CBook ***** Produit : ********* CBook Versions : ********** V.1.0.1 Beta (et autres ?) Date : ****** 12/04/02 Problemes : *********** - Accès à une option admin - XSS Developpement : *************** Il y a dans ce script 3 options admin : Change=0, supprimer un message Change=1, editer un message Change=2, supprimer tout les messages Ces options se trouvent dans index.php (donc index.php?Change=0, etc...). Le fichier verifiant si on est bien admin se nomme accesscontrol.php. On peut ainsi voir, dans index.php, pour Change=0 : ----------------------------- endif; elseif ($Change == "0"): include("accesscontrol.php"); // Sécurité ! if(!isset($name)): ?> ----------------------------- pour Change=1 : ----------------------------- elseif($Change == "1"): include("accesscontrol.php"); // Sécurité ! if(!isset($name)): ?> ----------------------------- et enfin pour Change=2 : ----------------------------- elseif($Change == "2" ): ?> // Securité ??
Age:
Location:
Comments:
----------------------------------------------------------- Remarquons que si on met, pour E-Mail ou Website un "> de plus, le script sera executé 2 fois pour chaque, car ça donnera une source du style : "> "> Patch : ******* / Greetz : ******** / Credits : ********* frog-m@n leseulfrog@hotmail.com