logo Homepage
+  NewbieContest
|-+  Divers» Hacking» Le site de ma ville est vulnérable !
Username:
Password:
Pages: [1]
  Imprimer  
Auteur Fil de discussion: Le site de ma ville est vulnérable !  (Lu 12672 fois)
EtAk0

Profil challenge

Classement : 616/54242

Néophyte
*
Hors ligne Hors ligne
Messages: 19


Voir le profil
« le: 01 Novembre 2016 à 18:45:05 »

Bonjour, en me promenant sur le site de ma ville j'ai remarqué quelque chose de... troublant. Le site dispose d'un input à l'aide duquel on peut rechercher des articles sur le site.Ma curiosité prenant le dessus j'entre donc un single quote en pensant que le site utiliserait des protections. Or il me renvoie ça:

"SQL ERROR
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'a' IN BOOLEAN MODE) OR MATCH(t.content) AGAINST (''a' IN BOOLEAN MODE)) ' at line 20
sql :
SELECT DISTINCT o.name, o.label, @age:=(DATEDIFF(NOW(),IFNULL(t.created,m.created))) AS age, @score:=(MATCH(o.name,o.label,o.description,o.keywords) AGAINST(''a') + MATCH(t.content) AGAINST (''a')) AS score, IF(@age < 90,@score,IF(@age <180,@score*0.95,IF(@age<270,@score*0.90,IF(@age<270,@score*0.80,IF(@age<360,@score*0.60,0))))) as realscore, o.description, t.content, COALESCE(t.type,m.type) type, CONCAT_WS(' ',DATE_FORMAT(COALESCE(t.published,m.published),'%e'), ELT(MONTH(COALESCE(t.published,m.published)),'Janvier','Février','Mars','Avril','Mai','Juin','Juillet','Août','Septembre','Octobre','Novembre','Décembre'), DATE_FORMAT(COALESCE(t.published,m.published),'%Y')) published "

Avec le peu d'expérience acquis sur newbieContest je me rend tout de même compte qu'il y a clairement un problème et que le site semble vulnérable aux injections SQL. Je décide donc d'en rester là car je connais à peu près les peines encourues pour une intrusion illégale mais je tente tout de même d’exécuter un script sans grande conviction et m'aperçoit qu'il est exécuté (un simple alert().

Je voulais donc savoir si je dois prévenir l'administrateur du site ou non, car je ne sais pas si une vraie injection est réellement possible (le site ne présente pas de système de comptes d'utilisateurs donc est-ce-qu'une injection pourrait vraiment être exploitée ?)

Voilà, bonne journée ^^
Journalisée
pixis
Administrateur

Profil challenge

Classement : 16/54242

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 664


Voir le profil WWW
« #1 le: 01 Novembre 2016 à 19:11:18 »

Si jamais tu n'es pas allé plus loin que la quote pour la SQLi, et que tu n'as fait qu'un alert() avec une XSS, je pense que tu peux leur envoyer un email en leur expliquant que tu as reçu une erreur lorsque tu as entré une valeur avec une apostrophe dans le champ de recherche.

Si jamais tu es allé plus loin que ça, et que tu as tenté de/réussi à extraire des informations, alors c'est une autre histoire.

Pour rappel :

Citation
Article 323-1 du code pénal
Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende.

Mais comme tu expliques que tu n'es pas dans ce cas, cette citation ne sera rien d'autre qu'un rappel
Journalisée

Newbie Contest Staff :
Pixis
Statut :
Administrateur
Blog :
hackndo
the lsd
Administrateur

Profil challenge

Classement : 188/54242

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #2 le: 02 Novembre 2016 à 09:56:19 »

Depuis peu, il y a aussi ça : https://www.ssi.gouv.fr/en-cas-dincident/vous-souhaitez-declarer-une-faille-de-securite-ou-une-vulnerabilite/

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
ferbos

Profil challenge

Classement : 11/54242

Membre Senior
****
Hors ligne Hors ligne
Messages: 356

The Godfather is back....


