obourneau a écrit 2 commentaires

  • [^] # Re: Et vous ? que faites vous dans la vie ?

    Posté par  . En réponse au journal Faut-il avoir confiance dans Digital-Network ?. Évalué à 0.

    Oups les citattions sont passées à la trappe...

    > Erreur dans l'exécution de la requete MySQL 'INSERT INTO digital_contact
    >(raison_sociale,adresse,code_postal,ville,nom_contact,prenom_contact,fonction,telephone,fax,email,act_principale,act_secondaire,message)
    > values
    > ('','coin\','coin\','coin\','coin\','coin\','coin\','42000\','','coin@example.com','SSII','','coin\')'.Erreur
    > MySQL retournée : You have an error in your SQL syntax; check the manual that corresp

    > Je voulais voir si le formulaire de contact PHP d'un expert sécurité fonctionnait bien.
    > J'ai tapé des ", puis j'ai vu qu'il y avait des restrictions sur la longueur ou le format, donc j'ai remplacé par des mots jusqu'à ce que ça passe. Puis j'ai oublié pourquoi j'étais là.

    > Après, j'y connais absolument rien en injections SQL, mais visiblement plus que toi…

    > Si tu lisais les commentaires, tu verrais que dès le début aucune intention de faire un exploit n'était là (en tout cas de ma part, n'ayant pris aucune précaution pour masquer mon IP),

    > Comme écrit dans les commentaires : je n'y connais rien, et je ne m'en cache pas. Tu verras que j'ai arrêté de faire quoi après avoir déclenché une erreur — les logs sont là pour le montrer. Je n'ai
    > donc même pas essayé !

    > Pas compris. Y a plein de gens qui t'ont répondu sur le datacenter. Quant à tout les sites liés à Digital-Network, ils sont sur le même serveur, y compris quelques clients que j'ai pu trouver.
  • # Et vous ? que faites vous dans la vie ?

    Posté par  . En réponse au journal Faut-il avoir confiance dans Digital-Network ?. Évalué à -1.

    Voila quelques citations prises au cours de ma lecture.

    Donc si je résume, vous n'êtes pas expert en sql injection, vous n'avez pas poussé vos tests plus loin que la simple validation du formulaire de contact mais vous avez fait quelques recherches vous permettant de trouver des sites hébergés sur le même serveur et affirmez que derrière le formulaire de contact :
    - Soit un système complexe de génération d'erreurs MYSQL a été codé
    - Soit il y a une base de données MYSQL qui est utilisé par un formulaire foireux pleins de trous se sécurité.

    Partant de ce point de vue, et étant l'employé ayant mis en place ce formulaire de contact (il y a au moins 5 ans), je peux vous annoncer que ces deux hypothèses sont fausses.

    Le formulaire de contact n'utilise aucune bdd, il permet juste d'envoyer un email à une adresse en @digital-network.net via qmail (le fameux qmail.php).
    les messages d'erreurs que vous avez provoqué, ne sont que :

    - quelques privates "jokes", je m'explique :
    Vous auriez tapez au bon endroit, par exemple : Christophe Casalegno,
    -> le formulaire vous aurez retourné : "Merci de penser à mon augmentation au bon patron"
    Vous auriez tapez au bon endroit, par exemple : Olivier Bourneau,
    -> le formulaire vous aurez retourné : "tu testes quand même ton boulot!!"
    Ok, on s'amuse comme on peut, hein..

    - quelques "honeypots", dont je ne vous ferrais pas l'affront de vous expliquer leurs utilités.

    Ne me revendiquant pas un superdeveloppeurphpquituedelamort, il se peut que le formulaire ai quelques problèmes de sécurité (je vous aide : qmail.php ;) )
    mais comment faire une injection sql lorsqu'il n'y a pas de bdd..
    moi je n'ai toujours pas trouvé la solution.

    Voila pour la partie sécurité foireuse que je ne développerai pas plus et que je ne justifierai aucunement auprès de personnes qui au delà de nous faire rire
    5min, dénigre le travail d'une société, composé de personnes (et non pas uniquement Mr Casalegno) qui vivent de son activité.
    Car derrière vos propos, vous insultez mon travail et celui des mes collègues.

    Nos audits, solutions, conseils ne sont peut être pas parfait, mais nous les fournissons avec le plus grand sérieux et la plus grande qualité qu'il nous
    est possible de proposer à nos clients.

    Bien entendu, cette intervention n'a que pour celle objectif de remettre quelques vérités en place et je ne rentrerai pas dans une polémique sans fin et
    stérile dumoijailaplusgrosse, n'en voyant pas l'utilité et n'en ayant pas le temps.
    Déjà que j'y ai consacré 15min de ma pause, faut pas pousser ;)

    En interne, on prend les paris sur le nombre de commentaires que va générer ce journal, j'ai parié sur + de 200, alors un petit coup de main, svp :)