Suite au topic sur ogame :
http://board.ogame.fr/thread.php?threadid=318663&threadview=0&hilight=&hilightuser=0&page=1
et
http://board.ogame.fr/thread.php?threadid=210247&hilight=skexces
Voici ce que j'avais dit voici 6 mois :
Je reviens 6 mois apres, et qu'est ce que je vois ? Les superbes failles sont toujours la !
vous vous doutez bien que si on peut inserer des videos ou sons à la place des images, on peut aussi inserer d'autres trucs, comme des script (Cross Scripting).
Cette faille a été dite le 30.03.2006, et le staff FR n'a pas sursauté !
C'est vrai que c'etait une animation entierement en javascript+son, et des joueurs de l'univers 6, l'avaient vu à l'époque. GF savait parfaitement qu'il était possible de mettre des scripts dans la page d'alliance, mon animation d'alliance en était la preuve flagrante.
Vous croyez toujours que des comptes top50 sans hotmail, sont volés par magie ? Il faut etre un temps soit peu lucide, lorsque vous avez un compte top10+email wanadoo+personne ne semble s'etre connecté sur votre compte d'apres le modo, ca devient hautement improbable que ca soit la faute des utilisateurs, mais plutot une faille dans le jeu permettant de recuperer le mot de passe et de changer l'email.
Maintenant, que vous savez qu'il est possible d'inserer du son/video grace aux balises bbcode, je pense que vous devinerez tout seul comment inserer du javascript avec un joli submit.form() pour changer l'email dynamique d'un joueur quelque soit son email (donc de vous faire renvoyer son mot de passe)
Il n'y a pas que la balise bbcode IMG qui est joliement buggé.
GF incompétent ? GF refusant d'admettre que son jeu est troué ? GF refusant les backup du des hack-non Hotmail ? GF disant que c'est toujours la faute des utilisateurs ?
Sans blague...
Et le plus beau foutage de gueule que je n'ai jamais vu :
GF s'est foutu joliement de votre poire en disant avoir corriger des failles, alors qu'elles sont toujours là. Je considère que GF n'a rien corrigé du tout, et n'a fait que cette annonce que pour "calmer les esprits", en disant "vous voyez, on a fait quelque chose".
Je persiste et signe, si vous avez le malheur d'aller sur une page d'alliance piégé par XSS (insertion de script malsain), quelque soit votre email et check IP coché ou non coché, vous pouvez vous faire voler/detruire votre compte.
Je persiste et signe que GF s'est joliement foutu de votre gueule depuis 6 mois concernant un bon paquet de compte top50 hacké, qui le sont, exclussivement par leur faute et leur incompétence en programmation/sécurité.
Ah oui, derniere chose, l'insertion en XSS/Javscript sur une image d'alliance marche très bien pour changer l'email d'un modo et recuperer son mot de passe.
http://board.ogame.fr/thread.php?threadid=318663&threadview=0&hilight=&hilightuser=0&page=1
et
http://board.ogame.fr/thread.php?threadid=210247&hilight=skexces
Posté le 30.03.2006 :
De tjfast : Bonjour j'aimerais savoir si il est possible de mettre des sons sur la page d'accueil de notre alliance si oui comment?
De GrenXIII : Ce n'est malheureusement pas possible.
De Feoban : c'est possible mais extremement complex, Skexces (ex-modo uni6) l'avai fait sur la page de son ally... Apres comment il avai fait, ca j'en sais rien...
Voici ce que j'avais dit voici 6 mois :
2/ On peut se faire voler son compte dans ogame même. C'est à dire que ogame est HYPER sensible au cross- scripting (XSS). Il suffi d'un texte d'alliance piégé, d'un logo d'alliance piégé, d'une url de forum d'alliance piégée ou d'un skin trafiqué pour vous piquer votre Identifiant de session, connaitre votre pc, votre browser, votre ip, etc...la liste est longue. Ensuite, il n'y a plus qu'à se connecter sur le pigeon qui a oublié de mettre check IP et mettre son email pour recuperer le password. Je tiens à signaler que ceci est véridique car je l'ai testé avec le consentement de certains joueurs uni6 FR aussi bien sur le forum GameForge que sur Ogame. Et à vrai dire, ils ont été vert... J'ai dis qu'ogame était une passoire, moi ? nann....
