Dans cet article, nous allons voir comment un Hacker un peu malin pourrait defacer un forum entier en quelques clicks, tout d'abord, trouvons la failles, elle se présente sur l'url de la page sous cette forme:

http://www.sitevictime.com/index/ocument

Vous voyez il n'y a pas un truc qui vous géne là, et bien regardez bien, a la fin de cette adresse, il y a "ocument", c'est très interressant, maintenent, voyons encore plus loin se que cette fameuse page nous résèrve, remplacerocument par EditDocument l'url donnera alors:

http://www.sitevictime.com/index/EditDocument

alors la deux solutions s'offre a vous, soit vous avez acces a la page comme si c'été la votre, ou alors, il vous demande un login et un pass, pour le login et le pass, vous pouvez utiliser un cracker comme brutus ou autre, mais c'est très déconseillé, car si l'admin voit quelqu'un qui teste plus de milles combinaison de code a la minute, sa va faire louche.

donc pour le rester ayez un peu d'imagination, un login et un pass, c'est pas la mort.

Pour trouver cette faille, allez sur Google, et tapez comme recherche "forumocument" et voila le tour est joué.

Fo0g4 -:- Team SH member

Remarques de Shad0w :
Cette faille est peu courante car en général le script d'EditDocument est protégé par un password de type .htaccess Auth. Si vous cherchez le serveur qui génère ces url, il s'agit des serveurs "Lotus Domino" qui présentent d'ailleurs des vulnérabilités de type buffer overflow sur les versions antèrieures à la 6.0