Pas mal le Honeypot. Peux de chance qu'il choppe l'IP. Ça permet simplement de frustrer le hacker avant qu'il tente une attaque plus approfondie.

Les millions d'erreurs sur une page c'est assez courant quand on développe un site et qu'il dispose d'une BDD en backend. Même mon site bien ficelé, si on lui enlève le fichier de données ça provoque une dizaine d'erreurs PHP.

C'est .. normal?

Poster des Url vulnérables, je suis le seul que ca choque ?

On est pas censés avoir une charte ?

Si un de ces sites a un souci, il se peut qu'il décide de se retourner contre nous et celui qui a publié les liens...
On a déja eu des enmerdes avec ce genrs de trucs sur hackbbs. Les modos devraient faire gaffe.

Tortue 974.

As-tu testé ? Aucune des pages postés par FRKorisS n'est exploitable.
Sur le premier site de e-commerce, la connexion est indisponible - au mieux tu peux peut-être injecter du PHP. Et le second est protégé.

Après c'est un troll de base ... je n'affirme pas que son topic est d'une utilité quelconque.

Non, et ce n'est pas une raîson. Les tentatives d'injections ont été réalisé sans l'accort du propriétaire du site. Juste pour ca, c'est condamnable par la loi.

Je vous dit ca par expérience, on ne sous estime jamais la connerie des gens.

Tortue 974.

En aucun cas je n'ai exploité une faille, je souhaitais juste voir la fréquence de site ayant une faille SQL. C'est à dire que je ne suis pas allé plus loin que le simple apostrophe a la fin de l'url.

Si tu souhaites savoir quel proportion de site est faillible à l'iSQL, dis-toi juste que c'est : énormément, la majorité. Plus un site est gros et "un minimum complexe" plus il est faillible. Je dirais même qu'ils le sont tous. Après, c'est plus ou moins délicat de y'arriver.

Sincèrement, si je peux affirmer une chose c'est que sur le nombre total des gens qui utilisent le SQL, 95% ne connaissent que les bases ou un peu plus. Admin de bdd c'est un job à lui tout seul. Après, c'est de la pratique (web pentest).

Et je rajouterai que dans les 95% y'a 99.9999% des web dév.

Je ne serais pas aussi catégorique, SAKAROV.

Pas besoin d'être DBA pour éviter les sqli. Il suffit de suivre quelques règles simples, et de savoir lire un manuel.
L'évolution technologique (Prepared queries, ORMs et cie.) font que les SQLi se raréfient et vont continuer à se raréfier. Un site qui utilise la techno qui va bien et qui respecte les best practices correspondantes ne sera pas vulnérable à la moindre SQLi.

Tu évites généralement pas une SQLi en conaissant le SGBD sur le bout des doigts. Tu l'évite surtout en amont, en conaîssant les technos qui vont servir à générer ce SQL.
Au delà de ca, en effet, 95% des dev ne savent pas développer (même lorsqu'ils sont concidérés comme "séniors"), et surtout, sont pas foutus de lire correctement un manuel.

En revanche, je suis d'accord pour le principe général. Etant donné la complexité des systèmes actuels, toute machine est forcément vulnérable. Ce n'est qu'une question de temps et de moyens.

Tortue 974.