• STATISTIQUES
  • Il y a eu un total de 2 membres et 14703 visiteurs sur le site dans les dernières 24h pour un total de 14 705 personnes!


    Membres: 2 433
    Discussions: 3 585
    Messages: 32 832
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [EN] Framework Metasploit
    Le Framework Metasploit est un logiciel gratuit, open source de tests de pénétration développ&ea...
    Vulnérabilités
    [EN] Defcon
    Lancé en 1992 par Dark Tangent, DEFCON est la plus ancienne et la plus grande conférence underground de...
    Hacking
    [EN] CS Tutoring Center
    Site de challenge spécialisé dans les challenges de programmation C++ et java cependant, d'autres langages pe...
    Challenges
    [EN] Astalavista
    Un site aux ressources incontournable depuis plusieurs années, Astalavista est réellement devenue un cl...
    Hacking
    [FR] Zenk-Security
    La communauté zenk-security a pour objet principal la sécurité informatique, nous sommes des tou...
    Hacking
    [EN] Dare your mind
    JavaScript: 6, Crypto: 44, Stegano: 36, Logic: 13, Special: 27, Science: 11, Realistic: 7, Programming: 10, Crack It: 6,...
    Challenges
    [FR] frameip
    le site de partage des connaissances du monde TCPIP
    Protocole

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Besoin d'information
03-11-2013, 18h05
Message : #1
Reynolds Hors ligne
Newbie
*



Messages : 11
Sujets : 3
Points: -6
Inscription : Nov 2013
Besoin d'information
Bonjour a tous ,

Je suis actuellement en train d'effectué un pentest sur un site de vente d'un ami , j'ai remarquer que dans sa page de profil on peux en modifiant notre nom , affiché du code html t'elle que des input ou autres , mais impossible de couplé ceci avec du PHP car les balises devienne alors des commentaires , t'elle que par exemple : <!----? .

Pareil pour le JavaScript a par via un onclick , ou on peux faire affiché une alerte ou les cookies via : document.cookie

je voulait savoir si durant mon pentest ceci peux éventuellement m'aidé ? Ou y aurai t'il moyen d'outre passé la modification des balises en commentaires ?

Merci de votre lecture ! et j’espère avoirs était assez précis .
+1 (0) -1 (1) Répondre
03-11-2013, 19h06
Message : #2
gruik Hors ligne
gouteur de savon
*



Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012
RE: Besoin d'information
[Image: 1bik.jpg]
Avant donc que d'écrire, apprenez à penser.
Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
(Nicolas Boileau, L'Art poétique)
+1 (1) -1 (0) Répondre
03-11-2013, 19h09
Message : #3
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,614
Sujets : 72
Points: 466
Inscription : Jan 2012
RE: Besoin d'information
Bonjour,

Tu te retrouves face à une faille Stored XSS (qui peut faire pas mal de dégâts, comme voler les cookies et pouvant permettre d'accéder à l'espace d'administration grâce au cookie de session, ou pire, placer une backdoor comme le fait un certain framework nommé BeeF).

Sinon le fait que le <?php ne soit pas interprété, c'est plûtot bon signe, ça veut dire que y'a pas de LFI ni d'eval() foireux qui traînent dans le code.

Bref pour corriger la faille, le mieux est encore de passer un coup de htmlentities, ou sinon les tutoriels concernant le sujet peuvent être aussi utiles Wink
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (0) -1 (0) Répondre
03-11-2013, 19h14
Message : #4
Reynolds Hors ligne
Newbie
*



Messages : 11
Sujets : 3
Points: -6
Inscription : Nov 2013
RE: Besoin d'information
Ok , merci beaucoup pour c'est informations , J'en fait part a mon ami pour qu'il corrige sa Smile
+1 (0) -1 (0) Répondre
03-11-2013, 20h44
Message : #5
Ant4rt1c Hors ligne
Membre
*



Messages : 27
Sujets : 1
Points: -1
Inscription : Oct 2013
RE: Besoin d'information
C'est d'ailleurs étrange qu'il pense à échapper les balises php et pas html.
+1 (0) -1 (0) Répondre
03-11-2013, 20h48
Message : #6
Reynolds Hors ligne
Newbie
*



Messages : 11
Sujets : 3
Points: -6
Inscription : Nov 2013
RE: Besoin d'information
Oui sais se que je trouve étrange en effet .
+1 (0) -1 (0) Répondre
03-11-2013, 21h16 (Modification du message : 03-11-2013, 21h16 par Kiwazaru.)
Message : #7
ark Hors ligne
Psyckomodo!
*****



Messages : 1,033
Sujets : 48
Points: 317
Inscription : Sep 2011
RE: Besoin d'information
(03-11-2013, 20h48)Reynolds a écrit : Oui sais se que je trouve étrange en effet .

c'est*
ce*

Fais attention à ton orthographe s'il te plait... Ça te sera utile plus tard de savoir écrire correctement.
+1 (4) -1 (0) Répondre
03-11-2013, 22h31
Message : #8
Reynolds Hors ligne
Newbie
*



Messages : 11
Sujets : 3
Points: -6
Inscription : Nov 2013
RE: Besoin d'information
(03-11-2013, 21h16)Ark a écrit :
(03-11-2013, 20h48)Reynolds a écrit : Oui sais se que je trouve étrange en effet .

c'est*
ce*

Fais attention à ton orthographe s'il te plait... Ça te sera utile plus tard de savoir écrire correctement.

Oui je vais faire attention , merci à toi de la remarque . Smile
+1 (2) -1 (0) Répondre
04-11-2013, 00h07
Message : #9
gruik Hors ligne
gouteur de savon
*



Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012
RE: Besoin d'information
(03-11-2013, 21h16)Ark a écrit : Fais attention à ton orthographe s'il te plait... Ça te sera utile plus tard de savoir écrire correctement.

et ça fait même partie intégrante de la panoplie du hacker :

Eric S. Raymond a écrit :« Apprenez à bien écrire dans votre langue maternelle. Même si c'est un stéréotype commun que les programmeurs ne savent pas écrire, un nombre surprenant de hackers (incluant les plus accomplis que je connaisse) sont de très bon rédacteurs. »
Avant donc que d'écrire, apprenez à penser.
Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
(Nicolas Boileau, L'Art poétique)
+1 (2) -1 (1) Répondre
04-11-2013, 09h10
Message : #10
0pc0deFR
Non-enregistré



 
RE: Besoin d'information
Une XSS c'est coté client, tu ne peux donc pas injecter de PHP via ce type de vulnerabilité mais seulement utiliser les langages client (html, js, ...).

A savoir qu'avec du html, tu peux déjà faire beaucoup de mal via les iframes qui peuvent ensuite te permettre d’exécuter du javascript.
positive (1) negative (1) Répondre


Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  besoin d'aide !!! niko25000 7 1,870 10-07-2017, 00h57
Dernier message: DeaDHackS

Atteindre :


Utilisateur(s) parcourant ce sujet : 7 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut