Journal d'investigation en ligne et d'information‑hacking
par bluetouff

Hadopi : serveur de test, config de test... dump des passwords de test

Une fois de plus, un internaute nous signale une application web de l'HADOPI qui n'aurait jamais du se retrouver accessible publiquement sur le Net. L'application en question est Ajaxplorer. Quand on se présente sur la page d'accueil, tout va bien puisque cette derniere demande quand même une authentification. Sauf que voilà, c'est surement de la faute à pas de chance, mais une fois de plus, le serveur web, probablement un serveur de test, est configuré avec les pieds.

Une fois de plus, un internaute nous signale une application web de l'HADOPI qui n'aurait jamais du se retrouver accessible publiquement sur le Net.

L'application en question est Ajaxplorer. Quand on se présente sur la page d'accueil, tout va bien puisque cette derniere demande quand même une authentification.

Sauf que voilà, c'est surement de la faute à pas de chance, mais une fois de plus, le serveur web, probablement un serveur de test, est configuré avec les pieds. C'est même un festival de mauvaises pratiques, une négligence caractérisée et caractéristique qui consiste à ne pas apporter la sécurité élémentaire nécessaire à une application de test, comme à toute autre application... et ce sont des mots de passe, pas de test du tout ceux là, qui se retrouvent sur le Net :

  • pas de htaccess
  • le listing des répertoires non indexés est activé
  • l'authentification à l'application est contournable en 2 clics
  • fichiers de configuration et mots de pass utilisateurs à l'air libre

L'application n'étant plus en ligne, l'HADOPI a réagi instantanément après que nous les ayons alerté, nous nous permettons de vous montrer ce qui est montrable :

Sur cette dernière capture le dernier fichier, "user.ser", comme son nom l'indique, contient les utilisateurs et mots de passe à l'application :

Moralité, la sécurité, même sur une application de test, ce n'est pas une option.

... From the intertubes with love

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée