Souvent ; sur les sites web on trouves des erreurs bêtes, et tellement communes.
Aujourd'hui, je vais vous parler de adopteunmec.com.
Vous savez, ce site de rencontre au concept relativement novateur qui
range les hommes au rang de produits de consommation pour ces dames.
Bon, je vous l'avoue. Sur les conseils de plusieurs personne je m'y suis inscrit. Mais bref là n'est pas la question.
Au travers de mes visites ; je me suis rendu compte d'un bug qui peut s'avérer gênant.
Gênant à la fois pour les utilisateurs du site, mais aussi pour la société qui administre ce dernier.
Ce bug permet à n'importe qui de consulter des images qui ont été normalement "supprimés" par un utilisateur.
Voire même encore plus drôle, ces même photographies illustrant un
compte sont toujours consultables, même une fois le compte en question
supprimé !
Je prend donc le risque de publié, même sans autorisation de leur part, une petite explication pour exploiter ce bug.
Tant pis pour eux, moi j'ai ma conscience pour moi.
En fait, n'importe qui ayant un minimum de jugeote et de connaissance en html pourrais trouver comment faire tout seul.
Quand je parles de connaissances, c'est vraiment le strict minimum requis. Il suffit juste d'y penser, vous aller voir.
Pour mieux expliquer, je vais prendre comme exemple mon profil sur ce site : http://www.adopteunmec.com/Methylbro
Affichez la source sur cette page, et regardez du côté de la ligne 314. Cela concerne les paramètres pour l'affichage des photographies du membre en javascript (le petit effet AJAX là).
Nous avons donc la déclaration suivante :
var path = 'http://p4.adopteunmec.com/4/9/2/1/0/4/';
var images = [];
images[images.length] = {file:'2.jpg', id:1075519, score:4.5};
images[images.length] = {file:'3.jpg', id:1075523, score:2.5};
images[images.length] = {file:'4.jpg', id:1180577, score:2.5};
images[images.length] = {file:'5.jpg', id:1180579, score:2.5};
images[images.length] = {file:'6.jpg', id:1180581, score:2.5};
images[images.length] = {file:'7.jpg', id:1233771, score:2.5};
images[images.length] = {file:'8.jpg', id:1233825, score:2.5};
Donc, par supposition avec ces lignes, nous savons que les photos pour se situent dans le répertoire p4.adopteunmec.com/4/9/2/1/0/4/.
En dessous, nous voyons que les photos dans se répertoires se nomment 2.jpg, 3.jpg et etc.
Mais ou sont passés 1.jpg et les autres ? !
Après quelques recherches on s'apercevra donc que les photos qui devrais normalement être supprimés et indisponibles le sont encore en réalité !
Par exemple : http://p4.adopteunmec.com/4/9/2/1/0/4/image9.jpg devrais être supprimé sur mon profil ... pourtant, comme vous le voyez, vous pouvez encore la consulter.
Voilà. Vous pouvez donc voir toutes les photos qui devrais normalement être supprimés, ou même modérés ou pire ! Les photos des comptes supprimés du moment que vous avez l'url de l'une d'entre elles.
Là ou ce serais bien marrant, et c'est une chose que je n'ai pas encore pris le temps de vérifier. C'est que des moteurs de recherche de type crawler comme google soit autorisés à indexer ces répertoires... Donc vous pensiez avoir supprimé une photo ? Et bien non, celle-ci serais encore disponible via des moteurs de recherche !
Le web vous surveille je vous dit ^^
Jeu de briques
Snake
Pacman
Bubble
LES COMMENTAIRES (4)
posté le 01 octobre à 06:47
scenarios atlantic scheme pre lower further few
posté le 01 octobre à 06:44
area level volunteer main