Gravatar couramment utilisé Blog perso de Paul Da Silva

Hadopi lance sa campagne avec une négligence caractérisée

Posted on | juin 13, 2011 | 10 Comments

Vous connaissez la rengaine, chaque fois que Hadopi met son site à jour je trouve une faille sur les ajouts. Ce matin c’est un tout nouveau site qui est mis en ligne : pur.fr (vous n’avez pas cru que j’allais leur faire un backlink ?) et forcément je me suis mis dessus – pas de jour férié qui compte !

Et forcément, après avoir grillé 2 de mes IP (j’en ai quelques unes sous le coude c’est pas bien grave) j’ai fini par trouver une petite XSS… Comme un air de déjà-vu !

Sauf que nos amis de Agence H ont pris la précaution d’installer une classe qui se charge de filtrer les URL suspectes… Un peu violente puisqu’elle va blacklister l’adresse IP du supposé attaquant lui interdisant dès lors l’accès à la totalité du site… Super pour un site d’information sur les « usages responsables » !

Le trou est sur la page de recherche (oui oui il y en a une, elle est juste cachée) et vient du non-filtrage de la variable recherchée… Un grand classique !

Ainsi en appelant l’url suivante : http://www.pur.fr/search/node/here »>ICI – Le code source de la page deviendra :

On voit assez nettement que les caractères surlignés sont interprétés comme du code HTML et non comme du texte. Sans la classe de blacklisting sauvage des IP, cette faille serait exploitable pour modifier le contenu de la page, exécuter du code arbitraire, … Ou ajouter The Pirate Bay dans les offres PURes par exemple…

On en revient donc au paradigme déjà avancé par la Hadopi : pour sécuriser sa connexion, il faut la couper !

Bon en passant le code source du site est juste affreux, l’optimisation inexistante et des brides de code PHP sont visibles en commentaire dans le code HTML…

4/20, revoyez votre copie élève Hadopi/Agence H !

Edit : @_noKid a trouvé un moyen (drôle) d’exploiter la faille sans énerver la classe anti-hack : http://goo.gl/ckwdY – Bien joué à lui !

Edit 2 : Moteur de recherche désactivé, @tieumtieum a eu le bon réflexe de faire une capture d’écran, ici : http://lockerz.com/s/110337119

Edit 3 : De fail en pire : @ssx3max me signale une autre XSS qui m’avait échappé et qui est déjà exploitée : http://t.co/VVSeWrF

Commentaires

10 Responses to “Hadopi lance sa campagne avec une négligence caractérisée”

  1. wtoscer
    juin 13th, 2011 @ 13 h 37 min

    Comme dit sur twitter, le blacklist n’a pas l’air lié à ça, j’ai toujours accès au xite après essai (malheureusement)

  2. Paul
    juin 13th, 2011 @ 13 h 39 min
  3. Madame Michu
    juin 13th, 2011 @ 13 h 51 min

    Et encore un !!!
    Après ça le gouvernement voudrait que moi, je sécurise mon accès internet.
    N’ont-ils pas une armée de développeurs payés (par moi ? non !) pour mettre au point des sites « irréprochables » !

  4. wtoscer
    juin 13th, 2011 @ 14 h 01 min

    Ah oui tiens…
    Bon ben au revoir pur

  5. Aenor
    juin 13th, 2011 @ 14 h 13 min

    « Parce que là j’ai utilisé un truc qui ne le déclenche pas, mais remplace par :
    http://www.pur.fr/search/node/here« >alert(1)<a a= »

    Et tu seras blacklisté"

    Chez moi (enfin au boulot), non, toujours pas blacklisté :'(

  6. Aenor
    juin 13th, 2011 @ 14 h 21 min

    Rhaaa on ne peux pas editer ses commentaires ?!

    bon pas grave :
    Le ban que je me suis pris (a force de jouer avec leur site …) a duré moins de 10 min,
    @Paul : tu pourrais vérifier si tu es toujours banni ?

  7. Enkimy
    juin 13th, 2011 @ 14 h 22 min

    Sinon, on peut pas lancer une campagne de pub donnant sur le lien qui fait blacklist l’IP histoire que les gens n’aient plus accès à ce « site d’informations » ?

  8. Hadopi PUR a son site | Jeromecold's blog
    juin 13th, 2011 @ 18 h 16 min

    […] pourrait donc croire qu’il est réussit. Néanmoins, Paul Da Silva fait remarquer que le site est quelque peut étrange sur son fonctionnement puisque le moteur de recherche […]

  9. Le site pro HADOPI pur.fr a des failles | UnderNews
    juin 13th, 2011 @ 21 h 09 min

    […] : Twitter, Blog de Paul Da Silva, Parti Pirate Français, […]

  10. Noto's Blog » Hadopi de la PUR connerie
    juin 14th, 2011 @ 14 h 08 min

    […] va également fermer les yeux pour une fois sur les failles de sécurité assez risibles du site pur.fr pour s’intéresser au contenu de celui-ci. Pour ceux qui ne le […]

Leave a Reply





Edito

Ancien journaliste, ancien entrepreneur, ancien (ir)responsable Pirate, actuel citoyen qui s'intéresse à la politique et à son évolution.

Read moar !.

Retrouvez moi sur :

Suivez moi sur twitter sur facebook sur wikipedia Ajouter ce blog a votre lecteur RSS

Bitcoin

bitcoin logo
1GZnMQ9wXyifxCnDEqg8CSGdngWcKWptHv

Piratons la démocratie

piratons la democratie

One more thing !

0100 0011 0110 1000 0110 0001 0110 1110 0110 0111 0110 0101 0111 0010 0010 0000 0110 1100 0110 0101 0010 0000 0110 1101 0110 1111 0110 1110 0110 0100 0110 0101 0010 0000 0110 0101 0110 1110 0010 0000 0111 0011 0010 0111 0110 0001 0110 1101 0111 0101 0111 0011 0110 0001 0110 1110 0111 0100 0010 0000 0010 1101 0010 0000 0110 1111 0110 1110 0010 0000 0111 0110 0110 0001 0010 0000 0110 0010 0110 1111 0110 1001 0111 0010 0110 0101 0010 0000 0111 0101 0110 1110 0010 0000 0110 0011 0110 1111 0111 0101 0111 0000 0010 0000 0011 1111

Tm9uIGNlbGVsIGzgIGVzdCBqdXN0ZSBwb3VyIHRlIGZhaXJlIHBlcmRyZSA1bW4gOyk=

Relationship Closeness Inventory

Promo code Genesis Mining

Sha 256 cloud mining

Best Bitcoin debit card

Zcash Mining