Je reviens 6 mois apres, et qu'est ce que je vois ? Les superbes failles sont toujours la !
vous vous doutez bien que si on peut inserer des videos ou sons à la place des images, on peut aussi inserer d'autres trucs, comme des script (Cross Scripting).
Cette faille a été dite le 30.03.2006, et le staff FR n'a pas sursauté !
C'est vrai que c'etait une animation entierement en javascript+son, et des joueurs de l'univers 6, l'avaient vu à l'époque. GF savait parfaitement qu'il était possible de mettre des scripts dans la page d'alliance, mon animation d'alliance en était la preuve flagrante.
Vous croyez toujours que des comptes top50 sans hotmail, sont volés par magie ? Il faut etre un temps soit peu lucide, lorsque vous avez un compte top10+email wanadoo+personne ne semble s'etre connecté sur votre compte d'apres le modo, ca devient hautement improbable que ca soit la faute des utilisateurs, mais plutot une faille dans le jeu permettant de recuperer le mot de passe et de changer l'email.
http://www.porjes.com/idocs/images/_IMG.html
<IMG SRC="../graphics/pumpkin.gif" ALT="picture of a pumpkin" HEIGHT=100 WIDTH=100 onLoad="alert('loaded')">
Maintenant, que vous savez qu'il est possible d'inserer du son/video grace aux balises bbcode, je pense que vous devinerez tout seul comment inserer du javascript avec un joli submit.form() pour changer l'email dynamique d'un joueur quelque soit son email (donc de vous faire renvoyer son mot de passe)
Il n'y a pas que la balise bbcode IMG qui est joliement buggé.
GF incompétent ? GF refusant d'admettre que son jeu est troué ? GF refusant les backup du des hack-non Hotmail ? GF disant que c'est toujours la faute des utilisateurs ?
Sans blague...
Et le plus beau foutage de gueule que je n'ai jamais vu :
v0.74a
- Les sondes ne peuvent plus transporter de ressources
- Lors du stationnement chez un allié (pour les univers où ceci est activé), le système vérifie si la cible du stationnement est soumise à la protection des joueurs faibles
- Correction de bugs mineurs dans le menu Options
v0.73e
- Les pages d'alliances sont chargées sans utilisation de l'id de session
- Correction d'un bug de répétition de texte d'alliance
- Il est de nouveau possible d'effacer des planètes avec le navigateur Opera
- Les logos d'alliances doivent dorénavant être dans un des formats suivants : Bitmap (extension .bmp), PNG (.png), Tiff (.tif ou .tiff), JPEG (.jpg ou .jpeg) et GIF (.gif)
- Les mêmes règles s'appliquent aux images utilisées dans le texte d'alliance
GF s'est foutu joliement de votre poire en disant avoir corriger des failles, alors qu'elles sont toujours là. Je considère que GF n'a rien corrigé du tout, et n'a fait que cette annonce que pour "calmer les esprits", en disant "vous voyez, on a fait quelque chose".
Je persiste et signe, si vous avez le malheur d'aller sur une page d'alliance piégé par XSS (insertion de script malsain), quelque soit votre email et check IP coché ou non coché, vous pouvez vous faire voler/detruire votre compte.
Je persiste et signe que GF s'est joliement foutu de votre gueule depuis 6 mois concernant un bon paquet de compte top50 hacké, qui le sont, exclussivement par leur faute et leur incompétence en programmation/sécurité.
Ah oui, derniere chose, l'insertion en XSS/Javscript sur une image d'alliance marche très bien pour changer l'email d'un modo et recuperer son mot de passe.