L’objectif est de faire prendre conscience de la nécessité d’une politique globale en faveur d’une sécurité transparente. Je ne saurais être tenu responsable de toutes mauvaises utilisations de ces informations dans le cas où l’entreprise n’a pas pris au sérieux mon alerte.


J’ai reporté cette faille. Je partage donc les détails :

  • Web : ASP.NET, Microsoft IIS 8.5, PHP 5.2.17
  • DBMS : Microsoft SQL Server 2012
  • OS : Windows 8.1 or 2012 R2
  • Utilisateur : sa
  • Nom de la BDD : PACHA
  • Hôte : SRV2K12\SQL2014
  • URL testé : http://www.rev-vacances.fr/print-programme.php / http://www.pachatours.fr/print-programme.php
  • Admin : Oui

Il est aisé de voir qu’en utilisant le compte administrateur pour gérer la base de donnée, toutes les données du serveur sont compromises par la même occasion.

Article Suivant Article Précédent