Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1587 connectés 

  FORUM HardWare.fr
  Programmation
  PHP

  Certains Webmasters ont la tête dans les nuages... Faille inside

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Certains Webmasters ont la tête dans les nuages... Faille inside

n°293537
format_c
Plouf plouf ...
Posté le 24-01-2003 à 18:28:33  profilanswer
 

http://www.**********.com
 
Bon ok je cite pas le site mais bon... si ils payent des avoirs aulieu de se faire payer des factures... ça sera leur pb :D


Message édité par format_c le 24-01-2003 à 19:31:00
mood
Publicité
Posté le 24-01-2003 à 18:28:33  profilanswer
 

n°293544
trolll
Posté le 24-01-2003 à 18:38:12  profilanswer
 

super content de t avoir connu ..

n°293549
format_c
Plouf plouf ...
Posté le 24-01-2003 à 18:41:56  profilanswer
 

trolll a écrit :

super content de t avoir connu ..


Spa Compliant ?


Message édité par format_c le 24-01-2003 à 18:42:08
n°293551
kadreg
profil: Utilisateur
Posté le 24-01-2003 à 18:45:02  profilanswer
 

trolll a écrit :

super content de t avoir connu ..


 
Bonjour, police brigade informatique.
 
Enlevez immédiatement les mains de votre claviers, lachez votre souris.


---------------
brisez les rêves des gens, il en restera toujours quelque chose...  -- laissez moi troller sur discu !
n°293556
Hermes le ​Messager
Breton Quiétiste
Posté le 24-01-2003 à 18:50:58  profilanswer
 

kadreg a écrit :


 
Bonjour, police brigade informatique.
 
Enlevez immédiatement les mains de votre claviers, lachez votre souris.  


 
Ben quoi, qu'est-ce qu'il a fait ?? Si le mec qui a fait le site est un pur newbs, c'est quand même pas sa faute.  :D  par contre, il faudrait prévenir le mec du site quand même non ?  :D

n°293557
format_c
Plouf plouf ...
Posté le 24-01-2003 à 18:51:52  profilanswer
 

Hermes le Messager a écrit :


 
Ben quoi, qu'est-ce qu'il a fait ?? Si le mec qui a fait le site est un pur newbs, c'est quand même pas sa faute.  :D  par contre, il faudrait prévenir le mec du site quand même non ?  :D  


C'est fait ;)
Il y a 10 minutes le site m'aurait fait un avoir de 15 000 euros  :lol:


Message édité par format_c le 24-01-2003 à 18:52:26
n°293562
Hermes le ​Messager
Breton Quiétiste
Posté le 24-01-2003 à 18:55:29  profilanswer
 

De toutes manières, ce site, il pue très fort. Déjà niveau news, ça sent le script pompé dans script.fr ... Voilà ce qui arrive quand on veut pas faire un minimum d'effort pour apprendre et comprendre ce que l'on fait. :/
 
Et en plus, c'est pour du e-commerce... Il y en a qui doutent de rien...  :whistle:  

n°293563
format_c
Plouf plouf ...
Posté le 24-01-2003 à 18:56:33  profilanswer
 

Hermes le Messager a écrit :

De toutes manières, ce site, il pue très fort. Déjà niveau news, ça sent le script pompé dans script.fr ... Voilà ce qui arrive quand on veut pas faire un minimum d'effort pour apprendre et comprendre ce que l'on fait. :/
 
Et en plus, c'est pour du e-commerce... Il y en a qui doutent de rien...  :whistle:  


Le plus drôle c'est qu'il est recommandé par Rue-Hardware.com  :lol:

n°293572
format_c
Plouf plouf ...
Posté le 24-01-2003 à 19:05:39  profilanswer
 

Tiens, encore un autre, toujours référencé par le même Rue-Hardware...
Celui là à l'originalité de remplir le panier du client par un Javascript buyItem("Nom de l'article",Prix,etc...) aulieu de faire un appel à la bdd pour définir le prix unitaire lors de l'ajout au panier...
Je sais pas si leur service facturation est très affuté mais si c'est pas le cas ils risquent d'voir des surprise dans leur bilan de fin d'année service facturation


Message édité par format_c le 24-01-2003 à 19:05:59
n°293577
format_c
Plouf plouf ...
Posté le 24-01-2003 à 19:08:58  profilanswer
 

HotShot a écrit :

On peut avoir l'URL ?  :whistle:  


