+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Communauté, communication, marketing (https://jeuweb.org/forumdisplay.php?fid=49)
+--- Sujet : Que pensez vous de la découverte de faille ? (/showthread.php?tid=1620)
RE: Que pensez vous de la découverte de faille ? - Fidelcastor - 22-08-2007
Mouais, je trouve la réponse du webmaster un peu lourd... Bien que faut être vicieux pour faire ce genre de chose sans demander AVANT l'accord!
Tu te vois rentrer chez un gas et lui dire, Attention ta pas mis les barreaux aux fenêtres!
Quelle est notre intérêt de publier l'info? l'obliger à changer son code?
Comme nous, le mec est surement un amateur qui est peut-être satisfait de son travail. Moi je pari que le mec ferme son site dans les 6 mois pour cause de piratage... :mauvais: (imagine toi un kid qui cherche sur google; trouve ton post, va tester et pourris son site juste pour craner devant ses copains)
Si tu fais ca pour simplement l'apprentissage avec l'accord du webmaster OK, sinon touche pas!
Un conseil, efface le code de la faille, si le mec la veux, il te poste (comme dis par toi justement!) comme ca tu controle! Merci
RE: Que pensez vous de la découverte de faille ? - MaGIKeR - 22-08-2007
Citation :Tu te vois rentrer chez un gas et lui dire, Attention ta pas mis les barreaux aux fenêtres!
Euh je me voyait pas lui dire, fais gaffe a tes hidden ta peut etre une faille ou je peux regarder si je peux trouver une faille dans tes hidden ? !
Ca l'aurais pas fait, autant être sur de ce que j'avance.
C'est peut etre un amateur mais je lui dit comment réparer ca avec une condition (bien sur le mieu serait de tout refaire mais bon) et lui s'en fou. Je peux divulgé la faille, il s'en fou (il me la assez dit). Mais bon si les modérateur juge qu'il faut enlevé mon message ou post dite le moi et j'edit.
Mes intentions sont qu'il change son code oui.
Si j'aurais voulu qu'un kid(ou qu'un joueur) trouve cette faille, je l'aurais posté sur le forum du jeu. Et si il ferme son site ca sera à cause du manque de joueur qui baisse de semaine en semaine à cause des bans sans raison. (admin sans cervaux comme vous avez pus le voir)
RE: Que pensez vous de la découverte de faille ? - Sephi-Chan - 22-08-2007
Dans ce cas autant saborder le site maintenant, tu lui fera gagner un temps fou.
RE: Que pensez vous de la découverte de faille ? - Fidelcastor - 22-08-2007
Citation :Mes intentions sont qu'il change son code oui.Je vois pas désolée, apparamment tu l'aime pas alors laisse le...
Edit: C'est juste parce qu'ai beaucoup jouer à Magic, j'ai fais un site dessus (bon c'était ya une décennie)
RE: Que pensez vous de la découverte de faille ? - MaGIKeR - 22-08-2007
Sephi-Chan, je vais testé cette extension, cela me decidera peut etre enfin à me mettre à Firefox.
Fidelcastor, à l'époque je n'avais rien fais d'illegal (comme tu l'insinu dans ton premier message). Et sinon je lui ai répété plusieur fois de changer avant qu'il soit trop tard parce que s'il continu de développé son jeu en y ajoutant des modules, au bout d'un moment ses modules interagisseront avec la faille (possibilité de créé des choses interdites = aucun équilibrage possible) et elle sera encore plus difficile a corigé.
RE: Que pensez vous de la découverte de faille ? - naholyr - 22-08-2007
Note que tester le referer n'est pas du tout la solution pour corriger cette faille, puisque le referer n'est absolument pas digne de confiance (ça se manipule excessivement facilement, notamment avec les extensions firefox pré-citées).
C'est simple, il effectue un traitement (requête, calculs) pour calculer les valeurs à mettre dans les champs hidden ? Au lieu de les mettre dans des champs insécurisés, il doit refaire ces calculs à la réception du formulaire... C'est aussi bête et trivial que ça. Ce type d'erreur est vraiment signe d'un manque de connaissance assez flagrant.
RE: Que pensez vous de la découverte de faille ? - MaGIKeR - 22-08-2007
ok naholyr, moi d'apres ce que je comprend, ces requetes/calculs il les fait dans la page du formulaire, il les stocke dans un hidden puis les transmet à la page de réception, puis il calcul le prix en fonction de ce qui a était transmis sans vérifié si ses calculs n'ont pas était changé (ce qui reviendrait à faire les calculs deux fois). Alors que les calculs, ils auraient mieu fait de les faire sur la page de reception.
(Je ne savais pas que l'on pouvais modif le referer avec cette extension ^^ autant pour moi.)
RE: Que pensez vous de la découverte de faille ? - Sylanor - 22-08-2007
Rahlala ... j'essaye de vous suivre depuis ce matin... j'avoue que j'ai dur :pleure2:.
Hidden apparemment c'est un champs que l'on peut modifier mais je n'arrive pas a comprendre comment l'on peut arriver a exploiter la faille en changeant le code source dans un éditeur puis en lui faisant rediriger vers la page du jeu ? Ca n'a plus aucun lien avec le site vu qu'on l'a modifié en "off-line" sur son pc... voyez ce que je veux dire ?
Merci d'aider le petit noob mdr :hahahaha:.....:toilette:
RE: Que pensez vous de la découverte de faille ? - Globe - 22-08-2007
Non le principe est d'envoyer le formulaire en local (en ligne) en le faisant pointer vers le site web.
Genre je crée une page html avec un champs hidden qui à une valeur différente et je fais pointer depuis local vers le site.
RE: Que pensez vous de la découverte de faille ? - Nel Morane - 22-08-2007
En effet,
Avec Web Developer, le crackage de son site est d'une simplicité déconcertante, même pas besoin de dl l'html, les hiddens sont forcé à l'affichage.
Je me suis créé une armée de 800 juggernault pour 2 sous.
N'empêche y'a du taff derrière, mais le mec est un amateur ça se voit. Donc, à mon avis, il fait même pas de save de sa base.
Traduction, ce post est une bombe pour lui, et ce pov' type ne veut même pas passer 5s. à le comprendre.
Bref, je pense qu'il faudrait qd même mieux retirer son url au moins.