The Audit Horror Picture Show

Un estimé collègue a trouvé ça lors de l’audit de l’application d’un client :

<form name="form1" method="post">
<input type="hidden" name="query" value="SELECT * FROM utilisateurs WHERE code_mouvement IN ('APH','IPH','NPH') ORDER BY id_utilisateur" />
<input type="submit" value="Utilisateurs" />
</form>

Fear.

16 réponses sur “The Audit Horror Picture Show”

  1. Zut. Je pensais voir une photo de toi en porte-jartelles/bas résille et rouge à lèvres pétaradant en voyant ce titre.
    Déçue…

  2. Y a de quoi faire un flim d’horreur geek

    avec des gens qui surfent avec IE 5…
    sous WinMe…
    inscrits chez AOL…
    ils vont remplir leur skyblog…

  3. SELECT * FROM developpeurs WHERE skill_description NOT IN (‘Dangereux’,’Irresponsable’,’Abruti’,’A une certification Microsoft’,’Doit prendre des cours HTML’) ORDER BY skill_level DESC

  4. En fait, le mec a collé sa requête SQL en plein dans la page web : on voit donc quelques infos sur la structure de la base, mais surtout on va pouvoir modifier cette requête pour en faire ce que l’on veut !

  5. ben après l’explication limpide du maitre des lieux, j’ai aussi compris le problème :)
    Je code plus depuis des siècles, mais mes restes d’analyse me font herisser les poils rien qu’en pensant qu’on peut être niais à ce point et faire des trucs pareils :D

  6. En effet le fameux dev n’a peur de rien…
    Si il fait un $query = $_POST[« query »]; on va dire qu’il est pas aussi bête que ça (enfin une requete en hidden c’est beau quand même…)
    Mais si par « malheur » il fait un $query = $_REQUEST[« query »]; la effectivement il est mort car on pourra passer une nouvelle requete directement en parametre dans l’url malgré que le form soit en post.

    PS: blog trés sympas remouk, continue ! :)

    Stv.

  7. @Stv: On peut modifier le contenu d’un champ hidden très facilement, en javascript ou bien avec des outils comme la WebDeveloperToolbar de Firefox. Sinon, on peut enregistrer la page sur son disque, la modifier et l’utiliser, ou encore créer sa propre requête et l’envoyer… Les possibilités sont nombreuses et très accessibles !

    Merci pour le compliment. ;)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *