posté...
Cordialement - Kilgor
PS : que la v5 sorte vite :-)
Cordialement - Kilgor
PS : que la v5 sorte vite :-)