ma femme s’inscrivant au Cnam, me demande confirmation avant de rentrer sa carte bleue:
- Le site est bien en https
- Le domaine est paybox, très utilisé par les sites marchands
- Le certificat est de type Extended SSL, Internet Explorer a mis le fond vert dans la barre d’adresse
Je donne donc mon feu vert…30 secondes plus tard, une belle erreur SQL pas gérée du tout:
Pour une école, donnant notamment des cours informatique, cela me parait très léger:
- Ils ne devraient utiliser que des procédures stockées
- L’erreur n’apprend rien au client (il est censé prendre des cours d’informatique au mieux…)
- Elle apprend par contre à un pirate que le code du site a des faiblesses, et qu’il y a sûrement moyen de faire des injections SQL.
La seule bonne nouvelle, c’est que Paybox ne renvoi que le début de la carte bleue au site du cnam, qui n’affiche donc qu’une information partielle.
Ca fait froid dans le dos effectivement
ça la fout mal surtout pour la plateforme de paiement sécurisé…
ce qui est clair c’est que le CNAM n’a pas respecté les consignes d’intégration préconisées par PAYBOX