30

Zerosquare (./22) :
En tout cas, je n'ai jamais vu de faille dangereuse dans du vrai gruyère

C'est parce qu'on a trouvé personnes pour les exploiter

edit : répétition
avatar
https://air-gaming.com/tests/ si vous voulez de la bonne lecture :=)

31

https://www.reddit.com/r/programming/comments/2ml27h/source_code_of_polish_electoral_calculator_big/
Résumé : c'est le code source décompilé du soft qui transmet les résultats des bureaux de votes en Pologne (en plus d'être écrit en .NET, donc facile à décompiler, ils avaient laissé les symboles de débug cheeky). Ce système, qui a coûté 150 000 € et été développé en 3 mois par une petite boîte, semble avoir en réalité été écrit par un étudiant. Et le niveau du code est à la hauteur de ce que pouvez imaginer.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

32

Pas mal pas mal,
enfin tous les projets en .net que j'ai pu voir, le code final etait inbouffable embarrassed
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

33

énorme grin

34

// Decompiled with JetBrains decompiler

On ne peut rien dire du code original, c'est idiot.

le décompilateur n'a aucune idée de la structure originale du programme, il ne fait qu'appliquer ses propres règles pour reconstruire le source à partir de l'asm.

35

En .NET, comme en Java, un exécutable décompilé est relativement proche de l'original (beaucoup plus qu'en C). Ici ils ont même laissé les symboles de debug, donc ça aide encore plus.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

36

pas sur la structure.

un truc standard comme

BufferedReader r = new BufferedReader(new InputStreamReader(System.in)));

qui est loud mais standard, sera forcement decompose en affectations successives.

c'est pour ca que le resultat sera "relativement proche" et fonctionnellement equivalent, mais je pense qu'on peut rien dire sur la proprete.

37

the code structure doesn't change that severely. Nor does it add an HTTP fallback for a HTTPS server and transmit election data in plain-text in both. Nor would it cause the code to use Exception handlers to null check. Etc Etc
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

38

39

Zerosquare (./22) :
En tout cas, je n'ai jamais vu de faille dangereuse dans du vrai gruyère embarrassed
Il n'y a pas de trous non plus, d'ailleurs embarrassed
##Brunni##

40

./36 > C'est peut être comme ça en Java alors, mais certainement pas en C#/VB.NET. (Le compilateur n'introduit pas d'affectations quand ça ne sert à rien. À part ++, ?. et quelques autres, en gros c'est très rare.)
En tout cas, tu ne peux juste rien dire sur la qualité d'indentation et d'espacement originale du code.
Mais pour le reste, les décompilateurs .NET sont très bon et font très peu d'erreur vu que le mapping est pratiquement 1:1 pour le C# (le compilateur pratique quelques optimisations mais si il introduit des variables, elles sont nommées différemment). Ils se chient dessus si tu fais des switch un peu trop compliqués et tout mais dans le cas général, t'as presque l'impression de lire ton code.




Après, j'ai pas regardé l'intégralité du code en détail (autre chose à foutre) mais j'ai pas vu de vrai WTF pour l'instant. Le code est de qualité très moyenne (penchant du côté négatif), mais comme l'a dit un autre gars sur reddit, j'ai déjà vu tellement pire, du coup je vois franchement pas le buzz smile (Mais oui, pour vous faire plaisir, on peut quand même dire que c'est de la merde grin)
Par contre je suis certain d'une chose, le mec qui a codé ça était un développeur Java, et certainement pas un développeur C#, et c'est peut-être ça le plus gros WTF tongue (Y'a plein d'indices dans le code wink)
avatar
Le scénario de notre univers a été rédigée par un bataillon de singes savants. Tout s'explique enfin.
T'as un problème ? Tu veux un bonbon ?
[CrystalMPQ] C# MPQ Library/Tools - [CrystalBoy] C# GB Emulator - [Monoxide] C# OSX library - M68k Opcodes

41

avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

42

avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

43

44

lol c'est chaud quand meme ^^

45

Le commentaire de Jar_of_Farts un peu plus bas dans l'article est tout aussi édifiant.
avatar
« Nous avons propagé sur Extranet une histoire fabriquée de toutes pièces selon laquelle une certaine disposition d'étoiles, vue depuis la planète d'origine des butariens, formaient le visage d'une déesse galarienne.
Sans chercher à vérifier ces informations, certains ont décrété que c'était la preuve de l'existence de la déesse. Ceux qui notaient le manque de preuves se faisaient attaquer. »

Legion, geth trolleur à portée galactique

46

J'avais trouve une faille un peu similaire sur un site marchant il y a ... 15ans mail direct, grand merci de leur part, et changement dans le mois qui avais suivit..

Cdiscount avait un bug aussi ou l'on pouvais voir le compte des autres client juste en changeant son ID client dans l'URL... Je n'etait pas le premier a m'en rendre compte, mais je l'avais trouve par hazard aussi
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

47

avatar
« Nous avons propagé sur Extranet une histoire fabriquée de toutes pièces selon laquelle une certaine disposition d'étoiles, vue depuis la planète d'origine des butariens, formaient le visage d'une déesse galarienne.
Sans chercher à vérifier ces informations, certains ont décrété que c'était la preuve de l'existence de la déesse. Ceux qui notaient le manque de preuves se faisaient attaquer. »

Legion, geth trolleur à portée galactique

48

J'en avais trouvé un aussi... C'est quand même consternant... neutral

49

01net a inventé l'injection SQL à l'envers, apparemment tongue :
KicZ
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

50

L'ejection SQL?
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

51

cheeky
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

52

grin

53

grin

54

En ce moment, je rattrape mon retard du DailyWTF en lisant toutes les archives depuis 2004. Et ainsi je tombe sur cette perle de 2006, suite aux débuts de la popularisation d'AJAX : le code PHP pour l'authentification... dans le Javascript.
function saveform() { var firstName = escapeSql(mainForm.elements.txtFirstName.value); var lastName = escapeSql(mainForm.elements.txtLastName.value); /* ... */ var offerCode = escapeSql(mainForm.elements.txtOfferCode.value); var code = ' $cn = mssql_connect($DB_SERVER, $DB_USERNAME, $DB_PASSWORD) ' + ' or die("ERROR: Cannot Connect to $DB_SERVER"); ' + ' $db = mssql_select_db($DB_NAME, $cn); ' + ' ' + ' if (mssql_query("SELECT 1 FROM APPS WHERE SSN=\''+ssn+'\'", $cn)) ' + ' { $ins = false; } ' + ' else ' + ' { $ins = true; } ' + ' ' + ' if ($ins) { ' + ' $sql = "INSERT INTO APPS (FIRSTNM, LASTNM, ..., OFFERCD) VALUES ("; ' + ' $sql+= "\''+firstName+'\',"; ' + ' $sql+= "\''+lastName+'\',"; ' + ' $sql+= "\''+offerCode+'\')"; ' + ' ' + ' /* ... */ ' + ' ' + ' mssql_query($sql, $cn); ' + ' mssql_close($cn); '; execPhp(code); }

Pourquoi s'emmerder à attaquer les formulaires en testant des injections SQL possibles quand on vous fournit le tout sur un plateau dans le code source de la page ?
avatar
« Nous avons propagé sur Extranet une histoire fabriquée de toutes pièces selon laquelle une certaine disposition d'étoiles, vue depuis la planète d'origine des butariens, formaient le visage d'une déesse galarienne.
Sans chercher à vérifier ces informations, certains ont décrété que c'était la preuve de l'existence de la déesse. Ceux qui notaient le manque de preuves se faisaient attaquer. »

Legion, geth trolleur à portée galactique

55

Mouarf!
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

56

C'est tendu quand même de faire un truc comme ça ^^

57

Il n'y a hélas pas de limite à l'inventivité des incompétents.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

58

execPhp()? eeek Les mecs ils faisaient un eval() sur une chaine passée depuis le client? eeek

./49 une déjection SQL cheeky

59

grin
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

60

squalyl (./58) :
Les mecs ils faisaient un eval() sur une chaine passée depuis le client?

trioui
avatar
« Nous avons propagé sur Extranet une histoire fabriquée de toutes pièces selon laquelle une certaine disposition d'étoiles, vue depuis la planète d'origine des butariens, formaient le visage d'une déesse galarienne.
Sans chercher à vérifier ces informations, certains ont décrété que c'était la preuve de l'existence de la déesse. Ceux qui notaient le manque de preuves se faisaient attaquer. »

Legion, geth trolleur à portée galactique