Annonce

Réduire
Aucune annonce.

Troll sur une injection SQL

Réduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Troll sur une injection SQL

    Bonjour tout le monde !
    Aujourd'hui je me suis mis en tête de trouver un max de sites ayant une faille SQL.
    J'en ai bien évidemment trouvé beaucoup, mais je suis aussi tombé sur 2 site qui m'ont pas mal fais rire
    Tout d'abord y'a celui-ci : http://www.muddam.com/shopping/buy.php?id=1

    qui possède bon nombre d'erreurs, on ne voit même plus le site ^^

    Puis on en a un autre, essayez vous-même de trouvez la faille en ajoutant un apostrophe a la fin de l'URL : http://www.jolr.ru/buy.php?id=112
    Mess with the best, Die like the rest

  • #2
    Pas mal le Honeypot. Peux de chance qu'il choppe l'IP. Ça permet simplement de frustrer le hacker avant qu'il tente une attaque plus approfondie.

    Les millions d'erreurs sur une page c'est assez courant quand on développe un site et qu'il dispose d'une BDD en backend. Même mon site bien ficelé, si on lui enlève le fichier de données ça provoque une dizaine d'erreurs PHP.
    ~ Yarflam ~

    ❉ L'Univers se dirige vers son ultime perfection ❉

    Commentaire


    • #3
      C'est .. normal?

      Commentaire


      • #4
        Poster des Url vulnérables, je suis le seul que ca choque ?

        On est pas censés avoir une charte ?

        Si un de ces sites a un souci, il se peut qu'il décide de se retourner contre nous et celui qui a publié les liens...
        On a déja eu des enmerdes avec ce genrs de trucs sur hackbbs. Les modos devraient faire gaffe.

        Tortue 974.
        OxyGen Software
        Sécurité, développement, formations, informatique biomédicale
        [email protected]

        Commentaire


        • #5
          Envoyé par TorTukiTu Voir le message
          Poster des Url vulnérables, je suis le seul que ca choque ?

          On est pas censés avoir une charte ?

          Si un de ces sites a un souci, il se peut qu'il décide de se retourner contre nous et celui qui a publié les liens...
          On a déja eu des enmerdes avec ce genrs de trucs sur hackbbs. Les modos devraient faire gaffe.

          Tortue 974.
          As-tu testé ? Aucune des pages postés par FRKorisS n'est exploitable.
          Sur le premier site de e-commerce, la connexion est indisponible - au mieux tu peux peut-être injecter du PHP. Et le second est protégé.

          Après c'est un troll de base ... je n'affirme pas que son topic est d'une utilité quelconque.
          Dernière modification par Yarflam, 01 novembre 2013, 15h54.
          ~ Yarflam ~

          ❉ L'Univers se dirige vers son ultime perfection ❉

          Commentaire


          • #6
            As-tu testé
            Non, et ce n'est pas une raîson. Les tentatives d'injections ont été réalisé sans l'accort du propriétaire du site. Juste pour ca, c'est condamnable par la loi.

            Je vous dit ca par expérience, on ne sous estime jamais la connerie des gens.

            Tortue 974.
            OxyGen Software
            Sécurité, développement, formations, informatique biomédicale
            [email protected]

            Commentaire


            • #7
              Aujourd'hui je me suis mis en tête de trouver un max de sites ayant une faille SQL.
              En aucun cas je n'ai exploité une faille, je souhaitais juste voir la fréquence de site ayant une faille SQL. C'est à dire que je ne suis pas allé plus loin que le simple apostrophe a la fin de l'url.
              Mess with the best, Die like the rest

              Commentaire


              • #8
                Si tu souhaites savoir quel proportion de site est faillible à l'iSQL, dis-toi juste que c'est : énormément, la majorité. Plus un site est gros et "un minimum complexe" plus il est faillible. Je dirais même qu'ils le sont tous. Après, c'est plus ou moins délicat de y'arriver.

                Sincèrement, si je peux affirmer une chose c'est que sur le nombre total des gens qui utilisent le SQL, 95% ne connaissent que les bases ou un peu plus. Admin de bdd c'est un job à lui tout seul. Après, c'est de la pratique (web pentest).

                Et je rajouterai que dans les 95% y'a 99.9999% des web dév.
                sigpic

                Cyprium Download Link

                Plus j'étudie plus j'me rends compte que je n'sais rien.

                †|

                Commentaire


                • #9
                  Je ne serais pas aussi catégorique, SAKAROV.

                  Pas besoin d'être DBA pour éviter les sqli. Il suffit de suivre quelques règles simples, et de savoir lire un manuel.
                  L'évolution technologique (Prepared queries, ORMs et cie.) font que les SQLi se raréfient et vont continuer à se raréfier. Un site qui utilise la techno qui va bien et qui respecte les best practices correspondantes ne sera pas vulnérable à la moindre SQLi.

                  95% ne connaissent que les bases ou un peu plus
                  Tu évites généralement pas une SQLi en conaissant le SGBD sur le bout des doigts. Tu l'évite surtout en amont, en conaîssant les technos qui vont servir à générer ce SQL.
                  Au delà de ca, en effet, 95% des dev ne savent pas développer (même lorsqu'ils sont concidérés comme "séniors"), et surtout, sont pas foutus de lire correctement un manuel.

                  En revanche, je suis d'accord pour le principe général. Etant donné la complexité des systèmes actuels, toute machine est forcément vulnérable. Ce n'est qu'une question de temps et de moyens.

                  Tortue 974.
                  Dernière modification par TorTukiTu, 03 novembre 2013, 11h01.
                  OxyGen Software
                  Sécurité, développement, formations, informatique biomédicale
                  [email protected]

                  Commentaire

                  Chargement...
                  X