Voir le profil WWW
« #3 le: 02 Novembre 2016 à 14:08:21 »

Hey,

si tu ne fais pas ce qui dit sur le lien de the lsd c'est chaud pour ta life ^^

ferbos
Journalisée

"Les seules limites sont les fautes."
the lsd
Administrateur

Profil challenge

Classement : 188/54242

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #4 le: 02 Novembre 2016 à 15:02:46 »

Etant plus que parano, je passerai tout de même par un tor, deux trois VPN, quelques proxy anonymes, et un protonmail sans aucun lien avec du mail perso pour prévenir l'ANSII ^^'

Par contre, euhhh... Ils ont codé tout le site en SQL ou quoi ? Paye la taille de ta requête o0
Enjoy

The lsd

Edit : si on ne reçoit plus jamais aucune nouvelle d'Etak0, on est en droit de penser qu'il a eu quelques problèmes avec la justice ? 
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
ferbos

Profil challenge

Classement : 11/54242

Membre Senior
****
Hors ligne Hors ligne
Messages: 356

The Godfather is back....


Voir le profil WWW
« #5 le: 03 Novembre 2016 à 07:37:06 »

Par contre, euhhh... Ils ont codé tout le site en SQL ou quoi ? Paye la taille de ta requête o0
et encore.... il n'y a ni le FROM ni le WHERE

Edit : si on ne reçoit plus jamais aucune nouvelle d'Etak0, on est en droit de penser qu'il a eu quelques problèmes avec la justice ? 
On en reparle dans 20 ans après sa sortie de zonzon

ferbos
Journalisée

"Les seules limites sont les fautes."
Kithyane

Profil challenge

Classement : 124/54242

Néophyte
*
Hors ligne Hors ligne
Messages: 43


Voir le profil
« #6 le: 14 Novembre 2016 à 19:11:51 »

Etant plus que parano, je passerai tout de même par un tor, deux trois VPN, quelques proxy anonymes, et un protonmail sans aucun lien avec du mail perso pour prévenir l'ANSII ^^'

ANSSI, pas ANSII !!
Et pas de risque, l'ANSSI n'a aucun pouvoir de sanction envers quiconque
Journalisée
the lsd
Administrateur

Profil challenge

Classement : 188/54242

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #7 le: 14 Novembre 2016 à 20:15:21 »

My bad, j'ai fait un mélange dégueulasse entre l'ASCII et l'ANSSI 

Il n'y a pas de pouvoir officiel de sanction envers quiconque. Mais dans les couloirs, ça peut parler un peu trop ^^

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
Kithyane

Profil challenge

Classement : 124/54242

Néophyte
*
Hors ligne Hors ligne
Messages: 43


Voir le profil
« #8 le: 15 Novembre 2016 à 18:09:30 »

Par les temps qui courent, je pense que l'ANSSI chercherait plutôt à recruter quelqu'un qui remonterait ce type d'infos qu'à le sacntionner
Journalisée
Iansus

Profil challenge

Classement : 50/54242

Membre Senior
****
Hors ligne Hors ligne
Messages: 262


Voir le profil WWW
« #9 le: 16 Novembre 2016 à 16:22:42 »

Sans critiquer, je pense que l'ANSSI cherche un niveau un poil plus élevé que juste le fait de trouver une SQLi.

Ça reste un bon début cependant, mais attention aux sanctions légales. L'audit non sollicite est lourdement puni (cf les chiffres dans les post plus hauts).

iansus
Journalisée
yozyop
Newseur

Profil challenge

Classement : 327/54242

Membre Junior
**
Hors ligne Hors ligne
Messages: 82


Voir le profil
« #10 le: 16 Novembre 2016 à 20:19:52 »

ANSSI soit il !!
yozyop, humouriste de merde !!
Journalisée
ferbos

Profil challenge

Classement : 11/54242

Membre Senior
****
Hors ligne Hors ligne
Messages: 356

The Godfather is back....


Voir le profil WWW
« #11 le: 17 Novembre 2016 à 02:59:19 »

humouriste de merde !!
C'est Florence qui va être déçue ^^

ferbos
Journalisée

"Les seules limites sont les fautes."
Pages: [1]
  Imprimer  
 
Aller à: