Sécurité web - Page 2

https://www.reddit.com/r/programming/comments/2ml27h/source_code_of_polish_electoral_calculator_big/
Résumé : c'est le code source décompilé du soft qui transmet les résultats des bureaux de votes en Pologne (en plus d'être écrit en .NET, donc facile à décompiler, ils avaient laissé les symboles de débug ). Ce système, qui a coûté 150 000 € et été développé en 3 mois par une petite boîte, semble avoir en réalité été écrit par un étudiant. Et le niveau du code est à la hauteur de ce que pouvez imaginer.

Pas mal pas mal,
enfin tous les projets en .net que j'ai pu voir, le code final etait inbouffable

énorme

// Decompiled with JetBrains decompiler

On ne peut rien dire du code original, c'est idiot.

le décompilateur n'a aucune idée de la structure originale du programme, il ne fait qu'appliquer ses propres règles pour reconstruire le source à partir de l'asm.

En .NET, comme en Java, un exécutable décompilé est relativement proche de l'original (beaucoup plus qu'en C). Ici ils ont même laissé les symboles de debug, donc ça aide encore plus.

pas sur la structure.

un truc standard comme

BufferedReader r = new BufferedReader(new InputStreamReader(System.in)));

qui est loud mais standard, sera forcement decompose en affectations successives.

c'est pour ca que le resultat sera "relativement proche" et fonctionnellement equivalent, mais je pense qu'on peut rien dire sur la proprete.

oui, oui.

Zerosquare (./22) :
En tout cas, je n'ai jamais vu de faille dangereuse dans du vrai gruyère

Il n'y a pas de trous non plus, d'ailleurs
##Brunni##

./36 > C'est peut être comme ça en Java alors, mais certainement pas en C#/VB.NET. (Le compilateur n'introduit pas d'affectations quand ça ne sert à rien. À part ++, ?. et quelques autres, en gros c'est très rare.)
En tout cas, tu ne peux juste rien dire sur la qualité d'indentation et d'espacement originale du code.
Mais pour le reste, les décompilateurs .NET sont très bon et font très peu d'erreur vu que le mapping est pratiquement 1:1 pour le C# (le compilateur pratique quelques optimisations mais si il introduit des variables, elles sont nommées différemment). Ils se chient dessus si tu fais des switch un peu trop compliqués et tout mais dans le cas général, t'as presque l'impression de lire ton code.

---

Après, j'ai pas regardé l'intégralité du code en détail (autre chose à foutre) mais j'ai pas vu de vrai WTF pour l'instant. Le code est de qualité très moyenne (penchant du côté négatif), mais comme l'a dit un autre gars sur reddit, j'ai déjà vu tellement pire, du coup je vois franchement pas le buzz (Mais oui, pour vous faire plaisir, on peut quand même dire que c'est de la merde )
Par contre je suis certain d'une chose, le mec qui a codé ça était un développeur Java, et certainement pas un développeur C#, et c'est peut-être ça le plus gros WTF (Y'a plein d'indices dans le code )

http://www.ifc0nfig.com/moonpig-vulnerability/
Du grand art.

magnifique!

lol c'est chaud quand meme ^^

Le commentaire de Jar_of_Farts un peu plus bas dans l'article est tout aussi édifiant.

J'avais trouve une faille un peu similaire sur un site marchant il y a ... 15ans mail direct, grand merci de leur part, et changement dans le mois qui avais suivit..

Cdiscount avait un bug aussi ou l'on pouvais voir le compte des autres client juste en changeant son ID client dans l'URL... Je n'etait pas le premier a m'en rendre compte, mais je l'avais trouve par hazard aussi

J'en avais trouvé un aussi... C'est quand même consternant...

01net a inventé l'injection SQL à l'envers, apparemment :

L'ejection SQL?

En ce moment, je rattrape mon retard du DailyWTF en lisant toutes les archives depuis 2004. Et ainsi je tombe sur cette perle de 2006, suite aux débuts de la popularisation d'AJAX : le code PHP pour l'authentification... dans le Javascript.
function saveform() { var firstName = escapeSql(mainForm.elements.txtFirstName.value); var lastName = escapeSql(mainForm.elements.txtLastName.value); /* ... */ var offerCode = escapeSql(mainForm.elements.txtOfferCode.value); var code = ' $cn = mssql_connect($DB_SERVER, $DB_USERNAME, $DB_PASSWORD) ' + ' or die("ERROR: Cannot Connect to $DB_SERVER"); ' + ' $db = mssql_select_db($DB_NAME, $cn); ' + ' ' + ' if (mssql_query("SELECT 1 FROM APPS WHERE SSN=\''+ssn+'\'", $cn)) ' + ' { $ins = false; } ' + ' else ' + ' { $ins = true; } ' + ' ' + ' if ($ins) { ' + ' $sql = "INSERT INTO APPS (FIRSTNM, LASTNM, ..., OFFERCD) VALUES ("; ' + ' $sql+= "\''+firstName+'\',"; ' + ' $sql+= "\''+lastName+'\',"; ' + ' $sql+= "\''+offerCode+'\')"; ' + ' ' + ' /* ... */ ' + ' ' + ' mssql_query($sql, $cn); ' + ' mssql_close($cn); '; execPhp(code); }

Pourquoi s'emmerder à attaquer les formulaires en testant des injections SQL possibles quand on vous fournit le tout sur un plateau dans le code source de la page ?

Mouarf!

C'est tendu quand même de faire un truc comme ça ^^

Il n'y a hélas pas de limite à l'inventivité des incompétents.

execPhp()? Les mecs ils faisaient un eval() sur une chaine passée depuis le client?

./49 une déjection SQL