Voilà encore un peu de lecture pour la nouvelle année :) C'est pas le genre de blog post qui va sauver la vie des auditeurs confirmés, mais pour ceux qui débutent ça peut bien aider :D, et sinon une piqure de rappel ça ne fait jamais de mal !

Quelques slides trouvés grâce à d4n3ws, qui présentent les grandes fuites d'information (et vulnérabilités) pouvant être présentes sur les outils de développements. Il est vrai qu'on ne compte plus les .svn (et autres) perdus que l'on trouve pas mal sur certains serveurs web (en prod :p). Mais il ne faut pas non plus négliger les autres sources d'informations. Petite liste de choses que j'ai eu l'occasion de rencontrer récemment :

• Wiki dev/admin prod exposé avec des mots de passe beaucoup trop simple;
• Jenkins : de même exposé avec des mots de passe beaucoup trop simple;
• Outils de gestion de bug à destination de développeurs internes exposé et non à jour;
• Les jolis commentaires dans un xml qui devaient visiblement pas restés dans la version de production;
• Un serveur de préprod exposé avec une archive ... contenant toutes les sources de l'application web :D;
• J'en passe et des meilleures (les questions d'implémentations de certaines fonctions sur des forums diverses et variés par exemple) ...

Bref quand on a un grand périmètre et peu de temps, oui 95% des audits donc, la recherche d'information ça sauve la vie parce qu'on a pas la chance de toujours tomber sur des JMX-consoles de vieux JBoss exposés sur d4 w3b :) (<= Même si ça m'est arrivé très récemment :)).

Have fun !