Journal de Bord

Ces informations ne sont pas destinées à être partagées à des pirates mais bien de faire prendre conscience de la nécessité d'une politique globale en faveur d'une sécurité transparente. Je ne serais pas responsable de toutes mauvaises utilisations de ces informations dans le cas où l'entreprise n'a pas pris au sérieux mon alerte.

J'ai reporté les vulnérabilités en question mais je n'ai pas eu de réponses et vu que c'est problématique, je fais un reporting. Tout d'abord, il faut savoir que c'est un report pour toute la structure Securitest qui corresponds à 3 filliales : Securitest, Autosecurite et Verifautos

Je confirme la présence de vulnérabilités de type XSS sur tous les paramètres de ce fichier. Donc sur, par exemple, un sous-domaine de VerifAutos, ça donnerait : https://ittenheimcontrole.verifautos.fr/rdv_agenda_7j/form_rdv.php?config=%22%3E%3Cscript%3Ealert(%27Faille%20XSS%20d%C3%A9tect%C3%A9%20!%27)%3B%3C%2Fscript%3E&id=&offre_promo=&type_carb=&type_veh=&visite=

Et parce que je n'aime pas tester les choses à moitié, la preuve que la vulnérabilité présente un intérêt à être exploitée : https://ittenheimcontrole.verifautos.fr/rdv_agenda_7j/form_rdv.php?config=%22%3E%3Cscript%3Ealert(document.cookie)%3B%3C%2Fscript%3E&id=&offre_promo=&type_carb=&type_veh=&visite=

Implémenter Cake était certes une bonne idée mais éviter que cela se produise, ce serait encore mieux car Cake n'est pas absolu du tout donc il serait bien pour eux de mieux contrôler les entrées / sorties car XSS + SQL, ça fait 'un peu' code sans contrôle.

Lire davantage...

Ces informations ne sont pas destinées à être partagées à des pirates mais bien de faire prendre conscience de la nécessité d'une politique globale en faveur d'une sécurité transparente. Je ne serais pas responsable de toutes mauvaises utilisations de ces informations dans le cas où l'entreprise n'a...

Lire davantage...

Ces informations ne sont pas destinées à être partagées à des pirates mais bien de faire prendre conscience de la nécessité d'une politique globale en faveur d'une sécurité transparente. Je ne serais pas responsable de toutes mauvaises utilisations de ces informations dans le cas où l'entreprise n'a...

Lire davantage...

Ces informations ne sont pas destinées à être partagées à des pirates mais bien de faire prendre conscience de la nécessité d'une politique globale en faveur d'une sécurité transparente. Je ne serais pas responsable de toutes mauvaises utilisations de ces informations dans le cas où l'entreprise n'a...

Lire davantage...

Ces informations ne sont pas destinées à être partagées à des pirates mais bien de faire prendre conscience de la nécessité d'une politique globale en faveur d'une sécurité transparente. Je ne serais pas responsable de toutes mauvaises utilisations de ces informations dans le cas où l'entreprise n'a...

Lire davantage...