Discussion :

[Ev3r10st]

Salut

Voilà il y a dix minutes, je me balade sur google news, et tombe la dessus :

http://www.solutions-logiciels.com/a...SQL&actu=10556

Gros titre : Piratage à l'UMP, c'était une simple injection SQL.
Mah qu'ils sont mauvais ces développeurs quoi. "Une simple injection sql"...

Du coup un peu blasé de voir à quel point les rédacteurs d'articles pouvaient être bêtes et méchants, je me suis mis à fouiner un peu sur solutions-logiciels.com.
Afin de constater comment eux, de leur côté, ils faisaient pour se prémunir de simples failles du genre.

3 liens cliqués plus tard, et je tombe sur un article dont le titre de la catégorie est url encodé dans le get.
Je le change pour voir, et il change dans la page.
J'y ajoute une balise script et oh miracle :

http://www.solutions-logiciels.com/a...script%3E&id=7

Une faille XSS (pouvez y aller, c'est pas dangereux, juste un petit message qui s'affiche en alerte).

Je poste ça sur developpez.com histoire d'indiquer à nos amis les pseudos experts de la sécurité à regarder dans le jardin avant de se payer la tronche de celui des voisins (ainsi qu'à en faire marrer d'autres).
Et là, de suite, en tapant mon post, je cherche l'url initiale. Donc je farfouille de nouveau dans le site.
Je tombe la dessus :
http://www.solutions-logiciels.com/m...&id_dossier=40

Punaise un dossier sur la sécurité! ça me botte je kiffe ça. Pi ça a l'air d'être des bêtes les mecs.
C'est quoi le sommaire? (http://www.solutions-logiciels.com/m....php?numero=25)

"au sommaire du numéro 25 :"

oh dis moi pas que si je change le numéro dans l'url ça le change dans la page aussi...

http://www.solutions-logiciels.com/m...105))</script>

Continuez à vendre des magazines pourris en critiquant le voisin et sa faiblesse face aux simples failles vous êtes géniaux

[Paul TOTH]

j'ai connu une société qui proposait l'hébergement d'un espace documentaire sur le web.

la page "profil" affichait le mot de passe en clair, ce qui était choquant...et comme l'URL affichait un ID=XXX numérique, je me suis amusé à changé d'ID, et là oh surprise ! je pouvais afficher les autres profils, et donc les autres mots de passes

[Ev3r10st]

Ah ah, pas mal!

C'est une faille "web parameter tampering" : https://www.owasp.org/index.php/Web_Parameter_Tampering

Dans le même genre, j'ai trouvé une faille d'injection SQL sur le site français d'AVG
Quand c'est des vendeurs de sécurité qui sont troués, ça donne vraiment à réfléchir...

De manière générale je conseillerais à tous nos amis développeurs de consulter cette page : https://www.owasp.org/index.php/Category:Attack
Plutôt complète, elle recense les attaques, les décrit, et explique comment s'en protéger.

Les failles que j'ai mentionné dans mon premier post sont des failles XSS (pour le néophyte : CSS était déjà pris par les fameuses feuilles de styles, donc on a fait du "cross", la croix du x): cross site scripting :https://www.owasp.org/index.php/Cros...ting_%28XSS%29

Cette faille peut paraitre anodine mais c'est un vecteur d'attaque très puissant.
Par exemple, Je pourrais créer un site qui paraisse totalement légitime, qui contienne une iframe cachée, qui pointe vers cette faille.
Grâce à la faille, je peux faire faire ce que je veux au navigateur du client, en javascript, comme par exemple tenter d'exploiter une faille d'injection SQL sur un site tiers, via des requêtes ajax (oui il y a des moyens de contourner la SOP) et m'en retourner les résultats.
Ou comment hack un site sans y toucher soi même...

Puisqu'il semble stérile de taper sur des rédacteurs ridicules, peut-être qu'on peut utiliser ce topic pour parler un peu de sécurité web.

Avez-vous déjà rencontré des failles sur un site?
Est-ce qu'un de vos sites a déjà été piraté à votre connaissance?

[Stessy]

A noter que cela ne fonctionne pas avec chrome. Il détecte le script js dans l'url et refuse de l'exécuter.

[Doksuri]

A noter que cela ne fonctionne pas avec chrome. Il détecte le script js dans l'url et refuse de l'exécuter.

oui, je trouve ca enervant avec les dernieres versions des navigateurs... oblige d'avoir un "vieux" navigateur pas a jour pour pouvoir faire mumuse

[Ev3r10st]

oui, je trouve ca enervant avec les dernieres versions des navigateurs... oblige d'avoir un "vieux" navigateur pas a jour pour pouvoir faire mumuse

Mais comme toute protection est faite pour être contournée, voilà pour chrome :

http://www.solutions-logiciels.com/m...=alert(123);//

[ZiGoM@r]

Les voilà prévenus, voyons combien de temps ils vont mettre à régir.
(Une faille non-corrigée étant beaucoup plus grave une fois rendue publique.)

[Paul TOTH]

Mais comme toute protection est faite pour être contournée, voilà pour chrome :

http://www.solutions-logiciels.com/m...=alert(123);//

avec cette technique on peux aussi se faire de la pub

[Barsy]

De la même manière pour faire du phishing (il suffit ici de remplacer "developpez.net" par une copie du site).

[Kajiku]

Bonjour messieurs,

Question bête : avez vous prévenu le site de ces failles ? C'est la moindre des choses pour leur permettre de corriger !

À bientôt.

[ZiGoM@r]

Oui.

[Kajiku]

Oui.

Toutes mes confuses, je n'avais pas vu ton message un peu plus au dessus !