http://www.**********.com
 
Bon ok je cite pas le site mais bon... si ils payent des avoirs aulieu de se faire payer des factures... ça sera leur pb

super content de t avoir connu ..

Spa Compliant ?

 
Bonjour, police brigade informatique.
 
Enlevez immédiatement les mains de votre claviers, lachez votre souris.

 
Ben quoi, qu'est-ce qu'il a fait ?? Si le mec qui a fait le site est un pur newbs, c'est quand même pas sa faute.    par contre, il faudrait prévenir le mec du site quand même non ?  

C'est fait
Il y a 10 minutes le site m'aurait fait un avoir de 15 000 euros  

De toutes manières, ce site, il pue très fort. Déjà niveau news, ça sent le script pompé dans script.fr ... Voilà ce qui arrive quand on veut pas faire un minimum d'effort pour apprendre et comprendre ce que l'on fait.
 
Et en plus, c'est pour du e-commerce... Il y en a qui doutent de rien...    

Le plus drôle c'est qu'il est recommandé par Rue-Hardware.com  

Tiens, encore un autre, toujours référencé par le même Rue-Hardware...
Celui là à l'originalité de remplir le panier du client par un Javascript buyItem("Nom de l'article",Prix,etc...) aulieu de faire un appel à la bdd pour définir le prix unitaire lors de l'ajout au panier...
Je sais pas si leur service facturation est très affuté mais si c'est pas le cas ils risquent d'voir des surprise dans leur bilan de fin d'année service facturation

Et passer par la prison sans la case départ ?
 
C'est un peu hallucinant que des sites pros soient codés sans se soucier de la sécurité qd même... Maintenant je crois que je vais regarder aussi les conseils de Rue Hardware d'un autre oeil  

Pour que ce topic ait un intérêt, on peut avoir plus de détails

Je préfèrerais attendre que la faille (?) soit corrigé du coté du premier site avt de vous donner le bug. Grosso modo il est possible de passer des quantités négative dans ton panier. Donc si tu commande pour 1000 euros de matos et que derriere tu passes 1 ou 2 gros articles en négatif de façon à ce que tu ne paye qu'une poignée d'euros, le site ne le vérifie pas, tu payes tes quelques euros et à la facturation ils se retrouvent avec une facture de laquelle sera déduit du matériel retourné, donnant droit à un avoir. Donc si ils ne s'en sont jamais aperçu ou si ils gèrent leurs avoirs de cette façon, ils ont de grands risques d'avoir de mauvaises surprise...
Cette faille est accessible par un enfant de 12 ans...

Je vois le genre... C'est du joli

Ha ouais ça marche
(j'ai trouvé le site via google en qques secondes )

Le but du jeu n'est pas d'exploiter leur faille mais de les aider à la résoudre ...

c'est pas très très gros comme faille (et avec ethernal on déjà vu bien pire style include puant and co)
 
faut pas oublier qu'ils regardent quand même les commandes avant de les expédier (faut bien les préparer) et ça m'étonnerais fort qu'une commande avec articles en négatif soit validée..
 
j'ai eu des pb comme ça sur ma boutique, avec la gestion Euro / Dollar certaines commandes étaient payées avec le prix en euro mais en dollar (erreur de quelque cents mais bon..)
 
bin tu annules la commande et tu rembourses, tu corriges et demandes au client de repasser commande    
 
si vous voulez vous amuser à hacker (merci de me prévenir si ça foire quand même ) http://www.skripta-paris.com

C'est bien pratique d'avoir son panier stoqué dans l'URL (pas de cookies ). Il n'y a pas de risque si c'est l'identifiant qui y est affiché (pour aller ensuite chercher le nom et le prix de l'article dans la base de données).
 
Un truc qui me dépasse c'est le nombre de grands sites (banque, e-commerce...) qui utilisent JavaScript pour faire des choses basiques. C'est ridicule !

http://www.smc.fr

Ca y est ils ont réparé la faille  

ya site dans ce style http://www.******.com/
vous aller dans service => acces privilégier
 
essaye de rentrer, perso il m'a fallu 2 mins montre en main
et acces complet à toute les pages
 
j'ai aidé à faire le site, et je leur avait proposé une solution sérieuse pour gérer leur login/passe mais ils ont trouvé ca trop cher et inutile ! et ils m'ont sorti le couplet qu'il avait une meilleur proposition faite par un informaticien chevroné
 
Je suis allé les voir ensuite, pour leur montrer leur erreur, mais ils ne m'ont pas cru

je manque d'imagination pour les password...
sinon l'arborescence est sympa  
http://www.******.com/html/
http://www.******.com/images/
 
une erreur serveur...
http://www.***.com/%3f
 
--auto-censured--

j'avais même pas essayé ca
je me suis occupé de faire des scripte en Perl

Pas besoin de citer les sites pour leur faire de la mauvaise pub, ca ne peut que t'attirer des emmerdes  

Le listing des fichiers m'a intrigué, je me demandais quel serveur Web générait des pages de ce type. Ca vallait le coup de regarder
 
The site www.***********.com is running WebSitePro/2.5.8 on NT4/Windows 98
 

je trouve aussi, mais à partir du moment ou SteF_DOBERMANN les a averti, je trouve que c'est de la négligence s'ils ne corrigent pas leur site...

 
oui mais de les citer comme bourrés de failles ne peut qu'engager ta responsabilité cfr pleins d'affaires célèbres en france  (oui je sais toi et moi on est belches une fois ).
 
Mais faut qu'il se rapelle que les gens analysent les referer sur leurs sites et qu'avec ces propos ils savent très bien qui il est  

certe oui, mais la société qui a fait ce site a fermé depuis bien longtemps et cette "faille" date de plus de 2 ans

Bah quand même, vaut mieux être prudent par le temps qui courrent...

oué c vrai, mais faire des erreur pareille, fo pas abuser non plus
 
soit dite en passant, je n'est donné ni le passe, ni la solus
n'importe quel d'entre vous auriez pu tomber sur ce site, et trouver la supercherie  

bon que vous donniez pas les adresses des sites, je peux le comprendre... ces temps ci vaut mieux éviter d'en savoir trop (surtout en france enfin c pas le sujet), mais donner au moins des détails sur les failles histoire que ce soit instructif...

c koi le truc ki ya en ce moment ?
chuis pas trop au courant

Il y a un cybermarchand bien connu sur le forum qui a de belles failles également. Le suivi des commandes est accessible sans identification et sans cookies à partir du moment où on passe le bon paramètre dans l'URL :
 
http://clients.xxxxxxxxx.com/clien [...] XXXXXXXXXX
 
Je ne parlerais même pas du détail d'une commande (avec coordonnées complètes du client) qui est accessible en remplacant le n° de commande dans l'URL par n° de commande + 1
 
Ca fou en l'air de voir que certains Webmasters sont payés des fortunes pour maintenir des sites pareils

à la limite du démoralisant, je me prend la tête pour tenter de faire des accès sécurisé, des truc qui tienne la route,
mais quand je lit des truc pareille, ca m'énerve au plus haut point  

Sans déconner, le JavaScript sur tous ces sites de « professionnel » (nom cul ), c'est pour impressionné le décideur ? Parce que même quand il n'y a pas de faille de sécu, utiliser une fonction pour faire un lien, c'est totalement idiot !

 
pardon j'ai pas compris là...

 
c'était pas particulièrement pour toi tu sais (et puis maintenant c'est corrigé)

 
vraiment pas
ça t'as réveiller un souvenir d'enfance?