[D4rKpr3d4toR]

salut,
bon déjà de 1 je suis un super débutant en hacking 
et j'ai trouver un site, avec un livre d'or.
je me suis dit : je vais essayer de mettre du script dedans (totalement au bol car je n'ai jamais vraiment rien hacké: j'en suis que a 2 épreuve niveau hacking donc vous voyez le genre lol)
Bon en gros:
j'essai de commencer par une balise html (je sais pas si ça sert a grand chose mais quand on débute on tente de tout  )
je tape :
<s>un bidule</s>
et la,(le livre d'or possède une prévisualisation), je remarque que le code html est exectuté dans la prévisualisation.(ce qui donne : un bidule)
Donc je tente de poster...
mais une fois le message posté le html ne s'exécute pas...( tatatta a écrit : <s>un bidule</s>
donc la je me dit que le livre est protégé, mais que je peux peut-être tirer quelque chose de la prévisualisation... (hé oui on espère tout quand on y connait pas grand chose)^^
 je tape donc:
<input type="button" name="hack" value="hack" onclick="alert('salut')">
pour voir s'il s'exécute...
je regarde dans la prévisualisation et hop le bouton est apparu
je clic dessus et la hop un message d'alert

Est-ce normal de pouvoir exécuter du code javascript comme ça sur un livre d'or ? y a t'il une faille ? (moi qui n'y connait pas grand chose biensûr...j'en sais rien et c'est peut-être rien du tout^^)

j'ai donc essayer alert(document.cookie) et je tombe sur un code bizarre que je ne connait pas^^

quelqu'un pourrai t'il m'éclairé ?

merci


je regarde

[MaZ]

D4rKpr3d4toR :

Tu as effectivement trouvé une faille, la première je suppose et ça, ça se fête WOOT Champagne !

Tu as dégoté une faille de type "XSS" dans la prévisualisation.

Par contre, d'après ce que tu dis elle est comblée dans la fonction "poster".

Voici quelques explications sur cette faille (tu peux trouver des millions de documents dessus) :

- http://fr.wikipedia.org/wiki/Cross-site_scripting

- http://www.newbiecontest.org/forums/index.php?topic=981.0


Pour le code avec document.cookie il s'agit d'une exploitation malicieuse des failles XSS.
Là encore, lis de la doc et tu comprendras.

Néanmoins, sans connaitre la faille t'as eu un bon raisonnement.

C'est ça l'esprit 'newbie'.


ps : Dans la catégorie "Hacking", il y a quelques épreuves où il faudra exploiter une XSS. Bonne chance !

[xJustiCe]

Pourquoi vouloir chercher des failles sur d'autres sites Web qui vous ont rien demandé.
Et entre nous, j'appelle pas ça "trouver une faille" lorsque l'on arrive à injecter du code.
Je te conseille de passer à autre chose car c'est illégal et tu n'as pas l'air de savoir vraiment ce que tu fais.

[D4rKpr3d4toR]

déjà merci beaucoup pour les réponses
Ensuite : Si je ne modifie rien sur son site donc si je fait pas le lamer c'est bon non, xJustice ?
De plus mes intentions ne sont pas mauvaises. Je voulais juste découvrir ce type de faille en millieu "non-artificiel" (donc une faille pas laissée exprès).

[mathgl24]

Pourquoi vouloir chercher des failles sur d'autres sites Web qui vous ont rien demandé.
Et entre nous, j'appelle pas ça "trouver une faille" lorsque l'on arrive à injecter du code.
Je te conseille de passer à autre chose car c'est illégal et tu n'as pas l'air de savoir vraiment ce que tu fais.

Je rajouterais :
1. Pourquoi perdre son temps à essayer de hacker des forums ou des livres d'or ou autres choses du genre ?!!
2. Si l'admin du site ne t'a pas donné d'autorisation stricte (en règle avec la loi), c'est illégal et passible d'emprisonnement et d'amendes salées (Est-ce pareil en France ?).

[Nil]

xJustice et mathgl24 sont horriblement démoralisant. Ils ont une idéologie obscurantiste. Si tout le monde les écoutait, personne ne deviendrait de bons hackers ...

Si le sujet t'intéresse, amuse toi le plus que tu peux, découvre s'en des failles, exploite les même si tu peux (sans faire chier personne), mais en gardant en tête que les chapeaux blancs sont tellement plus cool ^^ En gros, ne fais pas aux autres ce que tu ne veux pas te faire faire.

Un conseil : tu devrais avertir l'administrateur du site en question; il serait sans doute heureux d'apprendre qu'on peut hacker facilement son site.

[D4rKpr3d4toR]

je ne comprend pas bien le sens de ta 1ère question...
Dans ce cas la je pourrais te retourner :
Pourquoi perdre son temps à essayer de résoudre les challenge de Newbiecontest ??
Ben tout simplement parce que l'homme est curieux et il souhaite tester ses connaissances et ses capacités. non?
ou même de rendre service à un webMaster qui risquerait de se faire hacké dans le futur.

Sinon, si ton point 2 est en rapport avec ton point 1, tu voulais me dire : A quoi cela sert si c'est illégal ?... retour à ma 1ère réponse

Et maintenant que fais-je ?
Est-ce que j'avertis l'admin de cette faille ?... Est-ce que je ne fait rien ...? ^^

[Echap]

J'aime résoudre les challenges de NC car ils sont là pour me faire réfléchir, apprendre et grâce à eux, je peux aller au bout de mon apprentissage (dans la plus grande légalité) car ils me permettent de pratiquer même si cela ne reste qu'une simple simulation.

Tu ne comprends pas le fait que ta démarche "chercher une faille" soit interdite. Tu pourrais avoir de graves ennuis. Personne ne t'a demandé de vérifier la sécurité du site Web et personne ne t'a donné une autorisation pour le faire.

Certes, tu fais rien de mal, je suis d'accord mais est ce que tu aimerais qu'une personne inconnue vienne chez toi sans que tu le saches pour vérifier si toutes tes serrures sont bétons niveau sécurité ? J'imagine que non. Ici c'est la même chose.

Je te conseille donc d'arrêter tes petits bidouillages aussi infimes soient-ils. Exerce-toi plutôt sur NC qui est fait pour ça.

[Nil]

Certes, tu fais rien de mal, je suis d'accord mais est ce que tu aimerais qu'une personne inconnue vienne chez toi sans que tu le saches pour vérifier si toutes tes serrures sont bétons niveau sécurité ?

Ce n'est absolument PAS la même chose : un site web est un lieu public. Ce serait plutôt comparable à une personne dans un centre commercial (lieu public) qui remarque qu'une serrure à l'air mal en point, qui va vérifier et qui se rend compte qu'elle fonctionne absolument mal, qu'une simple pression vers la gauche déverrouille la porte! Une fois rendu là, la personne PEUT agir comme un imbécile et entrer par infraction le soir et voler la marchandise. Mais elle peut aussi agir intelligemment et avertir les gens concernés.

N'agissez pas comme des petits citoyens modèles qui reste à la maison à écouter des émissions stupides et qui laisse l'état libre de faire n'importe quoi. Vous avez des droits et encore un peu de libertés; n'allez pas inventer encore plus de règles! C'est parfaitement légal de regarder un objet (qui t'appartient ou dans un lieu public) et d'essayer de le comprendre. C'est de modifier l'objet en question qui est souvent illégal.

[Faerasgar]

Personnellement je serais beaucoup plus pour l'avis de Nil, certes NC à l'avantage de pouvoir exercer en toute légalité, mais cela dit le hack en situation réelle a ses avantages, et rares sont les admins qui poursuivront en justice quelqu'un qui ( certes sans leur permission ) à mis à jour une vulnérabilité de leur site sans rien demander en retour.

Have fun

Faerasgar

[MaZ]

xJustice et mathgl24 vous voulez nous faire croire que vous avez jamais testé des petits hacks comme insérer du html dans un forum, livre d'or alors que le site n'était pas à vous ?

[Nil]

MaZ ... lol, il y a beaucoup de personnes qui n'ont pas l'âme d'un hacker et qui n'essaient pas d'hacker tout ce qu'ils voient. Personnellement, je te jure que je n'ai jamais essayé d'hacker aucun site pour le fun, sauf NC et hackquest. J'aime l'informatique et j'aime comprendre ce qui se passe dans la machine, mais je n'ai ni la motivation ni le goût d'apprendre plein de failles ou même d'en découvrir des nouvelles. Je laisse ce travail à d'autres.

[xJustiCe]

xJustice et mathgl24 vous voulez nous faire croire que vous avez jamais testé des petits hacks comme insérer du html dans un forum, livre d'or alors que le site n'était pas à vous ?

Absolument pas. De plus, je trouve qu'injecte du code HTML dans un livre d'or est une idée vraiment stupide. C'est un peu le meilleur moyen de se faire "démasquer" si je puis dire.

Nil, mon exemple est tout à fait valable. Un site Web est une propriété privée qui appartient à l'administrateur. Si celui-ci juge nécessaire de vérifier sa sécurité il fait appel à un spécialiste. Toi tu n'auras jamais le droit juridiquement parlant d'essayer de chercher une faille.

