Failles injection SQL chez les agences immobilieres

CoCoWebMan · Inscrit le: 01 Mai 2006 Messages: 4

Voila, j'ai découvert cela il y a quelques temps : en faite, certaines agences immobilieres qui veulent un site tout beau tout neuf et sans trop avoir à gerer de choses concernant le site font appel à ceci : http://www.xxxxxxxxx.com/.

C'est un logiciel que les agences achetent mais qui est malheureusement pas tres securisé ...

En effet, toutes les agences qui ont acheté ce logiciel ( elles sont nombreuses je peux vous l'assurer ) sont en possesion d'un jolie site c'est vrai mais qui est faillible à des injections SQL dans la partie s'identifier.

Le probleme c'est qu'au lieu que ce soit un site sur des centaines d'autres qui soit faillible, là c'est tout une grappe de sites d'agences immobilieres qui sont touchés ... une simple recherche google et on n'en denombre pas mal.

Le site est codé en asp. Concernant les injections en elles memes, j'en est testé deux types qui marchent toutes les deux mais avec lesquelles on obtient des resultats differents ( concernant le compte sur lequel on arrive ) .

Les membres sont vraiment en danger dans la mesure ou un SK pourrait facilement modifier, supprimer, l'annonce du membre du site voir meme changer le prix de vente de sa maison Confused

.

NoSP · Webmaster du site Inscrit le: 14 Sep 2005 Messages: 270

Ca n'aurait strictement aucun intéret de donner des adresses de sites faillibles, le seul intéret étant dans le fait de trouver la faille dont il est question ce qui semble déjà fait comme tu le dis.
Le seul conseil que je te donnerai est de, à l'aide d'un whois sur le nom de domaine de l'éditeur du "logiciel", de trouver un contact valable afin de les prévénir pour qu'il corrige sans attendre.
Evite de contacter les sites qui ont achetés le logiciel et qui se retrouvent faillibles, ils ne comprendraient, sans doute, pas et pourraient se retourner contre toi.
N'oublies pas que s'ils ont investi dans ce produit (financièrement, mais aussi affectivement) c'est qu'il n'avaient pas les compétences techniques pour le faire eux mêmes, donc de comprendre le bien fondé de ta démarche, ils n'y verraient, surement, qu'une démarche malveillante de ta part. Ce qui est compréhensible, vu que tu leur renvois en plein figure, l'erreur qu'ils ont commises en achetant ce produit.
Ensuite sans réponse de l'éditeur, mais surtout correction (et oui!! il arrive souvent qu'ils corrigent sans même un petit merci. D'emblée il vaut mieux faire le deuil de la gloire que l'on peut tirer de ce genre de situation... Tu aurais plus de chance, en exhibant tes miches à la star'ac,bref...). En cas de non correction, tu pourras à ce moment contacter les sites clients, en leur précisant que suite au contact de l'éditeur qui n'a rien fait tu les contactes pour les prévenir de la vulnérabilité de leur site à cause du dit logiciel.
Enfin ce que je dis ne fait pas force de loi, et n'engage que moi évidemment. En tout cas je ne suis toujours pas en zonzon, ni au tribunal en appliquant cette démarche.

++
_________________
http://www.thehackademy.net/login.php?logout=yes

CoCoWebMan · Inscrit le: 01 Mai 2006 Messages: 4

ok, merci pour les conseils NoSP Smile