projectBB0451.txt

`  
  
Sorry it's in French but i don't have the time to translate... It has been published on SecurityTracker to (for people who can't read French).  
  
Logiciel: ProjectBB v0.4.5.1  
*********  
  
Auteur: Benjilenoob  
*******  
  
E-mail: [email protected]  
*******  
  
!-------------------!  
! II. XSS !  
!-------------------!  
  
0°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°o  
  
http://benji/Zip/divers.php?action=liste&liste=&desc=&pages=[XSS]  
  
0°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°o  
  
PARTIE RECHERCHE: si l'on insert '"/><script>alert()</script> dans les zones de textes sa s'execute.  
  
  
!-------------------!  
! II. Injection SQL !  
!-------------------!  
  
0°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°o  
  
http://benji/Zip/divers.php?action=liste&liste=[SQL CODE]  
http://benji/Zip/divers.php?action=liste&liste=email&desc=[SQL CODE]&pages=1  
  
0°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°o  
  
PARTIE RECHERCHE: possible injection sql dans les zones de textes.  
CREATION DE POSTS: on peut injecter du sql dans le nom du post.  
EDITION DE SON PROFIL: on peut injecter du sql dans les zones suivantes: Ville,Homepage, ICQ, AOL,Yahoo!, MSN, EMAIL.  
  
  
!-------------------!  
! III. Bugs !  
!-------------------!  
  
0°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°o  
  
-= Ceci necessite un acces admin  
¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨  
  
Partie OPTION:  
°°°°°°°°°°°°°°  
Si l'on insert <script>alert()</script> dans les zones de textes:  
- Nom du forum  
- Nom du site  
  
Si l'on insert "/> dans les zones de textes:  
- Taille maximum des avatars personnalisés (Longueur x Hauteur)  
  
Partie FORUM :  
°°°°°°°°°°°°°°  
Possibilité d'executer des XSS dans les zones de txt:  
- Nouvelle catégorie  
- Nouveau forum  
  
Partie MODERATEUR :  
°°°°°°°°°°°°°°°°°°°  
Possibilité d'injecter du SQL dans la zone de txt "Nouveau".  
  
Partie Rang des membres :  
°°°°°°°°°°°°°°°°°°°°°°°°°  
Possibilité d'injecter du SQL dans la zone de du nom du groupe a creer.  
`