[Ximo]

Bonjour à tous,

J'ai dernièrement trouvé une faille (injection SQL pas évidente) sur un site, ce qui a donné suite à un exploit permettant de récupérer le mot de passe de n'importe quel utilisateur/administrateur/webmaster (en plus les mots de passe ne sont pas cryptés  ). J'ai aussi accessoirement récupéré un extract complet de la base de données ...

Ma question est la suivante, je voudrais avertir le webmaster, mais je ne sais pas vraiment comment m'y prendre pour rester un maximum anonyme et ne pas prendre trop de risque au cas où il prendrait mal cette découverte.
J'aimerais donc savoir comment vous vous y prenez (ou prendrez) dans ce genre de cas.

Je ne compte pas lui dire ce que j'ai pu récupérer, mais uniquement lui décrire la faille et l'orienter vers sa résolution.

PS 1 : si jamais vous avez des infos ne devant pas être trop répandues sur le forum, ça peut se faire par MP.
PS 2 : si vous voulez des infos sur la faille (je ne donnerai bien entendu pas le site en question), vous pouvez me les demander.

Merci

[AntiChrist]

<Lammz> Tu suprim' tou é tu mé aked by moa ! </Lammz>

Non plus sérieusement, je pense que si tu arrives à acceder à un compte administrateur, il y a surement un adresse (e-mail) où le contacter.
Si tu as peur qu'il le prenne mal, tu peux toujours lui faire un mail avec un maileur annonyme (y'en a un paquet...).

Voilà, j'espert t'avoir aidé.

AntiChrist

[s3th]

et pour pas être tracé tu hack une connexion wifi
-> [] bon y a aussi les cybercafés

[Zmx]

Bon vu que tu n'a pas que decouvert la faille, mais que tu l'a aussi exploité comme un porc .... J'pense qu'il est un peu tard pour faire le "gentils garcon".

En effet, tu lui explique la faille, il check ses log. Il voit que tu en a bien abusé, il porte plainte (c'est ce que je ferais).

Plus d'une fois j'ai remonté des failles a des admin de site, qui l'ont toujours bien prit. En cas de plainte en meme temps, j'avais rien a me reprocher moi ...

[Ximo]

il est un peu tard pour faire le "gentils garcon".

C'est aussi ce que je me disais.
Je crois que dans mon cas je vais en rester là, et que la prochaine fois j'irai un peu moins loin. Comme ça je pourrai prévenir en ayant bonne conscience.
Le truc c'est que c'est pas facile, quand on a galéré à trouver un truc, de savoir s'arréter 

Après, en cas de plainte, j'ai du mal à savoir, aux yeux de la loi, à partir de quand on peut estimer n'avoir rien à ce reprocher. En effet, pour trouver une faille d'injection, faut déjà l'avoir tentée, et là, normalement, vu que ça ne rentre pas dans le cadre normal d'utilisation du site, c'est déjà une faute ... 

[s3th]

Voila les textes de LOI

http://wiki.backtrack-fr.net/index.php/Loi

Bonne lecture

[Zmx]

Merci bien s3th et merci au blackclown pour leur boulot.

Apres lecture il reste encore pas mal de flou (comme dans la lois ...) mais ça aide bcp !

[Ximo]

Merci s3th, l'article est très bien.
En gros, on a le droit de faire un exploit, mais pas de l'utiliser.
Etant donné que la récupération de données personnelles est interdite, on ne peut donc pas non plus le tester.
Erf.. du coup on ne peut pas vraiment finaliser l'exploit. L'exploit n'existe alors que dans un but explicatif.

ça permet de recarder un peu ce que l'on peut faire ou non ...

Merci

[s3th]

tu installes un forum phpbb sur ton server, tu découvres une faille, t as le droit de coder un exploit et de l'utiliser uniquement contre ton propre server. Et si tu le met a disposition c'est uniquement pour que d'autres puissent tester leur propore server. Ou éventuellement faire des audits de sécurité avec l'accord du propriétaire du server.
Après, il me semble, qu il y a encore une astuce entre un soft opensource et propriétaire.

[Ximo]

Merci s3th, j'aime beaucoup la façon de procéder qui découle de cette proposition.

Sinon pour clarifier les choses sur mon premier message, quand j'ai dit que j'avais récupérer un extract complet de la base, ce n'est pas avec des injections. J'ai juste récupéré un identifiant, et ensuite, en me baladant sur le site, j'ai trouvé un fichier de backup de la base. Je n'ai donc pas complétement fait le porc ... ou peut-être juste un petit peu.