Vulnérablité phpbb
 

Une vulnérabilité CSS est présente dans PhpBB derniere version ( jusqu'a la 2.03 ). cette vulnerabilité permet, entre autre, de recuperer les passes admin ou user.

La faille provient du fichier viewtopic.php. Dans ce fichier, la function highlight n'est pas filtrée.

A placer au debut de viewtopic.php pr vous protéger :

$HTTP_GET_VARS['highlight'] = htmlspecialchars($HTTP_GET_VARS['highlight']);
$HTTP_GET_VARS['highlight'] = PREG_Replace("/[A-Z&.;)~!@#$%^''*\{\}\/]/i", "",$HTTP_GET_VARS['highlight']);

dis le plus fort que tout le monde l'entende ! :)

Bon ben j'enlève le code permettant de voir la faille et je laisse la soluce alors ;)

Méchant va ! Je t'ai vu prendre des notes en plus :D

J'édite et laisse que la soluce

Non laisses tout c'est intéressant ;)

Bah oui, remets l'exploit qu'on voit de quoi ça parle, parce qu'une vulnérabilité CSS c'est très, très peu probable ... ou alors c'est vraiment un bug con :D

Si tu parles tu Highlighting bug, c'est pas vraiment du CSS, la soluce dispo officiellement a l'air bien plus complexe que celle que tu préconises :
http://www.phpbb.com/phpBB/viewtopic.php?t=56283

Je lis d'ailleurs que le fix que préconise celui qui a diffusé l'exploit ne marche pas, perso j'ai utilisé le fix officiel ...

C'est un conseil de modif de code simple et qui à fait c'est preuve :p

Pourquoi faire compliqué quand on peut faire simple ?

Parce que ca provient de sources officielles, et que c'est pas fait à la va-vite ... tu devrais suivre les conseils du team de dévelopement, crois moi. Ils ont peut-être pallié à d'autres éventualités de hack par ce biais

OK... ceux qui ont phpbb feront ce qu'il leur convient ;)

J'ai mon phpBB, et j'ai fait ce qu'il convient : appliquer les patches officiels :D

Parfait ! Comme c'est eux les concepteurs de la première faille, tu n'as qu'à espérer qu'il n'en ont pas mis une autre :D

Qu'est-ce que tu veux dire ? Que la faille était intentionelle de la part des développeurs ?!?? Pas dans de l'Open Source Enzo ...

Non, il veut pas dire ça phpbb est gratuit pas comme Windows qui est volontairement buggé pour que l'on achète toujours la dernière version, celle dite la plus stable ;) :)!!!

Pour les forum, il existe des alternatives à phpBB: en gratuit il y a Invision et si vous avez les moyen: Vbulletin, comme dans NDFR² mais celui là n'est pas gratuit :confused: !!! A noté, que le site Français de VBuletin est pour le moment down

nan, le site a changé d'adresse en fait et n'est qu'un leure : il n'avait rien d'officiel ;)