Hadopi : serveur de test, config de test… dump des passwords de test
Une fois de plus, un internaute nous signale une application web de l’HADOPI qui n’aurait jamais du se retrouver accessible publiquement sur le Net.
L’application en question est Ajaxplorer. Quand on se présente sur la page d’accueil, tout va bien puisque cette derniere demande quand même une authentification.
Sauf que voilà, c’est surement de la faute à pas de chance, mais une fois de plus, le serveur web, probablement un serveur de test, est configuré avec les pieds. C’est même un festival de mauvaises pratiques, une négligence caractérisée et caractéristique qui consiste à ne pas apporter la sécurité élémentaire nécessaire à une application de test, comme à toute autre application… et ce sont des mots de passe, pas de test du tout ceux là, qui se retrouvent sur le Net :
- pas de htaccess
- le listing des répertoires non indexés est activé
- l’authentification à l’application est contournable en 2 clics
- fichiers de configuration et mots de pass utilisateurs à l’air libre
L’application n’étant plus en ligne, l’HADOPI a réagi instantanément après que nous les ayons alerté, nous nous permettons de vous montrer ce qui est montrable :
Sur cette dernière capture le dernier fichier, « user.ser », comme son nom l’indique, contient les utilisateurs et mots de passe à l’application :
Moralité, la sécurité, même sur une application de test, ce n’est pas une option.
… From the intertubes with love
Billets en relation :
42 
159 
12 
Envoyer cet article par courriel
Quel est votre nom
Veuillez indiquer ci-dessous les adresses courriel de ceux à qui vous souhaitez envoyer cet article: Hadopi : serveur de test, config de test... dump des passwords de test
Entrez une adresse courriel par ligne sans dépasser un total de 5.
S'abonner
Si vous avez apprécié cet article, abonnez vous gratuitement pour ne plus rien manquer.
ahahahaahahaha … scandaleux quand même…
Possible de savoir comment vous avez bypassé l’authentification? Je l’utilise également, rien de précieux mais quand même
si ton serveur est correctement configuré, avec un htaccess et directory listing denied, aucun probleme.
C’est le cas, tout va bien.
Ce sont tout de même de rude boulet, la doc précise bien qu’il faut faire le .htaccess avec les dossiers a protégé.
@damien_dailleur je verrai bien un admin:admin =)
« l’authentification à l’application est contournable en 2 clics » tu aurais un lien explicatif là dessus ? (en fait, même demande que damien_dailleur…)
Etape 1 afficher le code source de la page
Etape 2 cliquer sur n’importe quel lien interne de l’application et remonter dans l’arbo d’un repertoire
Et hop… c’est le drame.
je suis pas un specialiste de apache, mais apparement dans la doc, c est marqué « In general, you should never use .htaccess files unless you don’t have access to the main server configuration file. » et « However, in general, use of .htaccess files should be avoided when possible. Any configuration that you would consider putting in a .htaccess file, can just as effectively be made in a section in your main server configuration file. »
(cf http://httpd.apache.org/docs/2.0/howto/htaccess.html)
donc le probleme c est plutot qu ils autorisent le listing du contenu des repertoires et qu ils n ont pas verrouilles les acces avec htacces ou
pas besoin de .htaccess si le vhost est bien paramétré …
Ah oui, aussi simple que ça, pourant un HT access ça se configure en 5 minutes …
Je crois que le htaccess fait parti des mauvaises pratiques (et habitudes) de sécurité. D’ailleurs je crois que nginx ne prend pas en charge les htaccess
Les .htaccess sont plutôt un problème de performance.
Faire un open recursivement sur .htaccess avant le traitement de chaque requête est lourd.
Effectivement, le .htaccess a tendance a ralentir le serveur puisque apache doit parcourir chaque répertoire et sous répertoire. Si il n’y a pas trop de traffic, c’est pas gênant, autrement, il est conseiller d’utilisé la directive « Directory » dans le vhost.
Comment est-ce possible ce genre d’erreurs dans une institution, vraiment étrange les admin de l’hadopi.
C’est pourtant pas compliqué :
Order Allow,Deny
Deny from all
Options None
AllowOverride None
Et ensuite on ouvre les droits au cas par cas.
A+
C’est bon, ce ne sont que 42% des mots de passe…
Putain, j’ai mal à mes impôts, là…
http://ajaxplorer.info/resources/tmp/
http://ajaxplorer.info/resources/tmp/Pro_Tools_MP_803_Updater_63859.dmg , 1.6Giga !
Et http://ajaxplorer.info/resources/tmp/access.sftp.zip , sert à quoi? :p
C’est drole, google permet de retrouver certains des utilisateurs :
Anna BUTLEN, Responsable juridique de droit public à l’HADOPI
Fabien LEBRET Chef de projet junior chez HADOPI
Benjamin HAINAULT. Chef de Projet S.I. chez HADOPI
Eric Walter, ex-conseiller aux NTIC de Nicolas Sarkozy, au poste de secrétaire général de la Hadopi ….
Le DSI de la Hadopi, Stephan Edelbroich