Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1759 connectés 

 


 Mot :   Pseudo :  
 
 Page :   1  2  3  4  5  6  7  8  9  10  11  12  13  14  15  16  17
Auteur Sujet :

La faille des forums presence pc enfin dévoilée!

n°576449
forummp3
@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@
Posté le 26-11-2003 à 11:03:22  profilanswer
 

Reprise du message précédent :

karamilo a écrit :

ouais mais nan en fait
c'est quoi ce binz ?  

jocebug [:aloy]


---------------
lecteur mp3 yvele's smilies jeux de fille
mood
Publicité
Posté le 26-11-2003 à 11:03:22  profilanswer
 

n°576451
forummp3
@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@
Posté le 26-11-2003 à 11:04:31  profilanswer
 
n°576506
uriel
blood pt.2
Posté le 26-11-2003 à 12:18:49  profilanswer
 

bien joué [:dawa]
.........................[:sisicaivrai] Je suis un des blaireaux


---------------
IVG en france
n°576531
Mr yvele
yvele n'est plus.
Posté le 26-11-2003 à 12:36:08  profilanswer
 

hey uriel! d'ailleurs je me rappelle que tu avais bourriné sur le liens.. et que tu avois bidouillé des trucs.. j'ai eu 2 logs de toi.. puis des logs vides ou tout zarbi..
puis 1h plus tard, encore un log de toi.. :D  
 
t'as fait quoi au juste?
 
(edit: du coup j'avais psychoté sur toi.. que tu te rendes compte d'un truc..  :sweat:  lol :D )

Message cité 2 fois
Message édité par Mr yvele le 26-11-2003 à 12:37:06

---------------
yvele n'est plus.
n°576537
uriel
blood pt.2
Posté le 26-11-2003 à 12:43:44  profilanswer
 

Mr yvele a écrit :

hey uriel! d'ailleurs je me rappelle que tu avais bourriné sur le liens.. et que tu avois bidouillé des trucs.. j'ai eu 2 logs de toi.. puis des logs vides ou tout zarbi..
puis 1h plus tard, encore un log de toi.. :D  
 
t'as fait quoi au juste?
 
(edit: du coup j'avais psychoté sur toi.. que tu te rendes compte d'un truc..  :sweat:  lol :D )


 
ben en fait, en voyant que tu avais pris ma voix (tu avais posté sous mon nom  :sweat: ) alors j'ai du me deconnecter, me reconnecter, changer mon mot de passe...
 
evidemment, tout ça servait à rien  [:tilleul]  [:spamafote]


---------------
IVG en france
n°576540
Mr yvele
yvele n'est plus.
Posté le 26-11-2003 à 12:46:44  profilanswer
 

nan nan je parle pas sur hfr, mais sur le liens qui pique le mot de passe.. tu y a cliqué plein de fois..
alors que c'était une pauvre anim flash à 2euros


---------------
yvele n'est plus.
n°576564
mrbebert
Posté le 26-11-2003 à 13:22:38  profilanswer
 

Ouf, je suis dans la liste des "blaireaux" :)  :o  
Dans le cas contraire, mon honneur de nerdz n'y aurait pas survécu :D

n°576618
uriel
blood pt.2
Posté le 26-11-2003 à 14:19:33  profilanswer
 

Mr yvele a écrit :

nan nan je parle pas sur hfr, mais sur le liens qui pique le mot de passe.. tu y a cliqué plein de fois..
alors que c'était une pauvre anim flash à 2euros


ah... bah, je sais pas, j'ai pas toujours des réactions tres rationelles  [:uriel]  [:wouaf]  [:yodanc]


---------------
IVG en france
n°576629
simogeo
j'ai jamais tué de chats, ...
Posté le 26-11-2003 à 14:28:46  profilanswer
 


elle vient d'ou ta signature uriel ?


---------------
from here and there -- \o__________________________________ -- la révolution de la terre, en silence
n°576667
uriel
blood pt.2
Posté le 26-11-2003 à 14:42:34  profilanswer
 

simogeo a écrit :


elle vient d'ou ta signature uriel ?


 
d'une chanson de SOnic Youth si ma memoire est bonne, je me souviens des mots mais suis pas trop sûr de la provenance  [:spamafote]


---------------
IVG en france
mood
Publicité
Posté le 26-11-2003 à 14:42:34  profilanswer
 

n°576705
simogeo
j'ai jamais tué de chats, ...
Posté le 26-11-2003 à 15:08:08  profilanswer
 

uriel a écrit :


 
d'une chanson de SOnic Youth si ma memoire est bonne, je me souviens des mots mais suis pas trop sûr de la provenance  [:spamafote]  


ca me dit quelque chose [:meganne]


---------------
from here and there -- \o__________________________________ -- la révolution de la terre, en silence
n°576750
Mara's dad
Yes I can !
Posté le 26-11-2003 à 15:38:02  profilanswer
 

Bravo pour avoir réussi à utiliser la technique du XSS d'une manière aussi inédite que brillante !
 
