PEBKAC #5067

Sur IRC, une amie graphiste Web se fait interpeller par une connaissance, qui aurait découvert des failles de sécurité dans son site personnel. Pas folle, elle l'écoute pour savoir ce qu'il a découvert.

Il explique qu'on peut faire des injections SQL, mais surtout qu'il l'a découvert car il a mystérieusement pu consulter le code PHP du site, depuis son poste client et son navigateur. Intriguée, elle lui demande le code.

C'était du JavaScript. PEBKAC.

PEBKAC #5067 proposé par koshie le 21/08/2012 | 6 commentaires | 👍🏽 👎🏽 +194

Ok il s'est trompé entre PHP et JavaScript, mais a-t-il vraiment pu faire des injections SQL ?
Si c'est le cas, c'est pas bon pour la personne ayant fait le site.
Peut être des noms de champs SQL se retrouvant dans des objets en JS ? Et lorsqu'on les modifie ça envoi ça au serveur, et coté PHP il n'y aurait aucune vérification avant de coller ça dans une requête SQL ?

Commentaire #56257 écrit par juu le 21/08/2012 à 11h17 | 👍🏽 👎🏽

Faut quand même être très fort pour savoir faire des injections squeulle sans savoir faire la différence entre du javascript et du peucheupeu.

Commentaire #56268 écrit par Skefrep le 21/08/2012 à 11h42 | 👍🏽 👎🏽

En réalité la faille de voir le code source d'un fichier .php a existé, il suffisait de rajouter ?-s dans l'url (facebook.com?-s par exemple)

Commentaire #56300 écrit par Astalaseven le 21/08/2012 à 14h22 | 👍🏽 👎🏽

Pas faux !

Commentaire #56316 écrit par juu le 21/08/2012 à 16h18 | 👍🏽 👎🏽

Cette failles existe juste sur certaines versions. Bien sûr elle a été mise à jour. Mais je vais tester quand même sur de vieux sites.

Commentaire #56357 écrit par qwerty le 21/08/2012 à 19h37 | 👍🏽 👎🏽

D'ailleurs quand on le faisait sur facebook, le code donné était un lien vers une page de recrutement d'expert en sécurité.

Commentaire #56361 écrit par Osmoz le 21/08/2012 à 20h35 | 👍🏽 👎🏽