Merci pour tout merci pour eux c'est extra !! çà fonctionne nikel , par la suite , enfin supposons qu'un membre , desire changer son pass via son profil , l'encodage se fera toujours en sha1 ???
Jme repond en disant que oui

^^ ok ok j'essai ca de suite !! ceci dit , les users qui ont deja changé de mot de pass , generé sha1 ils pourront toujours se loguer ?

Le u_password est à 32 caractères

dans le champ u_algorithm j'ai sha1 !! dois-je le remettre en md5 ??? le souci est que j'ai invité les users a changer leur pass !!! si je modifie cela pourront-ils se connecter a nouveau ???
Le fait est que tous les users non pas changé leurs pass !! vla l'impasse .....

Oui tout a fait !! j'ai bien coché cette option !!
j'ai invité les membres du forum a recuperer leurs pass en utilisant "j'ai perdu mon pass ^^ ) en attendant !!

Je salu la communauté !! ! Je suis confronté a un nouveau probleme !!
Pour la mise a jour de mes Forums , j'ai suivi les Explications de Genova , et j'ai executé le fichier rc4_to_rc5.zip prealablement placé a la racine de mon forum !!!
J'ai par la suite effacé tous les repertoires du ftp excepté "Config images et upload" puis reuppé la derniere version fsb soit la RC5 (sans les 3 rep)

après un passage douloureux a php5 , le forum marche , Mais impossible pour moi et mes users de se connecter ! avec un message " Login et/ou mot de passe inconnu."

Je me rappelle que sur la maj de la RC4b il fallait rapporté une modification sur le md5 au fichier fcts_common.php ... suis-je confronté au même probleme ???

SAlut tous !! Bien moi j'ai une erruer de ce type je pense que mon hebergeur a du mal !!!

Suuuuuuuper coooool

tu as une solution autre que htmlspecialchars ^^ ?

Salut a tous !! il y a une faille xss (je sais elle est d'actualité) j'ai pour palier ce probleme , pour l'instant modifié qu'un fichier !!

Dans ... /main/class/class_minichat.php

j'ai remplacé a la ligne 99

par


Je pense que htmmlentities marche aussi a voir avec l'utf8 . J'ai essayé d'adapter la correction de genova pour user_avatar.php avec la variable $message mais en vain
Si quelqu'un a une solution plus sur que la commande htmlspecialchars ??? je suis preneur !!
Merci de m'aider a palier cette maudite faille

pas au niveau de l'image !!!!

c'est pas dans le pti fichier txt , ca c'etait un exemple !! prends un petite image a uploader ca fait la meme .
Le script alert c'est un exemple aussi , tu peux très bien executer un .js
tout est dans la modif de ce qui est doné dans post !!


edit: -----------------------------46101325623526\r\n
Content-Disposition: form-data; name="upload_avatar"; filename="HST1.png"\r\n
Content-Type: image/png\r\n
\r\n
\x89PNG\r\n
\x1a\n


comment tu peux modifier ca en y plaçant par exemple un javascript alert !!

genova le plus simple est de se parler sur un chan ou msn parce que là ....

sinon voila le mode operatoire . se mettre dans Mon profil !
ouvrir "Entetes http en direct" (dans l'onglet outils de firefox
Cliquer sur parcourir et choisir un pti fichier , clicker sur "soumettre" .
REtourner sur http live header et aller en haut jusqu'a l'url .....

clicker sur http://www.fire-soft-board.com...p;module=avatar
puis clicker sur rejouer !

là des infos sur l'entete apparait ! Dans post en bas s'arranger pour placer un script su genre javascript:alert('Faille XSS') pour que celui ci s'ouvre a chaque fois qu'un page affiche l'avatar .
Je retrouve la syntaxe exact et je la donne .

j'adore et je dirais rien !!! juste merci

La personne me la fait faire en direct , juste en me faisant afficher un pti txt a chaque fois qu'une page ou un de mes posts apparait

c'est le seul element de reponse que m'a doner le soit disant hacker bien intentionné ...
quand tu clicks sur rejouer sur ton url ....modules=avatar , change juste les valeurs dans posts , c'est la la faille !