Quand on peut pas javascripter, on flash :D
 


---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
n°576954
karamilo
Posté le 26-11-2003 à 19:34:39  profilanswer
 

J'ai testé et j'arrive pas a recuperer un cookie en flash/actionscript. M'enfin je m'y connais pas bcp aussi. Apparemment, il y a que des "faux" cookies ( sharedobject )

n°577104
EpoK
Let's burn
Posté le 26-11-2003 à 22:00:45  profilanswer
 

hihin je suis maitre mechant  [:virginie]

n°577107
forummp3
@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@
Posté le 26-11-2003 à 22:01:41  profilanswer
 

EpoK a écrit :

hihin je suis maitre mechant  [:virginie]  

ki est tu? :??:


---------------
lecteur mp3 yvele's smilies jeux de fille
n°577115
Mr yvele
yvele n'est plus.
Posté le 26-11-2003 à 22:09:24  profilanswer
 

EpoK a écrit :

hihin je suis maitre mechant  [:virginie]  


 
betty!! c'est toi! \o/  :D

n°577118
Mr yvele
yvele n'est plus.
Posté le 26-11-2003 à 22:10:55  profilanswer
 

karamilo a écrit :

J'ai testé et j'arrive pas a recuperer un cookie en flash/actionscript. M'enfin je m'y connais pas bcp aussi. Apparemment, il y a que des "faux" cookies ( sharedobject )


 
je vais tester demain pour en avoir le coeur net!  :)

n°577134
aspegic500​mg
Posté le 26-11-2003 à 22:27:32  profilanswer
 

Mr yvele a écrit :


 
je vais tester demain pour en avoir le coeur net!  :)  


 
Ah merde je t'ai envoyé un mp pour savoir comment faire alors que j'avais pas finir de lire la derniere page (donc ce post) :sleep:  :hello:

n°577137
aspegic500​mg
Posté le 26-11-2003 à 22:35:51  profilanswer
 

karamilo a écrit :

J'ai testé et j'arrive pas a recuperer un cookie en flash/actionscript. M'enfin je m'y connais pas bcp aussi. Apparemment, il y a que des "faux" cookies ( sharedobject )


 
Je suis en train de chercher sur le net, et en flash on cree un genre de cookies appelé "sharedObjects" qui n'est pas au meme endroit ni avec la meme extension que les cookies habituels, donc la question est deja: peut-on lire avec flash un cookies qui n'a pas été crée par du flash (donc pas un sharedObjects) :??:

n°577139
karamilo
Posté le 26-11-2003 à 22:40:42  profilanswer
 

oui c'est ce que j'appelais des "faux" cookies. C'est des .sol

n°577149
aspegic500​mg
Posté le 26-11-2003 à 22:53:18  profilanswer
 

sur cette url: http://www.script-masters.com/home [...] 7-123.html je vois ceci:
 
Pour fermer une fenêtre depuis Flash, il vous faut placer sur un bouton l'action suivante :

Code :
  1. on (release){
  2. getURL ("javascript:self.close()" );
  3. }


 
Donc apparement on peut executer du javascript à partir d'un code actionscript, et comme on peut lire un cookies en javascript, on doit pouvoir lire un cookies en actionscript (via js) :wahoo:

n°577153
Mr yvele
yvele n'est plus.
Posté le 26-11-2003 à 22:57:30  profilanswer
 

aspegic500mg a écrit :

sur cette url: http://www.script-masters.com/home [...] 7-123.html je vois ceci:
 
Pour fermer une fenêtre depuis Flash, il vous faut placer sur un bouton l'action suivante :

Code :
  1. on (release){
  2. getURL ("javascript:self.close()" );
  3. }


 
Donc apparement on peut executer du javascript à partir d'un code actionscript, et comme on peut lire un cookies en javascript, on doit pouvoir lire un cookies en actionscript (via js) :wahoo:  


 
peut etre.. mais ça sera pas le cookie qui t'interresses.. [:sinclaire]  
 
en effet, flash n'interprette pas javascript, il demande à la page qui l'appelle d'executer le javascript qu'il lui donne :)  
en l'occurance, la page qui appelle l'objet javascript est ta page perso..
donc il essayera de lire les cookies du serveur qui heberge ta page perso, et non pas le serveur qui heberge le forum ciblé
 
bien tenté mais non quoi [:ripeer]

n°577156
aspegic500​mg
Posté le 26-11-2003 à 23:21:20  profilanswer
 

Mr yvele a écrit :


 
peut etre.. mais ça sera pas le cookie qui t'interresses.. [:sinclaire]  
 
en effet, flash n'interprette pas javascript, il demande à la page qui l'appelle d'executer le javascript qu'il lui donne :)  
en l'occurance, la page qui appelle l'objet javascript est ta page perso..
donc il essayera de lire les cookies du serveur qui heberge ta page perso, et non pas le serveur qui heberge le forum ciblé
 
bien tenté mais non quoi [:ripeer]  


 
 
raaaaaaa :D  
 
Ben alors faut que je trouve un moyen pour que flash lui meme lise le cookies (pitié faites que ca soit possible :cry: )

n°577159
Mr yvele
yvele n'est plus.
Posté le 26-11-2003 à 23:43:43  profilanswer
 

aspegic500mg a écrit :


Ben alors faut que je trouve un moyen pour que flash lui meme lise le cookies (pitié faites que ca soit possible :cry: )


 
et pourquoi? sans vouloir etre indiscret.. [:cupra]

n°577164
aspegic500​mg
Posté le 27-11-2003 à 01:58:28  profilanswer
 

Mr yvele a écrit :


 
et pourquoi? sans vouloir etre indiscret.. [:cupra]


 
Car aprés avoir lu le recit de ce beau hack, j'ai cherché un peu sur les forums où je traine et j'en ai trouvé un où le pseudo et le mot de passe sont en clair dans le cookies :whistle:  
J'ai envie de faire une boutade à l'admin du forum de mon iut (un pote de ma classe, il hallucinerait :D )
Et donc vu qu'on peut aussi uploader des smiley perso, il suffit de lire le cookies de celui qui visite la page perso :)

n°577185
veryfree
Posté le 27-11-2003 à 08:51:02  profilanswer
 

en passant via la faille IE qui interpret le vbscript d une image y a moyen de faire une truc plus simple non ?
 
mon script vb dont je ne connais rien >>renommage ene .jpg : il sera qd meme executé sous ie  

n°577201
drasche
Posté le 27-11-2003 à 09:40:41  profilanswer
 

veryfree a écrit :

mon script vb dont je ne connais rien >>renommage ene .jpg : il sera qd meme executé sous ie  


normal, IE se fout du mime type :/


---------------
Whichever format the fan may want to listen is fine with us – vinyl, wax cylinders, shellac, 8-track, iPod, cloud storage, cranial implants – just as long as it’s loud and rockin' (Billy Gibbons, ZZ Top)
n°577220
karamilo
Posté le 27-11-2003 à 10:12:40  profilanswer
 

n'oubliez pas que sur pas mal de forums, on peut uploader des avatars en flash ;)
Si flash peut lire les cookies direct, vu que le flash sera sur le server d'ou vient les cookies ...

n°577221
drasche
Posté le 27-11-2003 à 10:15:21  profilanswer
 

ça sera pas le cas sur le mien en tout cas :o


---------------
Whichever format the fan may want to listen is fine with us – vinyl, wax cylinders, shellac, 8-track, iPod, cloud storage, cranial implants – just as long as it’s loud and rockin' (Billy Gibbons, ZZ Top)
n°577223
chrisbk
-
Posté le 27-11-2003 à 10:17:17  profilanswer
 

d'un autre coté personne l'utilisera alors bon :O

n°577224
drasche
Posté le 27-11-2003 à 10:17:44  profilanswer
 

l'avenir nous le dira :o


---------------
Whichever format the fan may want to listen is fine with us – vinyl, wax cylinders, shellac, 8-track, iPod, cloud storage, cranial implants – just as long as it’s loud and rockin' (Billy Gibbons, ZZ Top)
n°577231
Mr yvele
yvele n'est plus.
Posté le 27-11-2003 à 10:26:15  profilanswer
 

karamilo a écrit :

n'oubliez pas que sur pas mal de forums, on peut uploader des avatars en flash ;)
Si flash peut lire les cookies direct, vu que le flash sera sur le server d'ou vient les cookies ...


