0
mercredi 18 juillet 2012
Faille de sécurité                              Mon figaromercredi 18 juillet 2012
Faille de sécurité                              Mon figaro              Mon figaro - reserve au abonnés                     ...
CMS Drupalmercredi 18 juillet 2012
CMS Drupal                           Over 10 years of development                           Hundreds of thousands of sites...
CMS Drupal                           Over 10 years of development                           Hundreds of thousands of sites...
Who use Drupal                                         Al Jazeera                                           AT&T          ...
Faille de sécurité Mon Figaro :                                  les explications techniques                           htt...
Explications techniques                           http://lanetscouade.com?search=drupal&page=2                            ...
Faille du «Pager» de Drupal                            http://lanetscouade.com?search=drupal&page=1                       ...
Mon figaro                                 http://lanetscouade.com?search=drupal&page=1                                    ...
Cache & google indexation                                                    User Request page                            ...
pager_get_querystring()                            Patched on july 2009mercredi 18 juillet 2012
The Drupal way of handling forms                                http://lanetscouade.com?search=drupal&page=1              ...
Erreurs du figaro                              Custom form                           password field namemercredi 18 juillet ...
Reactions sur twittermercredi 18 juillet 2012
Conclusionmercredi 18 juillet 2012
Upcoming SlideShare
Loading in...5
×

Explication de la faille du Figaro

450

Published on

Published in: Technology, News & Politics
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
450
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Explication de la faille du Figaro"

  1. 1. mercredi 18 juillet 2012
  2. 2. Faille de sécurité Mon figaromercredi 18 juillet 2012
  3. 3. Faille de sécurité Mon figaro Mon figaro - reserve au abonnés Drupal 6 poweredmercredi 18 juillet 2012
  4. 4. CMS Drupalmercredi 18 juillet 2012
  5. 5. CMS Drupal Over 10 years of development Hundreds of thousands of sites Millions of downloads Over 5000 contributed modules 881,780 people in 228 countries speaking 181 languages power Drupalmercredi 18 juillet 2012
  6. 6. CMS Drupal Over 10 years of development Hundreds of thousands of sites Millions of downloads Over 5000 contributed modules 881,780 people in 228 countries speaking 181 languages power Drupalmercredi 18 juillet 2012
  7. 7. Who use Drupal Al Jazeera AT&T Bob Dylan - Britney Spears - M. Jackson LinkedIn whitehouse.gov London.gov.uk Paypal Cern Twitter lanetscouademercredi 18 juillet 2012
  8. 8. Faille de sécurité Mon Figaro : les explications techniques http://figaro.fr?login=xinhui&commentaire_password=xxxx&page=1 Indexed by google Korbenmercredi 18 juillet 2012
  9. 9. Explications techniques http://lanetscouade.com?search=drupal&page=2 Données GET : Transite en claire dans l’url Données POST : Invisiblemercredi 18 juillet 2012
  10. 10. Faille du «Pager» de Drupal http://lanetscouade.com?search=drupal&page=1 http://lanetscouade.com?search=drupal&page=2 http://lanetscouade.com?search=drupal&page=3 pager_get_querystring() $_REQUEST contient $_GET & $_POSTmercredi 18 juillet 2012
  11. 11. Mon figaro http://lanetscouade.com?search=drupal&page=1 Step 1 : Envoie des données post Step 2 : Traitement du formulaire & affichage de la page pager_get_querystring() recupe les données post via $_REQUEST http://lanetscouade.com?login=adminadmin&pass=xxxxxx&search=drupal&page=1 http://lanetscouade.com?login=adminadmin&pass=xxxxxx&search=drupal&page=2 http://lanetscouade.com?login=adminadmin&pass=xxxxxx&search=drupal&page=3mercredi 18 juillet 2012
  12. 12. Cache & google indexation User Request page Check if content exists in cache Yes no return cached content build content - build cache return content http://lanetscouade.com?login=xinhui&pass=xxxxxx&search=drupal&page=1 http://lanetscouade.com?login=xinhui&pass=xxxxxx&search=drupal&page=2 http://lanetscouade.com?login=xinhui&pass=xxxxxx&search=drupal&page=3mercredi 18 juillet 2012
  13. 13. pager_get_querystring() Patched on july 2009mercredi 18 juillet 2012
  14. 14. The Drupal way of handling forms http://lanetscouade.com?search=drupal&page=1 Step 1 : Envoie des données post Step 2 : drupal_process_form() & drupal_redirect_form() Step 3 : Affichage de la page http://lanetscouade.com?search=drupal&page=1mercredi 18 juillet 2012
  15. 15. Erreurs du figaro Custom form password field namemercredi 18 juillet 2012
  16. 16. Reactions sur twittermercredi 18 juillet 2012
  17. 17. Conclusionmercredi 18 juillet 2012
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×