|
Titre: Injection SQL :O Posté par: Mic32768 le 08 Septembre 2006 à 07:03:23 Hey salut, j'écris ce message parce que j'en reviens pas..
Je cherchais des sites avec des pages vulnérables aux injections SQL avec Google, et je suis tombé sur le site d'une grosse banque... dont la page de login est vulnérable aux injections SQL(j'ai mis des apostrophes dans le champ login et pass)! Que feriez-vous à ma place? Et admettons que je voudrais "fouiner" en détail, pensez-vous que d'aller dans un café Internet est assez anonyme? En tout cas, j'attends de vos réponses, j'en reviens tout simplement pas :shock: Titre: Injection SQL :O Posté par: s3th le 08 Septembre 2006 à 08:36:30 Appelles-les pour leur dire que tu as trouvé une faille sur le site et que tu leur vends l information.
Audit de sécurité. C est légal et ca peut te rapporter des sous :) Titre: Injection SQL :O Posté par: cocowebman le 08 Septembre 2006 à 12:02:28 Figure toi que je viens moi aussi de trouver sur le net, un site ( d'immobilier pour preciser :wink: ) qui comporte une faille injection SQL .
Je previendrais surement le site ce soir =) . Titre: Injection SQL :O Posté par: Mic32768 le 08 Septembre 2006 à 18:07:02 Intéressant..
Mais avez-vous une idée concernant la manière de procéder à l'échange proprement(cette banque est dans un pays assez loin du mien lol)? cocowebman: Vas-tu leur vendre l'information ou juste les prévenir? Titre: Injection SQL :O Posté par: cocowebman le 08 Septembre 2006 à 18:37:19 Tu as trouvé une faille sur un site, tant mieux mais maintenant, le mieux à faire ne serais t-il pas de contacter le webmaster et de lui faire part de ta decouverte =) ?
Si dans le cas contraire tu veux essayer de tirer profit de la faille, tu fais ce que tu veux mais personnelement je ne le ferais pas, d'une part parce que je n'aimerais pas que quelqu'un me pique de l'argent xD et d'autre part, parce que il y a de gros risques que ca te retombe dessus. *EDIT : Si un jour je trouve l'adresse du webmaster de ce site ^^ , je les previendrais :wink: Titre: Injection SQL :O Posté par: Mic32768 le 08 Septembre 2006 à 18:45:38 Pas de problème, j'ai trouvé ce que j'allais faire :evil:
Non sérieusement, je vais juste les prévenir :D Titre: Injection SQL :O Posté par: charlesqueen le 08 Septembre 2006 à 18:49:07 donne moi le site que jessaye .
va le dire au webmaster car la les flic vont te tomber sous la main si tu fais une connerie (surtout une banque) moi aussi **orthographe !** trouver des faille sur des site tres connue je lexploite de temps en temps mais ca na aucune grande incidence sur le site §§§§ Titre: Injection SQL :O Posté par: Mic32768 le 08 Septembre 2006 à 18:55:18 Mais non lol, je suis sérieux :!:
Je vais juste les prévenir en leur envoyant un email. De toute façon, les failles d'injections SQL sont si fréquentes que trouver un autre site pour l'exploiter(sans causer de troubles, bien sûr) sera du gâteau. N'empêche que ce serait si facile de trouver les numéros de cartes de crédit après exploitation :shock: Titre: Injection SQL :O Posté par: Nebelmann le 10 Septembre 2006 à 09:31:47 Détourne un ou deux millions d'€ et donne leur la faille après :)
|