Et passer par la prison sans la case départ ? :D
 
C'est un peu hallucinant que des sites pros soient codés sans se soucier de la sécurité qd même... Maintenant je crois que je vais regarder aussi les conseils de Rue Hardware d'un autre oeil  :heink:

mood
Publicité
Posté le 24-01-2003 à 19:08:58  profilanswer
 

n°293586
antp
Super Administrateur
Champion des excuses bidons
Posté le 24-01-2003 à 19:15:31  profilanswer
 

Pour que ce topic ait un intérêt, on peut avoir plus de détails :??:


---------------
mes programmes ·· les voitures dans les films ·· apprenez à écrire
n°293587
format_c
Plouf plouf ...
Posté le 24-01-2003 à 19:21:31  profilanswer
 

antp a écrit :

Pour que ce topic ait un intérêt, on peut avoir plus de détails :??:


Je préfèrerais attendre que la faille (?) soit corrigé du coté du premier site avt de vous donner le bug. Grosso modo il est possible de passer des quantités négative dans ton panier. Donc si tu commande pour 1000 euros de matos et que derriere tu passes 1 ou 2 gros articles en négatif de façon à ce que tu ne paye qu'une poignée d'euros, le site ne le vérifie pas, tu payes tes quelques euros et à la facturation ils se retrouvent avec une facture de laquelle sera déduit du matériel retourné, donnant droit à un avoir. Donc si ils ne s'en sont jamais aperçu ou si ils gèrent leurs avoirs de cette façon, ils ont de grands risques d'avoir de mauvaises surprise...
Cette faille est accessible par un enfant de 12 ans...

n°293590
antp
Super Administrateur
Champion des excuses bidons
Posté le 24-01-2003 à 19:26:09  profilanswer
 

Je vois le genre... C'est du joli :sweat:


---------------
mes programmes ·· les voitures dans les films ·· apprenez à écrire
n°293592
antp
Super Administrateur
Champion des excuses bidons
Posté le 24-01-2003 à 19:28:38  profilanswer
 

Ha ouais ça marche :D
(j'ai trouvé le site via google en qques secondes :whistle:)


Message édité par antp le 24-01-2003 à 19:29:05

---------------
mes programmes ·· les voitures dans les films ·· apprenez à écrire
n°293599
format_c
Plouf plouf ...
Posté le 24-01-2003 à 19:39:19  profilanswer
 

HotShot a écrit :

Ah oui ok...
 
'tain je me demande s'ils vérifient ou non les paiements/facturations en ligne... si non, leur boite fait faillite demain matin [:xx_xx]  


Le but du jeu n'est pas d'exploiter leur faille mais de les aider à la résoudre ... :)

n°293741
Sh@rdar
Ex-PhPéteur
Posté le 25-01-2003 à 13:43:17  profilanswer
 

c'est pas très très gros comme faille (et avec ethernal on déjà vu bien pire style include puant and co)
 
faut pas oublier qu'ils regardent quand même les commandes avant de les expédier (faut bien les préparer) et ça m'étonnerais fort qu'une commande avec articles en négatif soit validée..
 
j'ai eu des pb comme ça sur ma boutique, avec la gestion Euro / Dollar certaines commandes étaient payées avec le prix en euro mais en dollar (erreur de quelque cents mais bon..)
 
bin tu annules la commande et tu rembourses, tu corriges et demandes au client de repasser commande  :)  
 
si vous voulez vous amuser à hacker (merci de me prévenir si ça foire quand même :D ) http://www.skripta-paris.com


---------------
La musique c'est comme la bouffe, tu te souviens du restaurant dans lequel t'as bien mangé 20 ans plus tôt, mais pas du sandwich d'il y a 5 minutes :o - Plugin pour winamp ©Harkonnen : http://harko.free.fr/soft
n°293784
kalex
Posté le 25-01-2003 à 15:46:04  profilanswer
 

HotShot a écrit :

Ben c'est simple : utiliser un script côté serveur qui utilise pas d'argument en URL déjà, ou si possible qui prend la valeur absolue de la quantité indiquée [:kunks] s'pas bien compliqué

C'est bien pratique d'avoir son panier stoqué dans l'URL (pas de cookies :)). Il n'y a pas de risque si c'est l'identifiant qui y est affiché (pour aller ensuite chercher le nom et le prix de l'article dans la base de données).
 
