Articles / "Medium" sur le scanner. Jackpot en vrai.

"Medium" sur le scanner. Jackpot en vrai.

ump — Un mot de passe pourri new 2026-04-07 · Voir sur Substack ↗

Pas d'image extraite du Substack pour cet article. Les posts seront publiés sans image.
← Retour
📢 Tweet Teaser posted
294 chars
Avec lien Substack · Soir 18h30–20h · 30% du mix

Un finding "Medium" sur mod_status dans un scanner. Sévérité 5.3. Je l'ai ouvert en premier. 30 secondes plus tard : liste des tenants, API REST, IDOR potentiels, stack complète. 13 modules d'attaque. Zéro guesswork. https://unmotdepassepourri.substack.com/p/medium-sur-le-scanner-jackpot-en

📅 09/04 à 19h42 il y a 45j
✓ Publié 09/04 à 19h42
🧵 Thread approved
1788 chars
Lien en dernier tweet seulement · Midi 12h–13h30
1/8

1/ Un rapport scanner tombe. Des centaines de findings. En bas : "Apache mod_status accessible — Medium — CVSS 5.3". Le genre de truc qu'on met dans un ticket à 90 jours. Ou qu'on oublie. Cette fois, je l'ai ouvert en premier.

2/8

2/ mod_status, c'est l'état live de tous les workers Apache. Pour chaque requête en cours ou récente : - IP source - Méthode HTTP - URL complète avec paramètres - Vhost, temps de traitement Sans auth. Sans bruteforce. Juste /server-status.

3/8

3/ En 30 secondes sur cette cible : GET /dioces_xxxx_mp/rest/documents/5/content?mode=base64 PUT /xxxxx_mp/rest/groups/38/users PUT /dioces_xxxx_mp/rest/documents/5/actions/1 Ce que ça m'a donné :

4/8

4/ 1. Liste complète des tenants (multi-tenant SaaS documentaire + signature élec). 2. API REST avec IDs séquentiels → IDOR potentiel cross-tenant. 3. PUT sur /groups/{id}/users et /documents/{id}/actions → élévation de privilèges probable. 4. Stack trace Slim → oracle 404 JSON.

5/8

5/ Avec cet oracle, on distingue : - route inexistante (404 Slim structuré) - route existante mais refusée (401/403) Fini le fuzzing aveugle. On map l'API réelle en quelques minutes.

6/8

6/ Résultat : 13 modules d'attaque construits sur mesure. IDOR cross-tenant, workflow abuse, credential spray anti-lockout, bruteforce des tenants, énumération utilisateurs. Pas un scan générique. Un outil taillé sur ce qu'une page de debug a craché.

7/8

7/ Les scanners mettent "Medium" parce qu'ils ne savent pas lire ce qui transite. Toi, tu peux. mod_status n'est pas une info leak théorique. C'est une fenêtre live sur l'archi, la logique métier, les failles de design.

8/8

8/ L'article complet avec la méthodo, les patterns d'exploitation et ce qu'on a trouvé ensuite : https://unmotdepassepourri.substack.com/p/medium-sur-le-scanner-jackpot-en

📅 15/04 à 12h55 il y a 39j
💡 Standalone #1 posted
234 chars
Sans lien · Matin 7h30–9h · 70% du mix

mod_status accessible, c'est pas juste une info leak. C'est la stack trace live du serveur en prod. Les tenants, les IDs séquentiels, les PUT sur /groups/users, le framework. En 30 secondes, t'as la carte du SI. Pas théorique. Réel.

📅 13/04 à 07h46 il y a 41j
✓ Publié 13/04 à 07h46
💬 Standalone #2 posted
260 chars
Sans lien · Matin 7h30–9h · 70% du mix

Les scanners disent "Medium — CVSS 5.3" sur mod_status. Ils mesurent l'accès, pas ce qui transite. Moi j'ai lu 13 modules d'attaque dans cette page. IDOR cross-tenant, workflow abuse, oracle 404 Slim. La sévérité, c'est pas le CVSS. C'est ce que tu en fais.

📅 17/04 à 08h06 il y a 37j
✓ Publié 17/04 à 08h06
🔥 Provoc posted
257 chars
Sans lien · Valide avant de publier · Soir 18h30–20h

Si tu corriges mod_status "dans les 90 jours" parce que c'est marqué Medium, t'as rien compris au pentest. Cette page m'a donné la liste des tenants, l'archi API et 13 vecteurs d'attaque en 30 secondes. Le CVSS mesure pas l'intel. Il mesure la compliance.

📅 20/04 à 18h53 il y a 34j
✓ Publié 20/04 à 18h53