Sujet:
Jetez un œil ici...
Et passez la souris sur "title="Suivez laghal sur Twitter">
Si vous ne bloquez pas les pop-ups, vous conviendrez que j'ai réussi à exécuter du script (rien de très méchant, juste la commande "alert()").
Mais dois-je rappeler les dangers des XSS ?
Vols des données de connexion, failles day0 sur les navigateurs, phishing ultra-simplifié et crédible...
Il vous serait très bénéfique de dégager les failles présentes sur les liens que l'on peut inclure sur notre profil.
En plus c'est du XSS permanent, c'est à dire que couplé avec des CSRF, votre forum aurait vite fait de se prendre un vilain ver...
Bref, je ne doute pas que l'équipe d'IndieMag réglera ça efficacement.
Il est un peu tard pour que je fouine plus, en cas de nouvelles failles je reposterai des trucs ici.
Bonne soirée <3
C'est corrigé, énorme merci pour nous avoir signalé ça ! Si tu en trouves d'autres, n'hésite pas à nous les communiquer par mail : seldell at indiemag.fr !
Ca évitera à d'autres de les voir et de tenter de les exploiter entre temps.
Encore un énorme merci !
Trop de stress pour un si petit renard.
Ah merci, moi qui voulait hack le site ça va m'être bien utile :D.
Seldell un peu rapide par contre.
Vu ce que j'ai signalé hier à Seldell en privé, je pense que tu n'aurais même pas eu besoin de ça.
Le webmaster le plus efficace pour la correction de faille que je n'ai jamais vu. <3
Bonjour