1

G8N5
et la le mec il le pécho par le bras et il lui dit '

2

Déjà que yAro, n'a pour ainsi dire plus de temps à consacrer au dév sur yN, si en plus le bug report se limite à un simple shotscreen sans préciser quoi que ce soit de plus, c'est mal barré...
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

3

un preview sur un post contenant un </textarea> ferme celui du post en cour et met le reste du code du post dans le flux html de yaronet
et la le mec il le pécho par le bras et il lui dit '

4

5

Wow, ça sent l'injection ça, non ?

6

D'après Zeph, ça ne marche qu'en POST, donc la seule personne affectée c'est celle qui poste.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

7

en tout cas chrome ne permet de lancer aucun javascript trouvé dans la rêquete post au contraire de firefox qui lui laisse tout passer
et la le mec il le pécho par le bras et il lui dit '

8

Sa ne marche que pour le "preview", et je confirme ce que dit Zeph, donc l'utilitée est... douteuse, par contre je n'ai pas reussi a executer un script. (avec chromium)
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

9

C'est pour la raison indiquée par robinHood : Chrome(ium) refuse d'exécuter du code JS s'il provient des données envoyées en GET ou en POST, par sécurité.
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

10

Pourtant l'editeur en ligne de w3scholl fonctionne, donc ce n'est pas si simple..

cf:
http://www.w3schools.com/js/tryit.asp?filename=tryjs_alert
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

11

Il n'y a ni GET ni POST sur cette page, juste un eval() du textarea situé à côté, donc ça marche très bien.
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

12

comment il peut savoir qu'une string émise depuis le serveur a été envoyée par un formulaire? Il corrèle requête et réponse?

13

yep
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

14

15

Zeph (./11) :
Il n'y a ni GET ni POST sur cette page, juste un eval() du textarea situé à côté, donc ça marche très bien.

C'est un eval qui est utilisé? Ok j'aurais du regarder la source grin

Mais en meme temps, c'est autant pernicieux que du GET/POST embarrassed
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

16

Sauf quand tu utilises eval(), c'est justement parce que tu veux évaluer du JS dynamiquement, donc a priori qui provient d'une saisie utilisateur ou du résultat d'une autre requête. Du coup si tu te prends une grosse injection, tu l'as un peu mérité grin
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

17

Tout de suite embarrassed
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

18

Corrigé.
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

19

20

Han embarrassed La seule feature de yN tu la vire embarrassed wink
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.