Néanmoins, je suis tout à fait d'accord avec la morale qui dit qu'il faut prévenir l'administrateur en cas de trou de sécurité. Je trouve que c'est rendre un service gratuit (si la démarche de celui qui essaye de trouver une faille est tout à fait honnête).

Seulement, et c'est ça qu'il faut comprendre, c'est que cela est interdit par la loi. Et il y a des raisons. En effet, nous ne sommes pas tous des "gentils" certains, poussés par la curiosité vont vouloir aller de plus en plus loin jusqu'à violer une intimité dans certains cas.

On ne peut pas contrôler tout le monde, et je trouve qu'il est nécessaire de prévenir une personne qui demande ce qu'elle doit faire après avoir vu qu'un site ne protégeait pas l'affichage de ses variables.

[mathgl24]

je ne comprend pas bien le sens de ta 1ère question...
Dans ce cas la je pourrais te retourner :
Pourquoi perdre son temps à essayer de résoudre les challenge de Newbiecontest ??

NC est fait pour hacker des sites "tests" et c'est fait pour apprendre c'est logique me semble. Je te parle de sites qui ne sont PAS des sites de challenges et pour lesquels tu dois avertir l'admin et avoir son autorisation légale.

xJustice et mathgl24 vous voulez nous faire croire que vous avez jamais testé des petits hacks comme insérer du html dans un forum, livre d'or alors que le site n'était pas à vous ?

Y'a des sites réservés pour ça, c'est amplement suffisant et légal.

Absolument pas. De plus, je trouve qu'injecte du code HTML dans un livre d'or est une idée vraiment stupide. C'est un peu le meilleur moyen de se faire "démasquer" si je puis dire.

Nil, mon exemple est tout à fait valable. Un site Web est une propriété privée qui appartient à l'administrateur. Si celui-ci juge nécessaire de vérifier sa sécurité il fait appel à un spécialiste. Toi tu n'auras jamais le droit juridiquement parlant d'essayer de chercher une faille.

Néanmoins, je suis tout à fait d'accord avec la morale qui dit qu'il faut prévenir l'administrateur en cas de trou de sécurité. Je trouve que c'est rendre un service gratuit (si la démarche de celui qui essaye de trouver une faille est tout à fait honnête).

Seulement, et c'est ça qu'il faut comprendre, c'est que cela est interdit par la loi. Et il y a des raisons. En effet, nous ne sommes pas tous des "gentils" certains, poussés par la curiosité vont vouloir aller de plus en plus loin jusqu'à violer une intimité dans certains cas.

On ne peut pas contrôler tout le monde, et je trouve qu'il est nécessaire de prévenir une personne qui demande ce qu'elle doit faire après avoir vu qu'un site ne protégeait pas l'affichage de ses variables.

D'accord! J'aime l'idée que c'est une propriété privée. Je crois que personne ici n'aimerait qu'une personne quelconque entre dans sa maison sous prétexte qu'il a réussi à débarrer la porte par un tour quelconque. Sachant ça, le propriétaire va sûrement se sentir moins en sécurité non pas seulement pour sa serrure, mais pour l'individu qui est entré. Pourquoi? Parce que c'est louche tout bonnement!
(ça revient à ce que Échap a dit aussi )

Peut-être que mon analogie maison / site web est un peu extrémiste, c'est pourquoi je suis d'accord avec le fait de demander à l'admin d'offrir ces services pour tester les possibles failles sur le site. Cela mettra l'admin en confiance et après, s'il a besoin de toi, ben tu peux t'amuser comme tu veux, car c'est devenu légal .

C'est mon opinion qui se rapproche beaucoup de celle de xJustice.
Bref, si vous avez suffisamment de confiance et que vous jugez votre niveau assez élevé pour hacker des gros site (gouvernement, militaire, commercial, etc.) allez-y mais assumez-en les conséquences si vous vous faites prendre .

Sinon, ben il y a la catégorie hacking qui sert à vous pratiquer à comprendre les failles et surtout, à comprendre comment les sécurisé contre d'éventuelles attaques.

[Iansus]

Et puis, à quoi ça sert de faire un XSS sur la prévisualisation franchement ?
Sinon, je suis d'accord avec xJustice : c'est le meilleur moyen de se faire repérer. C'est comme NC, si quelqu'un hacke le système de messagerie privée, personne ne s'en rendra compte avant un bout de temps. En revanche, on a repéré depuis belle lurette ceux qui font des essais infructueux sur la shootbox ^^