Anonyme 19853
| Posté : 11-03-2003 18:03
Faille de sécurité sur vos forums
J'ai fait un petit test pour confirmer ce qu'il me semblait, il est facile de lire les posts du forum protégé :
Il m'a suffit de m'inscrire à la notification de nouveaux msgs de ce forum pour recevoir ce mail :
##################################################
Vous recevez ce Mail car vous vous êtes abonné à : Forum => Equipe ********
Le titre de la dernière publication est => Salut, ******
L'URL pour cet article est : http://****************/viewtopic.php?topic=66&forum=11
Attention votre inscription est une inscription en tant que membre du site Net-Host et non pas en tant que membre du service d'hébergement !
--------------------------------------------
******** - Hébergement PHP/MySQL
************* -:- copyright 2003
--------------------------------------------
##################################################
L'url (http://www.************/viewtopic.php?topic=66&forum=11) ne permet pas d'y acéder sans avoir le mot de passe, normal, le forum est protégé, donc tout va bien.
SAUF QUE, les topics ne sont pas numérotés par forum, mais la numérotation est la même pour tous les forums.
Donc, il suffit juste de modifie l'url en : "http://www.*********/viewtopic.php?topic=66&forum=10" pour voir s'ouvrir la page, sans avoir les droits d'accès à ce topic.
Les ********** ont été volontairement placé par mes soins pour ne pas donner d'informations sur le site. |
|
|