Xevia AccueilBlogActualitésA propos

Lockerz epic fail

Vous ne connaissez pas Lockerz ? C'est une sorte de réseau social où l'on est récompensé pour toutes les actions qu'on y fait. Par exemple, regarder des vidéos des amis rapporte des points (les PTZ) que l'on peut ensuite utiliser pour obtenir une réduction sur certains articles. On peut aussi bénéficier de réductions dans des boutiques ou restaurants partenaires. Une page du site permet même de trouver les enseignes disponibles dans un lieu donné. Quand on voit l'URL de la page qui traite les requêtes — du style lockerz.com/dealz/lieu — on a l'irrésistible envie d'insérer des caractères inattendus du genre "<" ou ">" (pour tenter une attaque XSS, pourquoi pas) ... ce qui provoque une erreur HTTP 500 (Internal Server Error). Conclusion : le site ne sait pas gérer les caractères incongrus ... mais je doute que l'on puisse exploiter cette "faille". Chose amusante, le serveur est quand même programmé pour afficher un message d'erreur lorsqu'il est incapable de traiter la requête ! La preuve : en insérant le caractère "/", un astronaute nous signale que le serveur est surchargé — ce qui n'est pas le cas bien entendu. Sur la combinaison de l'astronaute on a écrit le code "404", qui est le code renvoyé par un serveur lorsqu'une ressource est inexistante. Et le titre de la page indique que le serveur a rencontré une erreur 500. Ce qui fait trois affirmations différentes sur le même bogue. Lockerz.com aurait-il des développeurs dignes de ce nom ?

Lockerz.com epic fail

http://lockerz.com/dealz