Sur ce blog, j’ai mis un certain nombre d’exemples très sommaires.
Certains sont trop sommaires et présentent de ce fait des failles de sécurité parce que leur but était juste d’illustrer un point précis, sans noyer le code.
Vous êtes invités à les signaler en commentaire du billet correspondant, et à proposer des correctifs. A la clef, pour les étudiants du cours d’IO2 (voire de NTW), un bonus sur leur note de contrôle continu, proportionnel à la contribution apportée.
Pour les autres visiteurs du blog, évitez les spoilers avant la fin du semestre, mais n’hésitez pas à laisser quelques signes pour aider les copains.
Dans le truc de user.php, on peut mettre un id d’utilisateur qui n’existe pas, et ça donne comme résultat :
Bienvenue sur la photobase de
a photos.
d’accord. Minor bug.
)
Propose un correctif (dans les commentaires du billet correspondant, sinon ça sert à rien
Même chose pour jquery.php
En mettant un nombre quelconque dans script on reste sur le script des « boutons suicides ».
Ouais, et alors ?
(l’article en question)
checkbox.php ne gere pas non plus des choix externes,
http://www.liafa.jussieu.fr/~prieur/IO2/checkbox.php?plats=Baptiste%20Fontaine%20iz%20a%20haxxor§§§§§&plats=%27%27%27%27&plats=&&plats=%E9%E0%E8%EE%EF%EB%E4%E2
De plus il ne gère pas les accents (apparemment erreur d’encodage, il est à ce propos impossible d’écrire le symbole « & » ( si on essaye de l’écrire sous la forme hexadécimale (& #038;) ça n’affiche pas les choix qui suivent.))
Bonjour Monsieur !
Est-ce qu’il serait possible que vous mettiez les « réponses » du concours de hack sur le site lorsque le concours sera terminé?
Personnellement, je n’ai aucune idée des sécurités que l’on pourrait ajouter en plus…
PS: il y a une erreur dans vos captchas : à la question « combien font 8+2? », j’ai répondu « 10″, et ce n’était pas la bonne réponse. Pourtant j’en suis presque sûre ^^ !