Alors celle-là… je ne m’y attendais pas. Je testais simplement des trucs pour explorer les limites de mon propre raccourcisseur d’URL klii.cc, quand un petit “hack” improbable m’a ouvert une porte inattendue.

Je voulais personnaliser un lien, comme d’habitude. Genre, raccourcir un lien YouTube avec le nom imgur juste pour le fun. Et là, j’ai tapé :

/id=1%20OR%201=1--imgur

🔥 BOOM. Pas d’erreur. Pas de rejet. Le lien a été validé… avec le nom imgur, comme si de rien n’était.

Je n’ai pas tout de suite compris. Puis j’ai réalisé : le système avait exécuté littéralement la partie 1=1 comme une requête logique. Oui, comme une vieille injection SQL, sauf que là… c’est probablement autre chose. 😅

Est-ce que ça veut dire que je peux m’approprier n’importe quel lien personnalisé ? Est-ce que quelqu’un d’autre peut le faire ? Est-ce que ce bug existe encore pendant que vous lisez ces lignes ? 🤐

Une seule chose à dire : n’essayez surtout pas de créer un lien personnalisé comme ça. Ce serait bête de faire planter le système. Ou pire... de découvrir autre chose.

⚠️ Ceci n’est PAS un conseil. C’est une alerte déguisée 😇