Passer de NC à 5/6 en 1an

[Goran74]

Injection de code malveillant dans un système de données informatisées privé.

On ne peut quand même pas vraiment parler d'injection de code

[Yoann]

Injection de code malveillant dans un système de données informatisées privé.

Mouarf, de toute façon si quelqu'un comme moi qui ne s'y connait pas vraiment en info arrive à le faire, c'est que je dois pas être le seul à connaitre le truc.

Puis s'ils voulaient pas que je le fasse, fallait pas me donner accès à toutes ces URL !

Même pas peur de la FFT moi !

[titouess]

On ne peut quand même pas vraiment parler d'injection de code

juste une adresse url en fait

[makouille]

Pas de quoi fouetter un chat (sauvage ou pas).

[John Dunbar]

Ce qui se passe ici, c'est que le mec (la FFT) laisse sa porte ouverte et que vous rentrez, squattez et vous servez chez lui, ça peut aller chercher très loin. Donc c'est comme le piratage de films etc... La probabilité de se faire prendre est minime, par contre si on vous tombe dessus, c'est jusqu'à 300k€ d'amende et 5 ans de taule (pour le max, mais ça donne une idée de l'éventail des sanctions). A noter que la dernière jurisprudence en la matière (aberrante) a vu un mec se faire condamner a cause de l'utilisation d'une commande "site:" sur google...

Et c'est bien une variable PHP qui est injectée ici.

Bref, c'est toujours bien d'être informé je pense, et je dis ça pour vous

[makouille]

Encore faut-il prouver qu'il y a volonté de nuire et dommage subi par la FFT...

[ecarre]

Surtout que ça ne fonctionne pas à tous les coups cette manip, ou alors j'ai merdé quelque part.

[John Dunbar]

Pour charger la mule oui, pas pour constater l'infraction. Dans tous les cas, injecter du code PHP n'est pas une manoeuvre anodine, et même si là l'information retrouvée parait dérisoire, on sait jamais sur quoi on peut tomber, et donc combien on peut prendre. Bref, j'en ai fini sur ce sujet

[backcourttactic]

Ce qui se passe ici, c'est que le mec (la FFT) laisse sa porte ouverte et que vous rentrez, squattez et vous servez chez lui, ça peut aller chercher très loin. Donc c'est comme le piratage de films etc... La probabilité de se faire prendre est minime, par contre si on vous tombe dessus, c'est jusqu'à 300k€ d'amende et 5 ans de taule (pour le max, mais ça donne une idée de l'éventail des sanctions). A noter que la dernière jurisprudence en la matière (aberrante) a vu un mec se faire condamner a cause de l'utilisation d'une commande "site:" sur google...

Et c'est bien une variable PHP qui est injectée ici.

Bref, c'est toujours bien d'être informé je pense, et je dis ça pour vous

Merci pour l'info. On ne sait jamais...

[John Dunbar]

www.ei.applipub-fft.fr/eipublic/tableauImpression.do?dispatch=afficher&pha_iid=1617016

Tout ce qui se passe après le "?" c'est du code.

[mathvieu]

C'est quand même hallucinant que des paramètres soient véhiculées via l'URL sans que ce soir masqué C'est la base il me semble !

[dragonax13]

merci John apparemment y'a des initiateurs à l'info ici

allez on attaque le c++ !!!

lol

[Yusuke118]

www.ei.applipub-fft.fr/eipublic/tableauImpression.do?dispatch=afficher&pha_iid=1617016

Tout ce qui se passe après le "?" c'est du code.

faut pas abuser, on met pas non plus de caractères spéciaux pour tenter d'exploiter une faille ou autre. Les paramètres (variables) saisis ne sont rien de plus que ceux que le site à lui même donné volontairement ou non.

Derrière c'est à l'hébergeur du site de verrouiller ses variables et/ou son code. S'il ne le fait pas, c'est qu'il estime qu'il n'y pas matière à le faire.

Tiens j'ai osé tapé cette url dans le champ de mon navigateur :

https://www.google.fr/?gws_rd=ssl#q=je+pinaille

Tu crois que Google va me poursuivre ?

[loulou]

Perso je trouve le score plus qu'encourageant...

Il perd le tie break, par manque d'expérience, manque de repères. Après il s'effondre morallement et l'adversaire est en plein nirvana. Je pense que si il avait gagné le premier set, le match aurait eut un tout autre aspect.

Ensuite pour la perfe à 30, j'aurais tendance à dire qu'un jeune ça joue son classement en cadence, c'est dans la variations qu'ils sont moins forts. Donc j'immaginne que un jeune contre un jeune ça devait jouer en cadence c'est à dire aux environs de 30, en plus le jeune, il va monter 15/4....

Bref 15/1 c'est pas si éloigné...

ps : pour les codes informatiques je n'y connais rien, mais à ce qu'il parait c'est mal .

[John Dunbar]

faut pas abuser, on met pas non plus de caractères spéciaux pour tenter d'exploiter une faille ou autre. Les paramètres (variables) saisis ne sont rien de plus que ceux que le site à lui même donné volontairement ou non.

Derrière c'est à l'hébergeur du site de verrouiller ses variables et/ou son code. S'il ne le fait pas, c'est qu'il estime qu'il n'y pas matière à le faire.

Tiens j'ai osé tapé cette url dans le champ de mon navigateur :

https://www.google.fr/?gws_rd=ssl#q=je+pinaille

Tu crois que Google va me poursuivre ?

Moi je te dis ce qu'il en est, pas si je suis d'accord ou pas (ça fait partie de mon taff) Cela dit, c'est à toi de fermer ta porte à clé, si tu oublies et qu'un mec se sert chez toi, je serais curieux de voir si restes aussi stoïque Pareil avec le mec qui exploite une faille sur n'importe laquelle de tes applis et fait fumer ta CB, il est pas coupable ?

[makouille]

et fait fumer ta CB

C'est plus la même chose

[Yusuke118]

John Dunbar, on 29 Nov 2014 - 10:36 PM, said:

Moi je te dis ce qu'il en est, pas si je suis d'accord ou pas (ça fait partie de mon taff) Cela dit, c'est à toi de fermer ta porte à clé, si tu oublies et qu'un mec se sert chez toi, je serais curieux de voir si restes aussi stoïque Pareil avec le mec qui exploite une faille sur n'importe laquelle de tes applis et fait fumer ta CB, il est pas coupable ?

Si j'oublie de fermer chez moi et qu'on me cambriole, je serai certes pas content mais je resterai en partie fautif.

Tu crois que l'assurance dira quoi si elle apprend que je n'ai pas fermé à clé ?

Puis encore une fois, c'est pas comme si on exploitait une faille type "shellshock" ou "poodle" ( ça doit te parler ça hein ).

Par rapport à l'url google que j'ai donné en exemple plus haut, tu penses que je cours un risque ou pas ?

Si Non, en quoi serait-ce différent de ce qu'on fait avec l'url fft ?

[John Dunbar]

Si j'oublie de fermer chez moi et qu'on me cambriole, je serai certes pas content mais je resterai en partie fautif.

Tu crois que l'assurance dira quoi si elle apprend que je n'ai pas fermé à clé ?

Puis encore une fois, c'est pas comme si on exploitait une faille type "shellshock" ou "poodle" ( ça doit te parler ça hein ).

Par rapport à l'url google que j'ai donné en exemple plus haut, tu penses que je cours un risque ou pas ?

Si Non, en quoi serait-ce différent de ce qu'on fait avec l'url fft ?

Les assurances, c'est pas la loi hein C'est interdit, point, qu'on soit OK ou pas n'entre nul part en ligne de compte... Ton URL te donne pas accès à une page sur laquelle tu n'aurais pas du tomber, rien à voir donc.

[Djo]

Force et honneur.

Bon courage mec, tu peux y arriver. Donne tout.

[makouille]

Force et honneur.

Bon courage mec, tu peux y arriver. Donne tout.

Ton second prénom, c'est facilité, non ?

[John Dunbar]

Non mais j'informe juste en plus, faut pas taper le messager quand on aime pas le message Bref on s'en tape, on attend les nouvelles du jeune ! (ou pas...)

[Yusuke118]

John Dunbar, on 29 Nov 2014 - 10:55 PM, said:

Ton URL te donne pas accès à une page sur laquelle tu n'aurais pas du tomber, rien à voir donc.

bah je suis parti de l'url obtenue quand j'ai tapé "toto" dans le moteur de recherche.

Et ensuite, j'ai changé le mot-clé "toto" dans l'url par "je+pinalle".

C'est le même principe avec les tableaux fft : on obtient une url fournie par le site, on modifie la valeur d'une des variables (on remplace des digits par d'autres).

Du coté de la FFT, (quasi) impossible pour eux de faire la distinction entre une requete obtenue par la voie normale d'une requete construite manuellement.

Et dans la mesure où il n'y a pas une volumétrie anormale de requetes de ce type qui leur arrivent, ils ne vont à mon avis pas les détecter ou y prêter plus attention que ça si on les informe ( au pire ils protégeront ).

[Djo]

Ton second prénom, c'est facilité, non ?

Il est toujours plus facile de ruiner les rêves d'un gosse quand on a pas réussi à les réaliser sois même. Le fait est que si nous n'y sommes pas arrivés, le prochain, lui, peut.

Une progression lucide n'est pas une progression. Les champions ont tous rêvé de devenir champions. C'est la différence entre un smicard qui se contente de son f2 en sous sol et un ambitieux qui troquerait sa meuf contre la réussite.

[makouille]

Il est toujours plus facile de ruiner les rêves d'un gosse quand on pas réussi à les réaliser sois même. Le fait est que si nous n'y sommes pas arrivés, le prochain, lui, peut.

Une progression lucide n'est pas une progression. Les champions ont tous rêvé de devenir champions. C'est la différence entre un smicard qui se contente de son f2 en sous sol et un ambitieux qui troquerait sa meuf contre la réussite.

Mais de quoi tu parles ??

[John Dunbar]

bah je suis parti de l'url obtenue quand j'ai tapé "toto" dans le moteur de recherche.

Et ensuite, j'ai changé le mot-clé "toto" dans l'url par "je+pinalle".

C'est le même principe avec les tableaux fft : on obtient une url fournie par le site, on modifie la valeur d'une des variables (on remplace des digits par d'autres).

Du coté de la FFT, (quasi) impossible pour eux de faire la distinction entre une requete obtenue par la voie normale d'une requete construite manuellement.

Et dans la mesure où il n'y a pas une volumétrie anormale de requetes de ce type qui leur arrivent, ils ne vont à mon avis pas les détecter ou y prêter plus attention que ça si on les informe ( au pire ils protégeront ).

Je pense que si tu me parlais des aspects techniques de ton travail, je n'y comprendrai rien non plus Ce que tu dis est vrai, le risque encouru est minime, mais il existe car l'infraction est bien réelle et je pense qu'il vaux mieux le savoir