5177 sujets

Le Bar du forum

[info] faille de sécurité chez FREE | méchan pirath

Pages :
JE me demande de quelle genre de faille il s'agit. C'est pas la première fois que free se fait hacker (rappelez-vous, il y a quelques années, un petit malin avait réussi à glisser un sapin de noël sur la page d'accueil de free lui-même)
Est-ce une faille du « serveur », ou tout simplement une faille de sécurité dans les scripts (PHP ou autre) utilisés par ceux qui propriétaires de ces différents espaces ?

Que notre script kiddy affirme « il y a une faille chez Free », ça ne veut pas dire que ça soit le cas.
Le soucis, chez free, c'est que les mots de passe et les noms d'utilisateurs de vos mails, de votre FTP, et de MySQL sont identiques, ou des bétises comme ça.
Il est donc bien plus "facile" (même si je n'ai vraiment aucune connaissance dans le cracking) d'arriver à ces desseins

Il faudrait mieux le signaler à Free, qui pourrait sans doute, avec les logs, remonter au petit malin. Cracker plusieurs sites du même serveur, ou bien notre rigolo a pris de grosses protections (proxy, et encore), ou bien il a toutes les chances de se faire repécher...

Edit: merci aux blaireaux du net, qui se pensent invincibles devant leur ordinateur, et qui ne trouve pas mieux de vanter en détruisant le travail des autres...
Modifié par Sylvain (29 Aug 2006 - 11:04)
ou alors il est tout simplement le propriétaire de ces comptes
et il fait croire qu'il a trouvait un faille
en redécorant les sites Smiley decu
sane79 a écrit :
ou alors il est tout simplement le propriétaire de ces comptes
et il fait croire qu'il a trouvait un faille
en redécorant les sites Smiley decu

lol ... pas bête :o) Smiley lol
enfin sinon c'est pas top quand même Smiley decu
++
sane79 a écrit :
ou alors il est tout simplement le propriétaire de ces comptes
et il fait croire qu'il a trouvait un faille
en redécorant les sites Smiley decu



Heuuuu....

Edit: non, le cache de google montre que ces sites n'avaient rien en commun. En revanche, c'est un truc à faire pour montrer à ces amis que tu es une bête en informatique...
"Regarde, ce site, pris au hasard, hop, je le pirate. Quoi ? non non, ce n'est pas le mien..."
Modifié par Sylvain (29 Aug 2006 - 13:47)
sane79 a écrit :
ou alors il est tout simplement le propriétaire de ces comptes
et il fait croire qu'il a trouvait un faille
en redécorant les sites Smiley decu



j'ai pensé à la même chose, si ce ne sont pas les siens, il en connait les détenteurs. Smiley lol
a écrit :
sympa, ça part en guerre de religion maintenant
Oops!


J'ai regardé ça rapidement moi aussi ce midi.
De mémoire, je me souviens que l'image gif du cracker (calabera.gif) était dans un répertoire nommé exactement "images" dans tous les cas sauf un.
Donc un répertoire "images" aurait été placé, contenant l'image calabera.gif
Dans un cas au moins, il y avait d'autres images classiques d'un site Free dans le même répertoire "images", du type "mangas". J'ai trouvé ça curieux.
Il s'agit de superrebelle.free.fr, qui contient 7 images dont calabera.gif dans "images".

Est-ce que tous les sites ont un répertoire nommé exactement "images" chez Free?
(possible, hein, je ne connais pas Free)


http://antalgeek.free.fr/
This Page Is Valid XHTML 1.0 Transitional!
Hum!
Modifié par dom (29 Aug 2006 - 21:01)
C'est vrai que c'est assez simple de pirater un site chez Free, en tout cas un site développé en PHP/MySQL par un débutant.

Je ne me suis jamais fait pirater chez Free, mais ça aurait pû m'arriver à mes débuts, explications :

Comme l'a dit qq'un + haut, tous les codes (mail, ftp et Mysql) sont les mêmes.

Donc, si j'ai une base de donnée Mysql sur mon site, je fait un include du type :
<?php include acces_bd.inc ?>

que je mets dans un beau fichier "include".
avec dedans un truc du genre
<?php
$pass = "xxxxxxx" ;
$login = "xxxxxxx" ;
....
?>

Petit pirate, je cherche à la racine du site le dossier "include", pas d'index, je repère le acces_bd.inc, je l'ouvre et hop ! à moi les codes !!

J'ai fait ça pendant longtemps !!! et jamais piraté, bon j'ai jamais fais des sites d'envergure, donc...

La première des choses est de mettre ses codes dans un fichier en
.php => s'exécute mais ne s'affiche pas...

Donc si effectivement chez Free la sécurité n'est pas top, les utilisateurs sont aussi à mon avis à mettre en cause...
Modifié par kristof (30 Aug 2006 - 19:29)
Il y a un truc que je trouve "marrant" => Les "pirates" ont mis un DOCTYPE Smiley eek !!!
Moi je serais un "pirate" je m'embéterai pas avec ce genre de détail, non ??
kristof a écrit :
Il y a un truc que je trouve "marrant" => Les "pirates" ont mis un DOCTYPE Smiley eek !!!
Moi je serais un "pirate" je m'embéterai pas avec ce genre de détail, non ??

Ah mais ce n'est pas un détail, le doctype ! c'est très important, justement Smiley lol
Ca signifierait qu'il s'agit d'un pirate pro standard ... c'est pas bien ?

A propos de faille, je crois que j'ai fait pire que le .inc.
Du temps que je ne connaissais que le HTML et le javascript, le premier truc que j'ai voulu faire dès que j'ai entendu parler d'un langage magnifique répondant au nom de php était, à l'aide d'un script js, d'enregistrer des fichiers sur le serveur. Mon tout premier script php ressemblait à ça, sans rire :
<?php
if ($_GET['pass']!="motdepasse") exit();
$filepointer = fopen($_GET['file'], 'w');
fwrite($filepointer, $_GET['data']);
fclose($filepointer);
?>
<script type="text/javascript"> history.back(); </script>

J'avais quand même eu l'ingénieuse idée de mettre un mot de passe ... mais ce n'est pas tout : j'appelais mon script php de cette façon, pas à la légère donc :
document.location = "filewriter.php?file=fichier.txt&pass=motdepasse&data=mes données à enregistrer";


Je me dis qu'à cette époque là, j'ai eu vraiment de la chance, j'aurais pu me faire pirater en quelques minutes...
Que voulez-vous, j'étais un pauvre ignorant ... il fallait un début à tout bien sûr.
Le pire c'est que ce truc a duré jusqu'à ce qu'un visiteur bien intentionné m'envoie un e-mail avec un unique lien vers un fichier helloworld.txt où il m'expliquait en quoi cette technique était un gouffre ...
Modifié par QuentinC (30 Aug 2006 - 20:09)
Pages :
Sujet clos
Aller à