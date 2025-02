La principale tare du site se trouve dans la conception de sa base de données. Au lieu d'implémenter une architecture multicouche sécurisée, le site utilise une connexion directe à sa base de données, accessible sans vrai mécanisme d'authentification robuste. Cette configuration expose l'interface de gestion des données à quiconque possède les connaissances techniques basiques pour identifier les points d'accès. Toute modification ou publication de contenu indésirable est donc possible.

C'est exactement ce qu'on fait les deux experts ayant repéré cette faille béante, en insérant des entrées non autorisées dans cette base de données aussi fragile qu'un mur de paille. Les messages « this is a joke of a .gov site » (« Ce site gouvernemental est une farce") et « THESE 'EXPERTS' LEFT THEIR DATABASE OPEN -roro » (« Ces "experts" ont laissé leur base de données ouverte ») sont apparus directement sur le site en production. Messages un peu moqueurs qui sont restés visibles durant quelques heures.

Cela signifie donc, d'une part, qu'il y a une absence totale de validation des entrées, qui permet l'injection directe de code HTML et JavaScript dans la base de données. D'autre part, l'inexistence de mécanismes de vérification d'intégrité signifie que les modifications apportées à la base de données sont automatiquement répercutées sur le site sans aucune validation ni historisation des changements.