 
nan mais flash à son propre systeme de cookies..  :o  
 
sharedobject :

Citation :

You can think of local shared objects as "cookies."


 
bref c'est pas des vrais cookies.. comme ils l'ont dit plus haut, le truc est stocké dans un fichier sol.. c'est géré par flash quoi..
 
bizzare..
ils ont peu etre pas eu le droit d'acceder aux cookies.. mais qui decide de ces choses la? la police de l'internet? :D


---------------
yvele n'est plus.
n°577247
karamilo
Posté le 27-11-2003 à 10:41:57  profilanswer
 

comme ils l'ont dit plus haut => entre autre, moi ;)
 
Il n'y a donc aucune faille avec flash sur les phpbb. C'etait juste une faille propre aux forums ppc.

n°577253
Mr yvele
yvele n'est plus.
Posté le 27-11-2003 à 10:48:48  profilanswer
 

karamilo a écrit :

comme ils l'ont dit plus haut => entre autre, moi ;)


 
lol ah ben oui [:theorie de nico]


---------------
yvele n'est plus.
n°577284
pulpipi
Un ours cé relativement gros
Posté le 27-11-2003 à 11:18:46  profilanswer
 

Mr yvele a écrit :


hop j'attend 10-15 min..
ouèèèè plein de blaireaux tombent dans le piège à loup


 
Va mourrir [:benou]  
 
Et qu'elle soit lente et douloureuse  :fou:  
 
 
 
 
 [:pulpipi]

n°577509
antp
Super Administrateur
Champion des excuses bidons
Posté le 27-11-2003 à 15:31:11  profilanswer
 

Bon j'ai viré les derniers posts de smiley-flood-blabla.
On n'est pas sur Graphisme ni sur Blabla hein :o
Le but de ce topic n'est pas d'être un blabla@prog version 2 :o


---------------
mes programmes ·· les voitures dans les films ·· apprenez à écrire
n°577514
Ayuget
R.oger
Posté le 27-11-2003 à 15:37:39  profilanswer
 

bien joué le coup du hack!
et t'as pas banni Marc? La tête qu'il aurait fait :D
 
Sinon, pour en revenir au sujet, il est vrai que l'upload d'avatars en flash sur certains forums va permettre des hacks, mais dans l'exemple que tu as montré, tu as pu récupérer les différents pass uniquement grâce au fait qu'ils n'étaient pas cryptés non?

n°577516
Mr yvele
yvele n'est plus.
Posté le 27-11-2003 à 15:38:23  profilanswer
 

grace au fait qu'ils étaient visible dans le code source de la page ( [:kiki] )


---------------
yvele n'est plus.
n°577517
Mr yvele
yvele n'est plus.
Posté le 27-11-2003 à 15:39:25  profilanswer
 

Ayuget a écrit :

et t'as pas banni Marc? La tête qu'il aurait fait :D


 
je suis gentil comme tout! et marc m'a jamais dérangé.. le seul ou j'était tenté c'est goret.. un moderateur de discussion je crois.. bref..
mais je l'ai pas fait :o
edit: ah oui j'ai viré sly angel des sup admin.. lol mais j'avais pas fait expres [:theorie de nico]


Message édité par Mr yvele le 27-11-2003 à 15:39:46

---------------
yvele n'est plus.
n°577530
Ayuget
R.oger
Posté le 27-11-2003 à 15:45:44  profilanswer
 

D'accord ;)

n°577594
belgique
Posté le 27-11-2003 à 16:27:45  profilanswer
 

Bref, faut vérifier l'extension et le fichier en lui même :o

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3  4  5  6  7  8  9  10  11  12  13  14  15  16  17

Aller à :
Ajouter une réponse
 

Sujets relatifs
[Linux] Tester la presence d'un fichierVérifier la présence d'un cookie dans une page appelée par un include.
[Java] déterminer la présence de certains caractères dans un Stringregexp: recherche la présence de n mots dans une chaine
faille de sécurité dans mon script PhpWebGalleryHacking et faille de sécurité MySQL, aidez-moi à me protéger.
[Divers] C combien un forum Présence PC ?Recherche présence d'une variable
Certains Webmasters ont la tête dans les nuages... Faille inside[Java] Détecter la présence du JRE de Sun
Plus de sujets relatifs à : La faille des forums presence pc enfin dévoilée!


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR