Exploit (Faille de securiter) dans forum-webmaster.com

Salut!

Jai installer le feed RSS pour eviter d'ouvrir le site web a chaque fois que je veut lire les nouveaux messages et jai remarquer que le texte dans le RSS n'etais pas formater en html. Il semble etre envoyer de la base de donner directement.

Ex :
<img src="http://www.forum-webmaster/delete.php?id=1045">

Dans la page web du forum on voit bien le code html probablement avec un htmlentities(). Mais dans le feed RSS le code html est traiter comme du html (on voit un carrer vide, image introuvable).

Il serait alors facile d'injecter du html comme dans l'exemple et attendre d'un membre du site ou un administrateur (connecter au site) voit le message RSS pour executer la commande.

On peut en theorie avec une bonne connaissance des URL de votre site d'effacer des utilisateurs, des messages, ....

Un htmlentities() reglerais le probleme (ou la fonction que vous utiliser actuellement pour formater la description dans les pages web) Les RSS serait plus facile a lire et plus securitaire :

Code:

echo "<description>".htmlentities($description)."</description>";

Mais pour vraiment regler le probleme de facon definitive (au cas ou il resterais d'autre trou semblable a celui ci) installer une confirmation pour chaque action effectuer par un membre et un administrateur. De cette facon on rends la faille de securiter impossible a utiliser autant du point de vue d'un membre que pour les administrateurs. Une double securiter c'est jamais de trop.

Hello,

Merci pour ces infos, mais pour être franc je n'ai pas compris ce qui pouvait réellement constituer une faille de sécurité dans notre Flux RSS ? De nombreux flux affichent le HTML comme nous le faisons sans que cela pose pb. La seule faille qu'il peut y avoir c'est si une personne peut modifier notre flux RSS, là c'est sur, mais je ne vois pas comment il ferait cela ?

Je t'invite si tu le veux bien à me contacter par message privé, je pense que c'est mieux de continuer la discussion ainsi ;-)