Vous arrivez à aller sur le forum de ogame ? sa fait depuis ce matin que jessaye et rien meme maintenant
PS : Dsl double post mais sa a rien a voir avec le premier post
PS : Dsl double post mais sa a rien a voir avec le premier post
Vous n'êtes pas connecté. Connectez-vous ou enregistrez-vous
3l Pr3d4ToR a écrit:
de l'executable on ne peut pas revenir aux sources en C#
je precise que c un programe executable dond il est pas mofiable
http://ogame290.de/game/galaxy.php?session=6771174344db -> /ogame/igv1/formate.css
http://ogame290.de/game/galaxy.php?session=6771174344db -> /ogame/igv1/formate.css
http://ogame290.de/game/flotten1.php?session=6771174344db&mode=Flotte -> /ogame/igv1/formate.css
http://ogame290.de/game/flotten1.php?session=6771174344db&mode=Flotte -> /ogame/igv1/images/deuterium.gif
http://ogame290.de/game/flotten1.php?session=6771174344db&mode=Flotte -> /ogame/igv1/formate.css
http://ogame290.de/game/flotten1.php?session=6771174344db&mode=Flotte -> /ogame/igv1/images/deuterium.gif
http://ogame290.de/game/flotten1.php?session=6771174344db&cp=180443&mode=Flotte&gid=&messageziel=&re=0 -> /ogame/igv1/formate.css
http://ogame290.de/game/flotten1.php?session=6771174344db&cp=180443&mode=Flotte&gid=&messageziel=&re=0 -> /ogame/igv1/images/deuterium.gif
http://ogame290.de/game/flotten2.php?session=6771174344db -> /ogame/igv1/formate.css
http://ogame290.de/game/flotten2.php?session=6771174344db -> /ogame/igv1/images/deuterium.gif
http://ogame290.de/game/flotten3.php?session=6771174344db -> /ogame/igv1/formate.css
http://ogame290.de/game/flotten3.php?session=6771174344db -> /ogame/igv1/images/deuterium.gif
http://ogame290.de/game/flottenversand.php?session=6771174344db -> /ogame/igv1/formate.css
http://ogame290.de/game/flottenversand.php?session=6771174344db -> /ogame/igv1/images/deuterium.gif
skexces a écrit:@Zarowi :
oh si, ils en ont rien à faire !
Car vois tu, pour combler ce genre de faille via le .htaccess, il faut purement et simplement bannir tous les liens externes : pub (ouille), image, skin, lien forum, etc...et aussi ne pas mettre de parametre dans les URL (comme la session).
Vois tu, GF, creer un propre forum interne à chaque alliance avec interdiction de mettre des images/liens externes ?
Zarowi a écrit:les comptes opérateur tu veux dire ?
car les comptes joueurs ils ont pas mérité ça !
S'ils piratent lescomptes op ils peuvent mettre la pagaille dans les unis (si ces comptes marchent comme les autres)
Dernière édition par le Lun 8 Mai - 0:55, édité 1 fois
Oui je suis d'accord sur la 1ere partie de la phrase, mais je les vois mal faire ces choses simples, car ils trouvent bien du temps pour mettre des serveurs d'univers et même changer le code PHP d'insertion des pubs, mais ils ne trouvent pas de temps pour corriger les bugs/failles majeures qui existent depuis des lustres. Il y a des bugs qui (comme les combats) qui existent depuis plus d'1 an ! J'ai dis foutage de gueule ?Indecis a écrit:il n'existe pas de solutions miracles, mais des choses simples pourraient etre faites.
Dernière édition par le Mar 9 Mai - 15:02, édité 7 fois
1- Mettre un compteur de login. Si au bout de 3 mots de passe faux, alors bloqué le compte (contre le brute-force)
=>1 table à créer dans la base de données avec 2 champs (timestamp+Id joueur) + fonction de verification = max 20min
8- Mettre un compteur de click, consultable via l'ecran modo. Un joueur qui fait trop de click, c'est soit de l'abus (surcharge du serveur, spam de flottes/sonde, etc), soit un bot (auto-refresh). Dans les 2 cas, le compte devrait etre bloqué puis laissé à l'appreciation du modo.
9- Uploader les images d'alliance (logo ou image dans le texte), et non pas permettre une URL externe (faille .htaccess+XSS). 3 images par alliance uploadé devrait suffire.
=> 10 min max
5- Ne plus mettre la session dans l'URL à cause du check-IP. Sinon on peut voler le compte. Soit mettre la session dans le cookie, soit par une methode POST. (contre le vol de compte et l'espionnage de votre compte)
=> 30 min max
12- Lorsque l'email dynamique est changé, alors envoyer sur l'email permanent une demande de confirmation en cliquant sur un URL spécifique. Si cet URL n'est pas lancé au bout de 7 jours, alors remettre l'email à l'initial et ne pas valider ce changement. (contre le vol de mot de passe)
=> 15 min max
13- Que le menu option ne soit pas accessible en HTTP, mais en HTTPS ! S'ils veulent garder le HTTP, qu'ils le fassent en Applet Java securisée. (sécurité globale)
=> 10 min max (30 min s'ils n'ont pas installer certains modules apache)
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum
|
|