La sécurité chez AFAI : florilège XSS et SQLi

Posted on 30 août 2011

0


Sur cette copie d’écran qui illustre l’article du Nouvel Obs à propos du piratage de la boutique Orange, nous pouvons lire des informations intéressantes.

En premier lieu, il ne s’agit pas d’Orange mais de afai.asso.fr. Le fichier s’appelant utilisateurs.txt, on peut logiquement en déduire qu’il fait partie d’une base de données située sur le site. Une recherche Google plus tard, on est ici , chez l’Association française de l’audit et du conseil informatique, http://www.afai.fr.

Par goût du jeu, on essaie une faille XSS avec un cht’i script du genre alert(« FAIL XSS ») et bingo !

Il y a donc fort à parier que le site soit aussi vulnérable à une injection SQL. Je ne vais pas vous la jouer ZATAZ en occultant les outils qui ont servi  lors du piratage du site. Il s’agit d’Havij  et non pas d’un software iranien comme le rapporte le Nouvel Obs…qui est une copie d’Havij contenant un trojan – avis aux amateurs !

Havij est un excellent outil développé par ITsecteam et sert à tester la vulnérabilité des sites web aux injections SQL.  Ce n’est donc pas un secret de hacker, mais un logiciel que les « experts » français devraient utiliser systématiquement pour éviter de se ridiculiser et d’exposer les données personnelles des utilisateurs. Un outil que devrait utiliser cette association qui prétend former à la sécurité et l’audit informatique … Toujours est-il que 24h après le piratage, la base de donnée de l’AFAI est toujours vulnérable, exposée à tous vents.

Je n’ai pas vérifié les identifiants Orange  postés sur http://pastebin.com/gSF3JrWj . Ce que j’affirme, c’est que la base de données du site n’est toujours pas protégée, comme le montre le journal ci-dessous. Les données  des clients et usagers du site de l’AFAI ont donc été dispersées sur le Wild Wild Web.

Current DB: afai_www
Data Base Found: information_schema
Data Base Found: afai_test
Data Base Found: afai_www
[…]
Table found: adherents
Table found: adherents_invisibles
Table found: departements
Table found: ms_actualite
Table found: ms_actualite_a_menu
[…]

table_name=0x6D735F7574696C69736174657572 is 9
Column found: utilisateur_id
Column found: login
Column found: mdp
Column found: groupe_utilisateur_id
Column found: nom
Column found: email
Column found: prenom
Column found: derniere_connexion
Column found: MEM_ID

Advertisements