• STATISTIQUES
  • Il y a eu un total de 0 membres et 29434 visiteurs sur le site dans les dernières 24h pour un total de 29 434 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [EN] Dare your mind
    JavaScript: 6, Crypto: 44, Stegano: 36, Logic: 13, Special: 27, Science: 11, Realistic: 7, Programming: 10, Crack It: 6,...
    Challenges
    [EN] Security Traps
    Site de challenge qui prétend être construit non pas dans le but de parfaire vos connaissances, mais plutôt dan...
    Challenges
    [EN] SecurityFocus
    SecurityFocus a été conçu pour faciliter la discussion sur des sujets liés la sécu...
    Vulnérabilités
    [EN] hax.tor
    50 level de challenges mélangés
    Challenges
    [EN] PHPFreaks
    PHPFreaks est un site dédié à l'apprentissage et l'enseignement du PHP. Ici vous trouver...
    Programmation
    [EN] Net Force
    Javascript: 9, Java Applets: 6, Cryptography: 16, Exploits: 7, Cracking: 14, Programming: 13, Internet: 15, Steganograph...
    Challenges
    [EN] Big-Daddy
    Big-Daddy est site internet communautaire avec un effectif diversifié, y compris des artistes, des programmeur...
    Hacking

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Besoin d'information
03-11-2013, 18h05
Message : #1
Reynolds Hors ligne
Newbie
*



Messages : 11
Sujets : 3
Points: -6
Inscription : Nov 2013
Besoin d'information
Bonjour a tous ,

Je suis actuellement en train d'effectué un pentest sur un site de vente d'un ami , j'ai remarquer que dans sa page de profil on peux en modifiant notre nom , affiché du code html t'elle que des input ou autres , mais impossible de couplé ceci avec du PHP car les balises devienne alors des commentaires , t'elle que par exemple : <!----? .

Pareil pour le JavaScript a par via un onclick , ou on peux faire affiché une alerte ou les cookies via : document.cookie

je voulait savoir si durant mon pentest ceci peux éventuellement m'aidé ? Ou y aurai t'il moyen d'outre passé la modification des balises en commentaires ?

Merci de votre lecture ! et j’espère avoirs était assez précis .
+1 (0) -1 (1) Répondre
03-11-2013, 19h06
Message : #2
gruik Hors ligne
gouteur de savon
*



Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012
RE: Besoin d'information
[Image: 1bik.jpg]
Avant donc que d'écrire, apprenez à penser.
Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
(Nicolas Boileau, L'Art poétique)
+1 (1) -1 (0) Répondre
03-11-2013, 19h09
Message : #3
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,609
Sujets : 71
Points: 465
Inscription : Jan 2012
RE: Besoin d'information
Bonjour,

Tu te retrouves face à une faille Stored XSS (qui peut faire pas mal de dégâts, comme voler les cookies et pouvant permettre d'accéder à l'espace d'administration grâce au cookie de session, ou pire, placer une backdoor comme le fait un certain framework nommé BeeF).

Sinon le fait que le <?php ne soit pas interprété, c'est plûtot bon signe, ça veut dire que y'a pas de LFI ni d'eval() foireux qui traînent dans le code.

Bref pour corriger la faille, le mieux est encore de passer un coup de htmlentities, ou sinon les tutoriels concernant le sujet peuvent être aussi utiles Wink
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (0) -1 (0) Répondre
03-11-2013, 19h14
Message : #4
Reynolds Hors ligne
Newbie
*



Messages : 11
Sujets : 3
Points: -6
Inscription : Nov 2013
RE: Besoin d'information
Ok , merci beaucoup pour c'est informations , J'en fait part a mon ami pour qu'il corrige sa Smile
+1 (0) -1 (0) Répondre
03-11-2013, 20h44
Message : #5
Ant4rt1c Hors ligne
Membre
*



Messages : 27
Sujets : 1
Points: -1
Inscription : Oct 2013
RE: Besoin d'information
C'est d'ailleurs étrange qu'il pense à échapper les balises php et pas html.
+1 (0) -1 (0) Répondre
03-11-2013, 20h48
Message : #6
Reynolds Hors ligne
Newbie
*



Messages : 11
Sujets : 3
Points: -6
Inscription : Nov 2013
RE: Besoin d'information
Oui sais se que je trouve étrange en effet .
+1 (0) -1 (0) Répondre
03-11-2013, 21h16 (Modification du message : 03-11-2013, 21h16 par Kiwazaru.)
Message : #7
ark Hors ligne
Psyckomodo!
*****



Messages : 1,033
Sujets : 48
Points: 317
Inscription : Sep 2011
RE: Besoin d'information
(03-11-2013, 20h48)Reynolds a écrit : Oui sais se que je trouve étrange en effet .

c'est*
ce*

Fais attention à ton orthographe s'il te plait... Ça te sera utile plus tard de savoir écrire correctement.
+1 (4) -1 (0) Répondre
03-11-2013, 22h31
Message : #8
Reynolds Hors ligne
Newbie
*



Messages : 11
Sujets : 3
Points: -6
Inscription : Nov 2013
RE: Besoin d'information
(03-11-2013, 21h16)Ark a écrit :
(03-11-2013, 20h48)Reynolds a écrit : Oui sais se que je trouve étrange en effet .

c'est*
ce*

Fais attention à ton orthographe s'il te plait... Ça te sera utile plus tard de savoir écrire correctement.

Oui je vais faire attention , merci à toi de la remarque . Smile
+1 (2) -1 (0) Répondre
04-11-2013, 00h07
Message : #9
gruik Hors ligne
gouteur de savon
*



Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012
RE: Besoin d'information
(03-11-2013, 21h16)Ark a écrit : Fais attention à ton orthographe s'il te plait... Ça te sera utile plus tard de savoir écrire correctement.

et ça fait même partie intégrante de la panoplie du hacker :

Eric S. Raymond a écrit :« Apprenez à bien écrire dans votre langue maternelle. Même si c'est un stéréotype commun que les programmeurs ne savent pas écrire, un nombre surprenant de hackers (incluant les plus accomplis que je connaisse) sont de très bon rédacteurs. »
Avant donc que d'écrire, apprenez à penser.
Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
(Nicolas Boileau, L'Art poétique)
+1 (2) -1 (1) Répondre
04-11-2013, 09h10
Message : #10
0pc0deFR
Non-enregistré



 
RE: Besoin d'information
Une XSS c'est coté client, tu ne peux donc pas injecter de PHP via ce type de vulnerabilité mais seulement utiliser les langages client (html, js, ...).

A savoir qu'avec du html, tu peux déjà faire beaucoup de mal via les iframes qui peuvent ensuite te permettre d’exécuter du javascript.
positive (1) negative (1) Répondre


Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  besoin d'aide !!! niko25000 7 314 10-07-2017, 00h57
Dernier message: DeaDHackS

Atteindre :


Utilisateur(s) parcourant ce sujet : 2 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut