Protocole D'alerte Zataz : Sites Pro Uniquement ? |
Bienvenue invité ( Connexion | Inscription )
  |
Protocole D'alerte Zataz : Sites Pro Uniquement ? |
 Nov 5 2010, 08:30 PM
Message
#1
|
|
|
Nouveau membre Groupe : ZATAZien Messages : 2 Inscrit : 5-November 10 Membre no 12,869  |
Bonjour,
je suis ingénieur informatique et la sécurité des sites web est un sujet qui m'intéresse depuis plusieurs années a mes heures perdues. Il m'est arrivé de découvrir (même des fois par hasard ;o) des failles dans certains sites et jusqu'à présent j'avais contacté le webmaster afin qu'il puisse corriger son site. Cependant, ce n'était pas une activité a laquelle je m'adonnais tout les week end non plus (1 site de temps en temps tout les 4 ou 6 mois, au hasard des liens) Depuis quelques temps je pensais aller "plus loin" en faisant exactement ce que fait vous faites : Découvrir des failles (mais vous vous faites aider par vos lecteurs également), avertir les responsables, assurer un suivi et publier la faille une fois qu'elle est corrigée (si le responsable l'autorise) Bref, faire un vrai site de "Grey Hat" dédiée aux applications web. Puis je suis tombé sur ZATAZ que je ne connaissait que de nom et que je n'avais jamais vraiment visité. J'apprécie beaucoup vos principes et votre protocole d'alerte, et je vais probablement participer à ce site plutôt que de monter le mien... Cependant, j'aurais une question sur les sites signalés : Je n'ai vu que des sites pro ou fait par des professionnels. Je me doute bien que ce serait un travail de titan si vous vous intéressiez aux sites persos, réalisés par des autodidactes qui n'ont aucune notion de sécurité... mais pourtant ces sites ont des failles aussi, et ces failles des conséquences. Que puis-je faire si je trouve un site perso contenant une faille permettant d'accéder a la liste des membres du site, avec adresse mail & mot de passe en clair ? en sachant que certaines adresses mails sont des adresses de société, et qu'il est donc potentiellement possible d'accéder aux contenus de ces mails si les mots de passe sont identiques (je ne les aient pas testés) Pour le moment j'ai contacté le webmaster mais mon mail reste sans réponse. J'ai pensé a contacter directement les membres concernés (une dizaine, dont 4 ou 5 avec des mails de société, c'est pas énorme mais bon), qu'ils puissent retirer leurs infos de ce site, mais je pense qu'ils le prendront plus mal que le webmaster. Est-ce que ce genre de cas peut vous être soumis ? |
 |
 
|
|
Nov 5 2010, 10:38 PM
Message
#2
|
|
 redacteur en chef  Groupe : ZATAZ Admin Messages : 841 Inscrit : 7-May 05 Lieu : Lille Membre no 3 |
Bonjour,
D'abord merci pour votre message. Il faut savoir que nous ne cherchons AUCUNE faille. D'abord parce que cela n'est pas notre métier, ensuite et surtout parce que la loi l'interdit sans l'accord des sites "audités". Pour ce qui est des sites pros ou non, nous ne parlons que de 10% des cas rencontrés. Cette année, en 2010, nous allons atteindre les 1.000 sites alertés, dans le lot, près de 40% de sites persos. -------------------- Cordialement
Damien Bancal Rédacteur en chef de ZATAZ Journal |
|
|
|
|
Nov 5 2010, 10:56 PM
Message
#3
|
|
|
Nouveau membre Groupe : ZATAZien Messages : 2 Inscrit : 5-November 10 Membre no 12,869 |
Ok, merci de votre réponse rapide, je prend donc ca pour un oui (ce genre de site peut vous être soumis ;o)
Oui, je comprends que vous ne cherchiez aucune faille, cela se comprend qu'au niveau juridique vous ne pouviez être a la fois l'intermédiaire (rôle plus défendable au niveau légal) et le découvreur (souvent illégal et difficilement défendable, même si c'est fait dans une optique d'amélioration globale de la sécurité du réseau) |
|
|
|
| |
|
Version bas débit | Nous sommes le : 22nd May 2013 - 12:27 AM |
