Différences

Cette page vous donne les différences entre la révision choisie et la version actuelle de la page.

--- zenk_roulettes:zenk_roulette_2 [2012/06/28 11:56]
nico34 créée
+++ zenk_roulettes:zenk_roulette_2 [2017/04/09 15:33] (Version actuelle)
@@ Ligne 19: / Ligne 19: @@
 De nombreux défauts de sécurité ont été identifiés. Certains sont exploitables en tant que simple visiteur du site et d'autres ne sont accessibles qu'à une personne ayant les droits limités d'un rédacteur.
-  * Liste à puceFuite du numéro de version (trance) :
+  * Fuite du numéro de version (trance) :
 <file>http://localhost/pluxml/version</file>
-  * Liste à pucePossibilité de lister le contenu de la plupart des dossiers. Pas de .htaccess (Asus).
+  * Possibilité de lister le contenu de la plupart des dossiers. Pas de .htaccess (Asus).
-  * Liste à puceXSS Non persistante à l'invite d'administration (sh4ka) :
+  * XSS Non persistante à l'invite d'administration (sh4ka) :
 <file>http://localhost/pluxml/core/admin/auth.php?p=1337%22%3E%3Cscript%3Ealert%28%22XSS%22%29;%3C/script%3E</file>
-  * Liste à pucePour poster un commentaire un captcha est affiché en toutes lettres, on demande simplement l'offset d'une lettre, qui est écrit en français. Facilement contournable automatiquement en testant les différentes possibilités ("première" => 1, "deuxième" => 2, etc) (trance).
+  * Pour poster un commentaire un captcha est affiché en toutes lettres, on demande simplement l'offset d'une lettre, qui est écrit en français. Facilement contournable automatiquement en testant les différentes possibilités ("première" => 1, "deuxième" => 2, etc) (trance).
-  * Liste à puceFull Path :
+  * Full Path :
 <file>http://localhost/pluxml/core/lib/class.plx.admin.php
 http://localhost/pluxml/core/lib/class.plx.feed.php
@@ Ligne 35: / Ligne 35: @@
 (tryks & BaRBcH).
-  * Liste à puceExécution de code PHP dans les pages statiques en tant qu' "Administrateur" uniquement (trance).
+  * Exécution de code PHP dans les pages statiques en tant qu' "Administrateur" uniquement (trance).
-  * Liste à puceUn rédacteur peut rendre le fichier users.xml lisible de tous. Il peut en effet le déplacer par le biais de l'interface de gestion des médias ( http://localhost/pluxml/core/admin/medias.php  ) afin de le mettre dans n'importe quel dossier, bypassant ainsi le .htaccess du dossier data/configuration. John (ou Sorcier_FXK) n'a plus qu'à finir le travail pour obtenir le mot de passe en clair. (Asus)
+  * Un rédacteur peut rendre le fichier users.xml lisible de tous. Il peut en effet le déplacer par le biais de l'interface de gestion des médias ( http://localhost/pluxml/core/admin/medias.php  ) afin de le mettre dans n'importe quel dossier, bypassant ainsi le .htaccess du dossier data/configuration. John (ou Sorcier_FXK) n'a plus qu'à finir le travail pour obtenir le mot de passe en clair. (Asus)
-  * Liste à puceUn rédacteur peut supprimer récursivement tout le contenu du dossier data et ainsi rendre le site inactif et effacer toutes ses données :
+  * Un rédacteur peut supprimer récursivement tout le contenu du dossier data et ainsi rendre le site inactif et effacer toutes ses données :
 <file>http://localhost/pluxml/core/admin/medias.php?hash=tGJN5ZTw6i&deldir=..&dir=</file> (Asus).

Zenk - Security

Outils d'utilisateurs

Outils du Site

Différences

Outils de la Page