Besoin d'information
|
03-11-2013, 18h05
Message : #1
|
|
Reynolds
Newbie Messages : 11 Sujets : 3 Points: -6 Inscription : Nov 2013 |
Besoin d'information
Bonjour a tous ,
Je suis actuellement en train d'effectué un pentest sur un site de vente d'un ami , j'ai remarquer que dans sa page de profil on peux en modifiant notre nom , affiché du code html t'elle que des input ou autres , mais impossible de couplé ceci avec du PHP car les balises devienne alors des commentaires , t'elle que par exemple : <!----? . Pareil pour le JavaScript a par via un onclick , ou on peux faire affiché une alerte ou les cookies via : document.cookie je voulait savoir si durant mon pentest ceci peux éventuellement m'aidé ? Ou y aurai t'il moyen d'outre passé la modification des balises en commentaires ? Merci de votre lecture ! et j’espère avoirs était assez précis . |
|
03-11-2013, 19h06
Message : #2
|
|
gruik
gouteur de savon Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
RE: Besoin d'information
Avant donc que d'écrire, apprenez à penser.
Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure. Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément. (Nicolas Boileau, L'Art poétique) |
|
03-11-2013, 19h09
Message : #3
|
|
supersnail
Éleveur d'ornithorynques Messages : 1,614 Sujets : 72 Points: 466 Inscription : Jan 2012 |
RE: Besoin d'information
Bonjour,
Tu te retrouves face à une faille Stored XSS (qui peut faire pas mal de dégâts, comme voler les cookies et pouvant permettre d'accéder à l'espace d'administration grâce au cookie de session, ou pire, placer une backdoor comme le fait un certain framework nommé BeeF). Sinon le fait que le <?php ne soit pas interprété, c'est plûtot bon signe, ça veut dire que y'a pas de LFI ni d'eval() foireux qui traînent dans le code. Bref pour corriger la faille, le mieux est encore de passer un coup de htmlentities, ou sinon les tutoriels concernant le sujet peuvent être aussi utiles
Mon blog
Code : push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp "VIM est merveilleux" © supersnail |
|
03-11-2013, 19h14
Message : #4
|
|
Reynolds
Newbie Messages : 11 Sujets : 3 Points: -6 Inscription : Nov 2013 |
RE: Besoin d'information
Ok , merci beaucoup pour c'est informations , J'en fait part a mon ami pour qu'il corrige sa
|
|
03-11-2013, 20h44
Message : #5
|
|
Ant4rt1c
Membre Messages : 27 Sujets : 1 Points: -1 Inscription : Oct 2013 |
RE: Besoin d'information
C'est d'ailleurs étrange qu'il pense à échapper les balises php et pas html.
|
|
03-11-2013, 20h48
Message : #6
|
|
Reynolds
Newbie Messages : 11 Sujets : 3 Points: -6 Inscription : Nov 2013 |
RE: Besoin d'information
Oui sais se que je trouve étrange en effet .
|
|
03-11-2013, 21h16
(Modification du message : 03-11-2013, 21h16 par Kiwazaru.)
Message : #7
|
|
ark
Psyckomodo! Messages : 1,033 Sujets : 48 Points: 317 Inscription : Sep 2011 |
RE: Besoin d'information |
|
03-11-2013, 22h31
Message : #8
|
|
Reynolds
Newbie Messages : 11 Sujets : 3 Points: -6 Inscription : Nov 2013 |
RE: Besoin d'information |
|
04-11-2013, 00h07
Message : #9
|
|
gruik
gouteur de savon Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
RE: Besoin d'information
(03-11-2013, 21h16)Ark a écrit : Fais attention à ton orthographe s'il te plait... Ça te sera utile plus tard de savoir écrire correctement. et ça fait même partie intégrante de la panoplie du hacker : Eric S. Raymond a écrit :« Apprenez à bien écrire dans votre langue maternelle. Même si c'est un stéréotype commun que les programmeurs ne savent pas écrire, un nombre surprenant de hackers (incluant les plus accomplis que je connaisse) sont de très bon rédacteurs. »
Avant donc que d'écrire, apprenez à penser.
Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure. Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément. (Nicolas Boileau, L'Art poétique) |
|
04-11-2013, 09h10
Message : #10
|
|
0pc0deFR Non-enregistré |
RE: Besoin d'information
Une XSS c'est coté client, tu ne peux donc pas injecter de PHP via ce type de vulnerabilité mais seulement utiliser les langages client (html, js, ...).
A savoir qu'avec du html, tu peux déjà faire beaucoup de mal via les iframes qui peuvent ensuite te permettre d’exécuter du javascript. |
|
« Sujet précédent | Sujet suivant »
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
besoin d'aide !!! | niko25000 | 7 | 1,870 |
10-07-2017, 00h57 Dernier message: DeaDHackS |
Utilisateur(s) parcourant ce sujet : 12 visiteur(s)