Le CNRS victime d’une faille SQL
Bon le CNRS grosso merdo, c'est quand même un gros gros paquet de sous domaines, géré par un peu tout le monde ...
Donc pour s'y retrouver, ou pour avoir une supervision de l'ensemble c'est assez compliqué :)
J'avais souvenir de 2/3 bricoles amusantes que j'avais trouvé il y a quelques années :)
Mais là n'est pas le sujet ^^
En réalité, je suis tombé ... (par hasard) ... sur l'un des sous domaines du CNRS !
J'ai analysé le site ...
Une ergonomie peu moderne
Un développement "maison" (aucune trace de cms connu)
Une utilisation de php
Pas de rewritting
.. j'ai ainsi constaté que ce site avait toutes les caractéristiques possibles des vieux sites que l'on entretiens pas, mais que l'on garde en ligne malgré tout ...
Alors ni une ni deux ... je test 2/3 petites chatouilles sur le site :
'
or 1
' or 1
or 1 -- f
' or 1 -- f
' or 1 limit 2,1 -- f
Et là, le site très chatouilleux !
Il met en avant qu'il est vulnérable ... une faille sql !
Dans ce cas précis, c'est une blind, c'est à dire, une injection sql que l'on doit réaliser à l'aveugle, car il n'y a aucune erreur sql qui ne s'affiche, pour orienter le "hacker"
Alors je tiens à dire aux développeurs :
C'est mal de faire des "select *" !!!!
Le fameux site dont je vous parle, est vulnérable car il n'y a absolument, aucun contrôle dans les valeurs intégré dans les requêtes sql !
Pire encore ... en terme d'optimisation ... c'est un select * sur une table d'environs 70 colonnes ... dont à peine une dizaines sont utilisés sur la page ou j'ai trouvé la faille ...
En gros, on va chercher 70 informations, pour n'en utiliser que 10 ...
Et pour ceux à qui ça ne parle pas :
Imaginez que vous avez un billet de 50 €, que vous achetez un produit à 4.20 €, mais que la caissière ne rends pas la monnaie ....
C'est un peu le même principe ...
Enfin bon .. cela m'a permis de finaliser et d’expérimenter un tools expérimentale développé dans le laboratoire de dyrk
(Ce fameux tools, vous l'avez deviné, permet d'automatiser les injections sql : cf. vidéo)
Je ne partagerais malheureusement pas avec vous, le lien vers le site vulnérable, mais ... Zataz se charge de contacter les personnes concernées.
[EDIT]
La vidéo de l'outils d'injection SQL du laboratoire de Dyrk