mais j’ai réussi à contourner la fermeture de l’authentification donc j’ai toujours accès au site.
La vulnérabilité initiale a été corrigée, je peux donc légalement vous expliquer la pire faille de sécurité du monde.
L’interface de Droite au Coeur, comme beaucoup de sites web depuis ~2010, est dynamique.
Cela signifie que votre navigateur va d’abord télécharger le code qui gère l’affichage de la page, mais sans télécharger le contenu.
[...]
Mais la faille la plus élémentaire, c’est quand l’API est configurée n’importe comment et qu’il fait tout le boulot à la place du hacker 😬
Ici, absolument aucune mesure offensive n’est nécessaire puisque le serveur est simplement trop bavard...
Chez Droite au Coeur, l’API renvoie toutes les données perso de tous les utilisateurs, et c’est l’interface (sur votre ordinateur donc) qui se charge de filtrer lesquelles sont effectivement affichées.
Pour les récupérer, il suffit donc d’intercepter ce que reçoit l’ordi.
C’est très facile à faire si vous utilisez Chrome/Firefox, en utilisant les outils pour développeurs qui sont intégrés.
Touche F12 > onglet « réseau » > choisissez la requête à examiner (search ou msearch dans notre cas) > onglet « réponse ».
Vous pouvez voir que le champ « email » est vide sur la capture ci-dessus, ce qui indique que la fuite majeure a été réparée.
J’étais obligé d’attendre ça pour publier la faille en détail (même si elle est archi triviale) pour être réglo vis-à-vis du code pénal, art. 323-3-1.
