Aller au contenu

Monde

Contributeur
 Afficher le profil  Afficher son activité

  • Compteur de contenus

    639

  • Inscription

  • Dernière visite

  • Jours gagnés

    11

 Type de contenu 

Messages posté(e)s par Monde

    Fixe - Faille BobbaLiveCMS

    dans Addons

    Posté(e)

    à l’instant, Monde a dit :

    Au pire, je l'ai corrigé aussi ^^ x) merci à toi tout de même :p j'ai tester ceux que j'ai corrigé et cela fonctionne

     

    $id = Secu($_GET['id']);
        $sqle = $bdd->prepare('SELECT * FROM `bl_news` WHERE id = ?');
        $n = $sqle->fetch(PDO::FETCH_ASSOC);

     

     

    Pour ceux qui veulent essayer la faille mettez %27 à la fin du lien, ça arrive sur une erreur SQL... le mot de passe de la bdd est crypter, mais cela peut se décrypter par des pirates plus expérimenté.

    Fixe - Faille BobbaLiveCMS

    dans Addons

    Posté(e)

    il y a 20 minutes, Brandon a dit :

    Je pense avoir corrigé le problème ainsi que les requêtes, je ne peu pas testé car je n'ai pas le CMS donc si quelqu'un veut bien confirmé que cela fonctionne :

    https://pastebin.com/4dhVbgix

    Merci :) 

    Au pire, je l'ai corrigé aussi ^^ x) merci à toi tout de même :p j'ai tester ceux que j'ai corrigé et cela fonctionne

     

     

    $id = Secu($_GET['id']);
        $sqle = $bdd->prepare('SELECT * FROM `bt_news` WHERE id = ?');
        $n = $sqle->fetch(PDO::FETCH_ASSOC);

     

     

    Pour ceux qui veulent essayer la faille mettez %27 à la fin du lien, ça arrive sur une erreur SQL... le mot de passe de la bdd est crypter, mais cela peut se décrypter par des pirates plus expérimenté.

    Fixe - Faille BobbaLiveCMS

    dans Addons

    Posté(e)

    Il y a 3 heures, Jrock a dit :

    Salut, @Monde

    En enlevant sa variable $id pour récupérer le GET, tu as rendu son système de commentaires impossible puisqu'il récupérait l'id de l'article avec sa variable.

    Tu aurais du laisser la variable qui récupérer le GET et mettre la variable dans ta requête préparée.

    Après faudrait le précisé que les personnes rajoute ou qu'il modifie la ligne correspondante dans les requêtes préparée des commentaires pour laisser fonctionnel le système de commentaire.

    Je sais, j'ai rectifier ça, je repartargerais.

     

    Il y a 3 heures, Runyard a dit :

    Meeeeeerci :D

    De rien ^^

    Fixe - Faille BobbaLiveCMS

    dans Addons

    Posté(e)

    Bonjour à tous.

     

     

    Ce sujet s'adresse à ceux qui utilise l'ancien CMS de Bobbalive recopier par @Nico j'ai trouvé une failles SQL dans la page news.php, je l'ai donc fixé et je vous repartage la page news.php

     

    Lien de téléchargement: http://www.mediafire.com/file/2x7abdbt8ujz7of/news.rar

     

    Scan: https://www.virustotal.com/pt/file/44a3d3cdaa75366c77c3ba8e37ab259e7ed73b143154a78c3a22601977c74141/analysis/1501794589/

     

     

    Voilà

×
×
  • Créer...