lists.openwall.net   lists  /  announce  owl-users  owl-dev  john-users  john-dev  passwdqc-users  yescrypt  popa3d-users  /  oss-security  kernel-hardening  musl  sabotage  tlsify  passwords  /  crypt-dev  xvendor  /  Bugtraq  Full-Disclosure  linux-kernel  linux-netdev  linux-ext4  linux-hardening  linux-cve-announce  PHC 
Open Source and information security mailing list archives
 
Hash Suite: Windows password security audit tool. GUI, reports in PDF.
[<prev] [next>] [day] [month] [year] [list] 
Date: 9 Mar 2005 00:00:34 -0000
From: benji@....securityfocus.com,
	[hacktinium]@securityfocus.com@....securityfocus.com <benjilenoob@...mail.com>
To: bugtraq@...urityfocus.com
Subject: failles dans ProjectBB v0.4.5.1




Sorry it's in French but i don't have the time to translate... It has been published on SecurityTracker to (for people who can't read French).

Logiciel:  ProjectBB v0.4.5.1
*********

Auteur: Benjilenoob
*******

E-mail: benjilenoob@...mail.com
*******

    !-------------------!
    ! II. XSS           !
    !-------------------!

   0°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°o

http://benji/Zip/divers.php?action=liste&liste=&desc=&pages=[XSS]

   0°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°o

PARTIE RECHERCHE: si l'on insert '"/>&lt;script&gt;alert()&lt;/script&gt; dans les zones de textes sa s'execute.

    
    !-------------------!
    ! II. Injection SQL !
    !-------------------!

   0°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°o

http://benji/Zip/divers.php?action=liste&liste=[SQL CODE]
http://benji/Zip/divers.php?action=liste&liste=email&desc=[SQL CODE]&pages=1

   0°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°o

PARTIE RECHERCHE: possible injection sql dans les zones de textes.
CREATION DE POSTS: on peut injecter du sql dans le nom du post.
EDITION DE SON PROFIL: on peut injecter du sql dans les zones suivantes: Ville,Homepage, ICQ, AOL,Yahoo!, MSN, EMAIL.


    !-------------------!
    ! III. Bugs         !
    !-------------------!

   0°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°o

-= Ceci necessite un acces admin
   ¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨

  Partie OPTION:
  °°°°°°°°°°°°°°
Si l'on insert &lt;script&gt;alert()&lt;/script&gt; dans les zones de textes:
 - Nom du forum
 - Nom du site

Si l'on insert "/> dans les zones de textes:
 - Taille maximum des avatars personnalisés (Longueur x Hauteur)

  Partie FORUM :
  °°°°°°°°°°°°°°
Possibilité d'executer des XSS dans les zones de txt:
 - Nouvelle catégorie
 - Nouveau forum

  Partie MODERATEUR :
  °°°°°°°°°°°°°°°°°°°
Possibilité d'injecter du SQL dans la zone de txt "Nouveau".

  Partie Rang des membres :
  °°°°°°°°°°°°°°°°°°°°°°°°°
Possibilité d'injecter du SQL dans la zone de du nom du groupe a creer.

Powered by blists - more mailing lists

Powered by Openwall GNU/*/Linux Powered by OpenVZ