[coup de gueule] Wethenew qui se fout des données personnelles

J'ai commandé des chaussures hier.

Je viens de remarquer à l'instant que les URL des factures qu'on peut télécharger sur WETHENEW pour nos achats ne demandent pas d'authentification pour y accéder, ce qui veut dire que TOUT PERSONNE ayant accès à l'URL peut y accéder et afficher des informations de commande, de facturation, y compris les noms, prénoms, adresses et le contenu des achats.

L'url est de type : https://wethenew.com/apps/download-pdf/un id composé de 20 caractères de lettres et de chiffres/un autre id de 17 chiffres/un autre id 6 de chiffres.pdf.

Niveau sécurité et confidentialité, ça me semble moyen. Via une attaque par force brute, ça prendrait combien de temps pour tomber sur une facture d'un random ?

Ils ont dû générer des milliers de factures, donc le temps pour tomber sur une facture ne doit pas être colossal, si ?

Je suis solo au taf aujourd'hui, je vais essayer ça à l'aide de chat gpt

Pour les 20 caractères chiffres et lettres :

"Ce script génère une chaîne de caractères aléatoires de longueur 20 à chaque itération de la boucle while, et l'ajoute à l'URL https://wethenew.com/apps/download-pdf/ pour créer une nouvelle URL unique. Le nombre maximum d'itérations est fixé à 10^20, soit le nombre total de combinaisons possibles de 20 caractères alphanumériques. Notez que l'exécution complète de ce script peut prendre un temps considérable en raison du grand nombre d'itérations nécessaires."

Bon à mon avis je n'y arriverai pas mais je vais quand même tester

Le 28 mars 2023 à 11:37:37 :
Ok l'otaku de sneakers

csc

Le 28 mars 2023 à 11:42:00 :
Je suis en train de vérifier tes dires avec un DirBuster, on verra bien

Le premier qui tombe sur une facture a gagné

Le 28 mars 2023 à 11:43:55 :

Le 28 mars 2023 à 11:42:00 :
Je suis en train de vérifier tes dires avec un DirBuster, on verra bien

Le premier qui tombe sur une facture a gagné

Je pars manger la, je verrai quand je reviens

edit : ça te ressort bien un fichier en .pdf on est d'accord? (que je bruteforce pas sur du .pdf alors que finalement ça sort de l'html )

Le 28 mars 2023 à 11:42:00 :
Je suis en train de vérifier tes dires avec un DirBuster, on verra bien

Je connaissais pas DirBuster ça a l'air bien pour faire des carabistouilles

Le 28 mars 2023 à 11:45:15 :

Le 28 mars 2023 à 11:43:55 :

Le 28 mars 2023 à 11:42:00 :
Je suis en train de vérifier tes dires avec un DirBuster, on verra bien

Le premier qui tombe sur une facture a gagné

Je pars manger la, je verrai quand je reviens

edit : ça te ressort bien un fichier en .pdf on est d'accord? (que je bruteforce pas sur du .pdf alors que finalement ça sort de l'html )

ayaa oui c'est un .pdf
et j'ai mis la config exacte de l'url

Le 28 mars 2023 à 11:46:49 :

Le 28 mars 2023 à 11:45:15 :

Le 28 mars 2023 à 11:43:55 :

Le 28 mars 2023 à 11:42:00 :
Je suis en train de vérifier tes dires avec un DirBuster, on verra bien

Le premier qui tombe sur une facture a gagné

Je pars manger la, je verrai quand je reviens

edit : ça te ressort bien un fichier en .pdf on est d'accord? (que je bruteforce pas sur du .pdf alors que finalement ça sort de l'html )

ayaa oui c'est un .pdf
et j'ai mis la config exacte de l'url

Yep j'ai lu ton JS après, dirbuster c'est connu dans le milieu, ça permet de bruteforce des appli web en te basant sur des wordlists ou de la génération aléatoire selon tes besoins

Le 28 mars 2023 à 11:51:30 :
Ayaaaa j'ai fait planter le pc

Finalement non, le pc est de retour car le script s'est interrompu

Le 28 mars 2023 à 11:51:30 :
Ayaaaa j'ai fait planter le pc

Go DirBuster + Proxy pour pas te faire ban

Le 28 mars 2023 à 11:50:15 :
Bonne chance pour brute force une combinaison d'ids uniques
J'espère que t'as une machine quantique

Issou je me suis dit sur un malentendu ya moyen de tomber sur une facture

Le 28 mars 2023 à 11:51:02 :

Le 28 mars 2023 à 11:46:49 :

Le 28 mars 2023 à 11:45:15 :

Le 28 mars 2023 à 11:43:55 :

Le 28 mars 2023 à 11:42:00 :
Je suis en train de vérifier tes dires avec un DirBuster, on verra bien

Le premier qui tombe sur une facture a gagné

Je pars manger la, je verrai quand je reviens

edit : ça te ressort bien un fichier en .pdf on est d'accord? (que je bruteforce pas sur du .pdf alors que finalement ça sort de l'html )

ayaa oui c'est un .pdf
et j'ai mis la config exacte de l'url

Yep j'ai lu ton JS après, dirbuster c'est connu dans le milieu, ça permet de bruteforce des appli web en te basant sur des wordlists ou de la génération aléatoire selon tes besoins

Tu me diras si ça marche, je garderai un oeil sur le topic

Le 28 mars 2023 à 11:53:36 :
mérité

Abon

Le 28 mars 2023 à 11:52:58 :

Le 28 mars 2023 à 11:51:30 :
Ayaaaa j'ai fait planter le pc

Go DirBuster + Proxy pour pas te faire ban

Trop tard

217 000 requêtes ? C'est beaucoup quand même