Ce site n'est pas pebkac.fr. Je publie ici la liste des PEBKAC que j'ai pu sauvegarder, en attendant que le vrai site soit remis en ligne.

PEBKAC #8501 – apprenti_hackeur

Un site d’achats en ligne propose de se créer un compte client, afin de ne pas avoir à saisir de nouveau ses identifiants bancaires à chaque paiement. Bien entendu, un mot de passe très sécurisé est exigé, la force de celui-ci étant vérifiée à l’inscription.

« Pour des raisons de sécurité » (sic), certains caractères sont prohibés dans les mots de passe, et la validité de celui-ci est vérifiée avec JavaScript ». Mais si comme moi, on laisse par mégarde JavaScript désactivé, il est toujours possible de soumettre le formulaire.

Côté serveur cependant, aucune vérification : en expérimentant, j’ai pu me rendre compte que les caractères « interdits », et tous ceux qui suivent, sont tout simplement ignorés.

Aussi, afin sans doute de s’assurer qu’un apprenti hacker n’ira pas tenter un XSL, le chevron ouvrant, second caractère de mon mot de passe, fait partie des glyphes rejetés. Et il est possible, en rentrant « X » comme mot de passe, de consulter mes numéros de carte de crédit. PEBKAC.