Les Patriotes, le réseau social que le Front National vient de lancer sur Internet est parsemé de vulnérabilités délirantes. Les piratages ont été légions, tellement nombreux que l’on se demande pourquoi le site est toujours en ligne.
Lancé en toute discrétion, le site piloté par Florian Philippot sert bien moins à mettre des internautes en relation qu’à récolter une masse de données personnelles. “Bienvenue au sein de la communauté des patriotes”, c’est ainsi que le réseau social du Front National s’affiche au lancement du site lespatriotes.net. Passons. Sauf qu’à la vue des divers failles de sécurité publiées en ligne un peu partout, les fans du FN inscrits ont bien du mouron à se faire. Le site Web semble effectivement truffé de bugs en tout genre, plus ou moins dangereux.
Beaucoup de personnes ont remarqué des erreurs de connexion à la base de données à répétition, erreurs qui apparaissent publiquement sur le site, livrant au passage le nom de la base de données et du serveur : lespatri27@mysql51-129.bdb. Pas top avouons-le… Sur la même lancée, le chemin absolu du serveur est présent à de nombreux endroits du site : /homez.644/lespatri/www/. Bref, les pirates pourront exploiter ces informations à leur guise !
On appréciera au passage le travail de modération qui doit être considérable :
Sur les réseaux sociaux, il y a pas mal de pirates qui se sont penchés sur ce nouveau site, avec lus ou moins de succès. Parmi les tentatives réussies, on notera la découverte de la possibilité de supprimer les images du blog et de publier des articles en usurpant le nom d’autres utilisateurs. De nombreux contenus publiés actuellement sont piégés, contenant du code JavaScript réalisant divers actions malveillantes, par exemple l’envoi massif de messages à la présidente du FN… beaucoup de failles XSS (permanentes et non permanentes) et de CSRF.
Pour finir, une capture d’écran publiée par TheDreamTeam montrant un déface (permanent à priori mais corrigé) de l’espace blog du site :
Ahlala, je resterais toujours grand fan de ce genre de commentaire , moi aussi je t’aime 🙂
Dit, tonton undernews, y’a moyen d’avoir l’iP&l’email (même si elle va être fausse) pour rire un peu :)?
Ouais, c’est du mutu ovh ahah, c’est ça qui est drôle
C’est du jolie en tout cas lol.
homez.. c’est du mutu ovh ca non ?
Hello !
Alors si, le deface des blogs était permanant, mais à été corrigé entre temps (d’ailleur, ils ont tellement mal corrigé les blogs que la lecture d’un article est devenu impossible a cause de l’encodage trop forcé en html xD)
Il à d’ailleur été aussi découvert qu’il est possble de supprimer les articles de blogs de n’importe qui, les requetes n’étant pas sécurisé et effectuée en AJAX.
Voilà d’ailleur de quoi agrémenter l’article :
http://puu.sh/8LbS5 -> Le fameux message d’erreur de connexion
http://puu.sh/8LkK1 -> Message d’erreur dévoilant nom de fichier d’affichage des blogs+url complète du serveur (mais elle est déjà présente au moins 15 fois dans le code source client ahah)
http://puu.sh/8LeNW -> Autre message d’erreur sur la page de recommandation
http://puu.sh/8LeGI -> Très beau Warning PHP si on tente d’uploader autre chose qu’une image
http://puu.sh/8Lc0s -> Encore un message d’erreur dévoilant l’adresse serveur du controlleur des blogs
bon “TheDreamTeam” avec votre team ecrit en anglais pour faire swag on croirait une team kikoulol theswagteam vous etes pathetique vous avait trouvé une faille sur le site de marine ne l’oublie pas a l’ecole t’est une victims et sur internet tu fait le “hacker” ou “lamz0r” allé baiz ta grand mere
Les commentaires sont fermés.