De la crédibilité des "journaux" informatique sur le web.

Ev3r10st · 14/11/2011, 10h09

Salut

Voilà il y a dix minutes, je me balade sur google news, et tombe la dessus :

http://www.solutions-logiciels.com/a...SQL&actu=10556

Gros titre : Piratage à l'UMP, c'était une simple injection SQL.
Mah qu'ils sont mauvais ces développeurs quoi. "Une simple injection sql"...

Du coup un peu blasé de voir à quel point les rédacteurs d'articles pouvaient être bêtes et méchants, je me suis mis à fouiner un peu sur solutions-logiciels.com.
Afin de constater comment eux, de leur côté, ils faisaient pour se prémunir de simples failles du genre.

3 liens cliqués plus tard, et je tombe sur un article dont le titre de la catégorie est url encodé dans le get.
Je le change pour voir, et il change dans la page.
J'y ajoute une balise script et oh miracle :

http://www.solutions-logiciels.com/a...script%3E&id=7

Une faille XSS

(pouvez y aller, c'est pas dangereux, juste un petit message qui s'affiche en alerte).

Je poste ça sur developpez.com histoire d'indiquer à nos amis les pseudos experts de la sécurité à regarder dans le jardin avant de se payer la tronche de celui des voisins (ainsi qu'à en faire marrer d'autres).
Et là, de suite, en tapant mon post, je cherche l'url initiale. Donc je farfouille de nouveau dans le site.
Je tombe la dessus :
http://www.solutions-logiciels.com/m...&id_dossier=40

Punaise un dossier sur la sécurité! ça me botte je kiffe ça. Pi ça a l'air d'être des bêtes les mecs.
C'est quoi le sommaire? (http://www.solutions-logiciels.com/m....php?numero=25)

"au sommaire du numéro 25 :"

oh dis moi pas que si je change le numéro dans l'url ça le change dans la page aussi...

http://www.solutions-logiciels.com/m...105))</script>

Continuez à vendre des magazines pourris en critiquant le voisin et sa faiblesse face aux simples failles vous êtes géniaux

Paul TOTH · 14/11/2011, 11h56

j'ai connu une société qui proposait l'hébergement d'un espace documentaire sur le web.

la page "profil" affichait le mot de passe en clair, ce qui était choquant...et comme l'URL affichait un ID=XXX numérique, je me suis amusé à changé d'ID, et là oh surprise ! je pouvais afficher les autres profils, et donc les autres mots de passes

Ev3r10st · 14/11/2011, 13h00

Ah ah, pas mal!

C'est une faille "web parameter tampering" : https://www.owasp.org/index.php/Web_Parameter_Tampering

Dans le même genre, j'ai trouvé une faille d'injection SQL sur le site français d'AVG

Quand c'est des vendeurs de sécurité qui sont troués, ça donne vraiment à réfléchir...

De manière générale je conseillerais à tous nos amis développeurs de consulter cette page : https://www.owasp.org/index.php/Category:Attack
Plutôt complète, elle recense les attaques, les décrit, et explique comment s'en protéger.

Les failles que j'ai mentionné dans mon premier post sont des failles XSS (pour le néophyte : CSS était déjà pris par les fameuses feuilles de styles, donc on a fait du "cross", la croix du x): cross site scripting :https://www.owasp.org/index.php/Cros...ting_%28XSS%29

Cette faille peut paraitre anodine mais c'est un vecteur d'attaque très puissant.
Par exemple, Je pourrais créer un site qui paraisse totalement légitime, qui contienne une iframe cachée, qui pointe vers cette faille.
Grâce à la faille, je peux faire faire ce que je veux au navigateur du client, en javascript, comme par exemple tenter d'exploiter une faille d'injection SQL sur un site tiers, via des requêtes ajax (oui il y a des moyens de contourner la SOP) et m'en retourner les résultats.
Ou comment hack un site sans y toucher soi même...

Puisqu'il semble stérile de taper sur des rédacteurs ridicules, peut-être qu'on peut utiliser ce topic pour parler un peu de sécurité web.

Avez-vous déjà rencontré des failles sur un site?
Est-ce qu'un de vos sites a déjà été piraté à votre connaissance?

Stessy · 15/11/2011, 08h58

A noter que cela ne fonctionne pas avec chrome. Il détecte le script js dans l'url et refuse de l'exécuter.

Doksuri · 15/11/2011, 11h08

Citation:

Envoyé par Stessy

A noter que cela ne fonctionne pas avec chrome. Il détecte le script js dans l'url et refuse de l'exécuter.

oui, je trouve ca enervant avec les dernieres versions des navigateurs... oblige d'avoir un "vieux" navigateur pas a jour pour pouvoir faire mumuse

Ev3r10st · 16/11/2011, 10h36

Citation:

Envoyé par Doksuri

oui, je trouve ca enervant avec les dernieres versions des navigateurs... oblige d'avoir un "vieux" navigateur pas a jour pour pouvoir faire mumuse

Mais comme toute protection est faite pour être contournée, voilà pour chrome :

http://www.solutions-logiciels.com/m...=alert(123);//

ZiGoM@r · 16/11/2011, 11h12

Les voilà prévenus, voyons combien de temps ils vont mettre à régir.
(Une faille non-corrigée étant beaucoup plus grave une fois rendue publique.)

Paul TOTH · 16/11/2011, 11h23

Citation:

Envoyé par Ev3r10st

Mais comme toute protection est faite pour être contournée, voilà pour chrome :

http://www.solutions-logiciels.com/m...=alert(123);//

avec cette technique on peux aussi se faire de la pub

Barsy · 16/11/2011, 17h14

De la même manière pour faire du phishing (il suffit ici de remplacer "developpez.net" par une copie du site).

Kajiku · 17/11/2011, 11h06

Bonjour messieurs,

Question bête : avez vous prévenu le site de ces failles ? C'est la moindre des choses pour leur permettre de corriger !

À bientôt.

ZiGoM@r · 17/11/2011, 13h33

Oui.

Kajiku · 17/11/2011, 14h15

Citation:

Envoyé par ZiGoM@r

Oui.

Toutes mes confuses, je n'avais pas vu ton message un peu plus au dessus !

14/11/2011, 10h09	#1
Ev3r10st Membre du Club Inscription : octobre 2010 Messages : 26 Détails du profil Informations forums : Inscription : octobre 2010 Messages : 26 Points : 59 Points : 59	De la crédibilité des "journaux" informatique sur le web. Salut Voilà il y a dix minutes, je me balade sur google news, et tombe la dessus : http://www.solutions-logiciels.com/a...SQL&actu=10556 Gros titre : Piratage à l'UMP, c'était une simple injection SQL. Mah qu'ils sont mauvais ces développeurs quoi. "Une simple injection sql"... Du coup un peu blasé de voir à quel point les rédacteurs d'articles pouvaient être bêtes et méchants, je me suis mis à fouiner un peu sur solutions-logiciels.com. Afin de constater comment eux, de leur côté, ils faisaient pour se prémunir de simples failles du genre. 3 liens cliqués plus tard, et je tombe sur un article dont le titre de la catégorie est url encodé dans le get. Je le change pour voir, et il change dans la page. J'y ajoute une balise script et oh miracle : http://www.solutions-logiciels.com/a...script%3E&id=7 Une faille XSS (pouvez y aller, c'est pas dangereux, juste un petit message qui s'affiche en alerte). Je poste ça sur developpez.com histoire d'indiquer à nos amis les pseudos experts de la sécurité à regarder dans le jardin avant de se payer la tronche de celui des voisins (ainsi qu'à en faire marrer d'autres). Et là, de suite, en tapant mon post, je cherche l'url initiale. Donc je farfouille de nouveau dans le site. Je tombe la dessus : http://www.solutions-logiciels.com/m...&id_dossier=40 Punaise un dossier sur la sécurité! ça me botte je kiffe ça. Pi ça a l'air d'être des bêtes les mecs. C'est quoi le sommaire? (http://www.solutions-logiciels.com/m....php?numero=25) "au sommaire du numéro 25 :" oh dis moi pas que si je change le numéro dans l'url ça le change dans la page aussi... http://www.solutions-logiciels.com/m...105))</script> Continuez à vendre des magazines pourris en critiquant le voisin et sa faiblesse face aux simples failles vous êtes géniaux
	50

14/11/2011, 11h56	#2
Paul TOTH Expert Confirmé Sénior Paul TOTH Freelance Inscription : novembre 2002 Messages : 3 410 Détails du profil Informations personnelles : Nom : Paul TOTH Âge : 42 Localisation : Réunion Informations professionnelles : Activité : Freelance Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : novembre 2002 Messages : 3 410 Points : 6 700 Points : 6 700	j'ai connu une société qui proposait l'hébergement d'un espace documentaire sur le web. la page "profil" affichait le mot de passe en clair, ce qui était choquant...et comme l'URL affichait un ID=XXX numérique, je me suis amusé à changé d'ID, et là oh surprise ! je pouvais afficher les autres profils, et donc les autres mots de passes __________________ Developpez.com: Mes articles Entreprise: Execute SARL Produits : UPnP, RemoteOffice sous Delphi Embarcadero : Ile de la Réunion, Dephi, C++Builder, RADPHP...TVA à 8,5%
	00

15/11/2011, 08h58	#4
Stessy Rédacteur Stessy Delcroix Senior Software Engineer JEE Inscription : avril 2002 Messages : 744 Détails du profil Informations personnelles : Nom : Stessy Delcroix Âge : 37 Localisation : Belgique Informations professionnelles : Activité : Senior Software Engineer JEE Secteur : Finance Informations forums : Inscription : avril 2002 Messages : 744 Points : 1 092 Points : 1 092	A noter que cela ne fonctionne pas avec chrome. Il détecte le script js dans l'url et refuse de l'exécuter. __________________ Langages : Java, SQL Outils : Eclipse, Intellij SGBD : Oracle, PostgreSQL Mes Articles
	00

16/11/2011, 17h14	#9
Barsy Expert Confirmé Ingénieur développement logiciels Inscription : octobre 2007 Messages : 1 127 Détails du profil Informations personnelles : Sexe : Âge : 28 Localisation : France, Loire Atlantique (Pays de la Loire) Informations professionnelles : Activité : Ingénieur développement logiciels Informations forums : Inscription : octobre 2007 Messages : 1 127 Points : 2 600 Points : 2 600	De la même manière pour faire du phishing (il suffit ici de remplacer "developpez.net" par une copie du site). __________________ "tatatatatatatatataaa !! tata taaa !! tata taaa !! tatatata tataaa !! tata taaa !! tata taaa !!"
	00

14/11/2011, 13h00	#3
Ev3r10st Membre du Club Inscription : octobre 2010 Messages : 26 Détails du profil Informations forums : Inscription : octobre 2010 Messages : 26 Points : 59 Points : 59	Ah ah, pas mal! C'est une faille "web parameter tampering" : https://www.owasp.org/index.php/Web_Parameter_Tampering Dans le même genre, j'ai trouvé une faille d'injection SQL sur le site français d'AVG Quand c'est des vendeurs de sécurité qui sont troués, ça donne vraiment à réfléchir... De manière générale je conseillerais à tous nos amis développeurs de consulter cette page : https://www.owasp.org/index.php/Category:Attack Plutôt complète, elle recense les attaques, les décrit, et explique comment s'en protéger. Les failles que j'ai mentionné dans mon premier post sont des failles XSS (pour le néophyte : CSS était déjà pris par les fameuses feuilles de styles, donc on a fait du "cross", la croix du x): cross site scripting :https://www.owasp.org/index.php/Cros...ting_%28XSS%29 Cette faille peut paraitre anodine mais c'est un vecteur d'attaque très puissant. Par exemple, Je pourrais créer un site qui paraisse totalement légitime, qui contienne une iframe cachée, qui pointe vers cette faille. Grâce à la faille, je peux faire faire ce que je veux au navigateur du client, en javascript, comme par exemple tenter d'exploiter une faille d'injection SQL sur un site tiers, via des requêtes ajax (oui il y a des moyens de contourner la SOP) et m'en retourner les résultats. Ou comment hack un site sans y toucher soi même... Puisqu'il semble stérile de taper sur des rédacteurs ridicules, peut-être qu'on peut utiliser ce topic pour parler un peu de sécurité web. Avez-vous déjà rencontré des failles sur un site? Est-ce qu'un de vos sites a déjà été piraté à votre connaissance?
	00

16/11/2011, 11h12	#7
ZiGoM@r Membre éclairé Inscription : septembre 2007 Messages : 238 Détails du profil Informations forums : Inscription : septembre 2007 Messages : 238 Points : 350 Points : 350	Les voilà prévenus, voyons combien de temps ils vont mettre à régir. (Une faille non-corrigée étant beaucoup plus grave une fois rendue publique.)
	00

17/11/2011, 11h06	#10
Kajiku Invité de passage Inscription : juin 2007 Messages : 3 Détails du profil Informations forums : Inscription : juin 2007 Messages : 3 Points : 3 Points : 3	Bonjour messieurs, Question bête : avez vous prévenu le site de ces failles ? C'est la moindre des choses pour leur permettre de corriger ! À bientôt.
	00

17/11/2011, 13h33	#11
ZiGoM@r Membre éclairé Inscription : septembre 2007 Messages : 238 Détails du profil Informations forums : Inscription : septembre 2007 Messages : 238 Points : 350 Points : 350	Oui.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email