Un truc qui me dépasse c'est le nombre de grands sites (banque, e-commerce...) qui utilisent JavaScript pour faire des choses basiques. C'est ridicule !

n°293891
kalex
Posté le 25-01-2003 à 20:50:40  profilanswer
 

HotShot a écrit :


Ouais d'ailleurs si t'as exemple d'une banque qui utilise Javascript, ça m'intéresse :D  

http://www.smc.fr :D

n°293977
format_c
Plouf plouf ...
Posté le 26-01-2003 à 01:41:20  profilanswer
 

Ca y est ils ont réparé la faille  :jap:

n°295033
stef_dober​mann
Personne n'est parfait ...
Posté le 27-01-2003 à 20:17:42  profilanswer
 

ya site dans ce style http://www.******.com/
vous aller dans service => acces privilégier
 
essaye de rentrer, perso il m'a fallu 2 mins montre en main :)
et acces complet à toute les pages
 
j'ai aidé à faire le site, et je leur avait proposé une solution sérieuse pour gérer leur login/passe mais ils ont trouvé ca trop cher et inutile ! et ils m'ont sorti le couplet qu'il avait une meilleur proposition faite par un informaticien chevroné :lol:
 
Je suis allé les voir ensuite, pour leur montrer leur erreur, mais ils ne m'ont pas cru ;)


Message édité par stef_dobermann le 27-01-2003 à 22:21:35

---------------
Tout à commencé par un rêve...
n°295040
ethernal
Chercheur de vérité...
Posté le 27-01-2003 à 20:31:40  profilanswer
 

je manque d'imagination pour les password...
sinon l'arborescence est sympa  
http://www.******.com/html/
http://www.******.com/images/
 
une erreur serveur...
http://www.***.com/%3f
 
--auto-censured--


Message édité par ethernal le 27-01-2003 à 20:51:11
n°295044
stef_dober​mann
Personne n'est parfait ...
Posté le 27-01-2003 à 20:45:03  profilanswer
 

:lol: j'avais même pas essayé ca ;)
je me suis occupé de faire des scripte en Perl :)


---------------
Tout à commencé par un rêve...
n°295045
zion
Plop
Posté le 27-01-2003 à 20:48:07  profilanswer
 


Pas besoin de citer les sites pour leur faire de la mauvaise pub, ca ne peut que t'attirer des emmerdes  :o


---------------
Informaticien.be - Lancez des défis à vos amis
n°295049
Core 666
Posté le 27-01-2003 à 20:49:09  profilanswer
 

Le listing des fichiers m'a intrigué, je me demandais quel serveur Web générait des pages de ce type. Ca vallait le coup de regarder :D
 
The site www.***********.com is running WebSitePro/2.5.8 on NT4/Windows 98
 
:lol:


Message édité par Core 666 le 27-01-2003 à 22:21:21
n°295053
ethernal
Chercheur de vérité...
Posté le 27-01-2003 à 20:53:22  profilanswer
 

zion a écrit :


Pas besoin de citer les sites pour leur faire de la mauvaise pub, ca ne peut que t'attirer des emmerdes  :o  


je trouve aussi, mais à partir du moment ou SteF_DOBERMANN les a averti, je trouve que c'est de la négligence s'ils ne corrigent pas leur site...

n°295056
zion
Plop
Posté le 27-01-2003 à 20:58:05  profilanswer
 

ethernal a écrit :


je trouve aussi, mais à partir du moment ou SteF_DOBERMANN les a averti, je trouve que c'est de la négligence s'ils ne corrigent pas leur site...


 
oui mais de les citer comme bourrés de failles ne peut qu'engager ta responsabilité cfr pleins d'affaires célèbres en france  (oui je sais toi et moi on est belches une fois :D).
 
Mais faut qu'il se rapelle que les gens analysent les referer sur leurs sites et qu'avec ces propos ils savent très bien qui il est  :sweat:


---------------
Informaticien.be - Lancez des défis à vos amis
n°295058
stef_dober​mann
Personne n'est parfait ...
Posté le 27-01-2003 à 21:09:59  profilanswer
 

certe oui, mais la société qui a fait ce site a fermé depuis bien longtemps et cette "faille" date de plus de 2 ans ;)


---------------
Tout à commencé par un rêve...
n°295105
antp
Super Administrateur
Champion des excuses bidons
Posté le 27-01-2003 à 22:22:00  profilanswer
 

Bah quand même, vaut mieux être prudent par le temps qui courrent...


---------------
mes programmes ·· les voitures dans les films ·· apprenez à écrire
n°295117
stef_dober​mann
Personne n'est parfait ...
Posté le 27-01-2003 à 22:39:45  profilanswer
 

oué c vrai, mais faire des erreur pareille, fo pas abuser non plus ;)
 
soit dite en passant, je n'est donné ni le passe, ni la solus ;)
n'importe quel d'entre vous auriez pu tomber sur ce site, et trouver la supercherie  :p


---------------
Tout à commencé par un rêve...
n°295123
dropsy
et bonne chance surtout...
Posté le 27-01-2003 à 22:50:45  profilanswer
 

bon que vous donniez pas les adresses des sites, je peux le comprendre... ces temps ci vaut mieux éviter d'en savoir trop (surtout en france :( enfin c pas le sujet), mais donner au moins des détails sur les failles histoire que ce soit instructif...

n°295157
stef_dober​mann
Personne n'est parfait ...
Posté le 27-01-2003 à 23:43:37  profilanswer
 

c koi le truc ki ya en ce moment ?
chuis pas trop au courant :??:


---------------
Tout à commencé par un rêve...
n°295355
Core 666
Posté le 28-01-2003 à 12:19:19  profilanswer
 

Il y a un cybermarchand bien connu sur le forum qui a de belles failles également. Le suivi des commandes est accessible sans identification et sans cookies à partir du moment où on passe le bon paramètre dans l'URL :
 
http://clients.xxxxxxxxx.com/clien [...] XXXXXXXXXX
 
Je ne parlerais même pas du détail d'une commande (avec coordonnées complètes du client) qui est accessible en remplacant le n° de commande dans l'URL par n° de commande + 1 :D
 
Ca fou en l'air de voir que certains Webmasters sont payés des fortunes pour maintenir des sites pareils :cry:

n°295473
stef_dober​mann
Personne n'est parfait ...
Posté le 28-01-2003 à 16:01:15  profilanswer
 

à la limite du démoralisant, je me prend la tête pour tenter de faire des accès sécurisé, des truc qui tienne la route,
mais quand je lit des truc pareille, ca m'énerve au plus haut point   :pfff:


---------------
Tout à commencé par un rêve...
n°295490
kalex
Posté le 28-01-2003 à 16:20:17  profilanswer
 

HotShot a écrit :

Bon, je fais un petit virement et j'vous recontacte...
 
P.S. Y z'ont l'ADSL à Montevideo ?

Sans déconner, le JavaScript sur tous ces sites de « professionnel » (nom cul ;)), c'est pour impressionné le décideur ? Parce que même quand il n'y a pas de faille de sécu, utiliser une fonction pour faire un lien, c'est totalement idiot !

n°297084
dropsy
et bonne chance surtout...
Posté le 30-01-2003 à 15:27:47  profilanswer
 

HotShot a écrit :


 
Dropsy... Solveig ? Tagada & Co. ?


 
pardon :??: j'ai pas compris là...

n°297110
speedyop
Posté le 30-01-2003 à 16:00:51  profilanswer
 

Sh@rdar a écrit :

c'est pas très très gros comme faille (et avec ethernal on déjà vu bien pire style include puant and co)


 
 :o

n°297680
Sh@rdar
Ex-PhPéteur
Posté le 31-01-2003 à 08:34:29  profilanswer
 


 
c'était pas particulièrement pour toi tu sais :D (et puis maintenant c'est corrigé)


Message édité par Sh@rdar le 31-01-2003 à 08:34:42

---------------
La musique c'est comme la bouffe, tu te souviens du restaurant dans lequel t'as bien mangé 20 ans plus tôt, mais pas du sandwich d'il y a 5 minutes :o - Plugin pour winamp ©Harkonnen : http://harko.free.fr/soft
n°297758
dropsy
et bonne chance surtout...
Posté le 31-01-2003 à 10:35:38  profilanswer
 

HotShot a écrit :


 
Nope désolé, j'ai cru à un merveilleux hasard mais non t'es pas celle que je connais :D :D :D


 
vraiment pas ;)
ça t'as réveiller un souvenir d'enfance? :D

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation
  PHP

  Certains Webmasters ont la tête dans les nuages... Faille inside

 

Sujets relatifs
(quiche inside) Vous avez des exemples de makefile pour voir ?J'arrive pas a faire un beau tableau nikel.. (CSS inside)
[PHP] Explorateur : parcourir dossier en php [ photo Inside ]modifier un text a partir d'un JS (php inside aussi)
Aligner verticalement un texte vers le bas (css inside)recherche algo balistique (bonus : jeux inside ! )
[HTML] Les cadres c'est prise de tête sniff ... need help svp :(deux requetes en une! [SQL inside]
[HTML] please, Aidez moi a centrer mes calques... (débutant inside)ident failed for user machin?? d'où ça vient (Postgres inside)[résolu]
Plus de sujets relatifs à : Certains Webmasters ont la tête dans les nuages... Faille inside


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR