Merci s3th, j'aime beaucoup la façon de procéder qui découle de cette proposition.

Sinon pour clarifier les choses sur mon premier message, quand j'ai dit que j'avais récupérer un extract complet de la base, ce n'est pas avec des injections. J'ai juste récupéré un identifiant, et ensuite, en me baladant sur le site, j'ai trouvé un fichier de backup de la base. Je n'ai donc pas complétement fait le porc ... ou peut-être juste un petit peu.

Merci s3th, l'article est très bien.
En gros, on a le droit de faire un exploit, mais pas de l'utiliser.
Etant donné que la récupération de données personnelles est interdite, on ne peut donc pas non plus le tester.
Erf.. du coup on ne peut pas vraiment finaliser l'exploit. L'exploit n'existe alors que dans un but explicatif.

ça permet de recarder un peu ce que l'on peut faire ou non ...

Merci

il est un peu tard pour faire le "gentils garcon".

C'est aussi ce que je me disais.
Je crois que dans mon cas je vais en rester là, et que la prochaine fois j'irai un peu moins loin. Comme ça je pourrai prévenir en ayant bonne conscience.
Le truc c'est que c'est pas facile, quand on a galéré à trouver un truc, de savoir s'arréter 

Après, en cas de plainte, j'ai du mal à savoir, aux yeux de la loi, à partir de quand on peut estimer n'avoir rien à ce reprocher. En effet, pour trouver une faille d'injection, faut déjà l'avoir tentée, et là, normalement, vu que ça ne rentre pas dans le cadre normal d'utilisation du site, c'est déjà une faute ... 

Bonjour à tous,

J'ai dernièrement trouvé une faille (injection SQL pas évidente) sur un site, ce qui a donné suite à un exploit permettant de récupérer le mot de passe de n'importe quel utilisateur/administrateur/webmaster (en plus les mots de passe ne sont pas cryptés  ). J'ai aussi accessoirement récupéré un extract complet de la base de données ...

Ma question est la suivante, je voudrais avertir le webmaster, mais je ne sais pas vraiment comment m'y prendre pour rester un maximum anonyme et ne pas prendre trop de risque au cas où il prendrait mal cette découverte.
J'aimerais donc savoir comment vous vous y prenez (ou prendrez) dans ce genre de cas.

Je ne compte pas lui dire ce que j'ai pu récupérer, mais uniquement lui décrire la faille et l'orienter vers sa résolution.

PS 1 : si jamais vous avez des infos ne devant pas être trop répandues sur le forum, ça peut se faire par MP.
PS 2 : si vous voulez des infos sur la faille (je ne donnerai bien entendu pas le site en question), vous pouvez me les demander.

Merci