NewbieContest

:idea: :idea: :idea: Salut a tous :idea: :idea: :idea:,
Alors que je surfais sur Internet il m'est venu une petite idée, je tiens a vous la présenter.:P

Internet est en pleine expension et on voit apparaitre plein de site réalisé par des groupes de pots pas forcéments informaticien ayant des connaissances en php,flash,java....:cool:

Le problème c'est que ce genre de site contiennent pas mal de failles de sécuritées originals dans le sens ou elles ne sont pas courantes et dépendent le plus souvent de la manière dont est codé l'applet ou la page...

Étant donnée que nous sommes une communauté de Pirate ou d'informaticien fortement intérréssé par la sécurité pour ceux que le terme de pirates gènes, pourquoi ne pas aider ces sites en debusquant ces failles de sécuritée et les aidant a les corriger ? Ce qui aurait pour effet secondaire de développer notre sens du piratage, nos techniques par des cas concrets qui permettent l'échange d'informations (contrairement au challenge où l'on ne divulgue pas d'information) .;)

Bref qu'en pensez vous, je propose donc que ce topic soit dédié a des liens vers ce genre de site, avec un travail collaboratif l'explication des failles et des moyens de les exploiter?

J'attend l'accord d'un Admin du forum pour savoir si ce topic est intérréssant et utile et surtout si je peux donner une adresse en expliquant ce que j'ai trouvé et où je pense il reste encore beaucoup a trouver...
Merci
@++
TheWeasel

Ma fois, tu parles d'une sorte d'audit de sécurité sur des sites fais par des amateurs... pourquoi pas, ça fait une sorte d'entrainement "grandeur nature" ^^

Tu connais donc des sites de ce genre ?

Là, je vais un peu jouer les rabats-joie.

Mais ce que tu proposes, c'est ni plus ni moins qu'un audit de sécurité. Un audit, ça coûte cher. Et c'est pas pour rien. Moi, ce que je vois, c'est que je peux me faire payer relativement cher pour un boulot de ce genre.

Alors, je dis pas que ça m'est jamais arrivé de faire ça gratos, mais bon, c'est pas la généralité. Sur ce coup, je vais rester bassement matériel.

Et meme sans aller juqu'a l'audit de securité, ca s'appelle le white hat...

Enjoy

The lsd

OK ravis que le concept plaise au modérateur, pour zours c'est vrai que ce genre d'audit coute très cher néanmoins dans un but éducatif je trouve cela super utile d'autant plus que je parle de site amateur et donc n'ayant pas toujours les finances pour réaliser ce genre de chose...

Donc voila je propose le site :
********* un site de jeu online pour les goss réalisé en flash avec une appli JAVA derrière sur un serveur linux.Le jeu est simple est consiste a élevé un personnage le faire évoluer ...
j'y est déja travaillé dessus sur le :

-KICK qui se faisait au niveau client et pas serveur
-La multiconnexion et des régles fde sécurité qui ne fonctionnaient pas.
-Les multiconnexion.
-La modification des caractéristique du murties.

Mais j'ai été pris de cours car un Black Hat Hacker s'est amusé "a foutre la merde" avec des failles que je n'avais pas trouvé.

Je pense qu'il en reste des tas d'autre comme le moyen de récupérer l'adresse IP des joueurs sur le chat que j'ai trouvé et que je n'ai pas corriger
VOila
BOn courage
@++
TheWeasel

ouai c 'est une bonne idée mais bon, je me dis qu'il ya plein de newbie qui on  soif de déface et de deletage sur NC, donc si on leur donne un site et qu'en plus on leur donne les failles, ca risque d'etre plus dangereux que bénéfique pour les webmasters. Ton idée WH deviendrais une breche pour les BHs. voila :)

Sinon bonne idée j'avoue :)

tout a fait d'accord avec ARf.

Et puis ce genre de choses peut se faire en solo. Perso au début je faisais ça en solo. Et c'est d'ailleurs ce qu'il y a de mieux a faire. A cause justement des BHs. On sait jamais réellement à qui on a affaire :)

Oui tres juste je n'avais pas penser a cela néamoins le but et de corriger les failles avant de les divulguer lol. Je pense qu'il faut essayer et au pire si sa tourne au vinaigre et ben stop on supprime ce topic non ?
@++
TheWeasel47

mouais ... Faits comme tu le sens, perso je participe pas à ce projet :)

Ou alors divulguer les URL à des gens que l'ont connaît un peu, et dont on sait qu'ils ne defaceraient pas par simple plaisir, mais qui plutôt chercheraient à exploiter la faille au maximum, pour leurs connaissances persos, et pour enfin avertir les webmestres de ces failles... sans faire de mal...

Oui pourquoi pas,
On fait comment Monsieur l'administrateur? j'edit mon premier post  et j'enleve l'URL ? en demandant de venir me parler en MP pour l'avoir ?
Bref, il ets sur que ce genre de topic ne va pas être uniquement bénéfique malheureusement!
@++
TheWeasel

Ou alors dès que tu récupères une URL potentiellement faillible, tu avertis le webmestre que tu vas envoyer une équipe d'experts qui va déminer son site, donc qu'il fasse chauffer ses dumps car certains auditeurs pourraient passer du côté obscur de la force et tout bousiller...

OK bah c'est parfait je propose alors que ce topic devienne alors une forme de recrutement pour une guilde, un groupe, une cabale , une compagnie, une organisation,un enesemble,un réseau.... de WH on diffuserai les url sur msn ou IRC avec un travail instructif et collaboratif ?
C'est peu etre plus raisonnable ?
Bref si il faut lancer et ben je suis le premier membre =D
@++
TheWeasel47

Oui, par MSN ou IRC ça vaut mieux, parce que passer des sites faillibles ici ça me paraît vraiment pas une bonne idée. :/

Sinon moi aussi je l'ai déjà fait en solo quelques fois, histoire de tester mes connaisances. Enfin rien de génial.
Autrement moi je suis d'accord, et je vous suis. :)

j'aime bien le terme Guilde... ^^

La guilde des bienfaiseurs :lol:

Pourquoi ne pas creer un topic privé (possible sous punbb), avec  seulement les personnes de "confiances" dedans ?

Cela reglerais le probleme de l'url defacé par un BH ?

et pourquoi ne pas commencer par auditer le site **** ... :)

Mwi cela me semble, à moi aussi, être un bon point de départ =D

Qui a dit trop facile au fond ?

Oui super idée mais comment savoir qui voudra défacer et qui voudra exploiter la faille????
Par exemple je ne vous connait pas beaucoup a part sur le forum et pourtant cette idée m'interesse beaucoup mais après seriez vous près a me rentrez dans vos contacts????

Ce que je veux dire c'est que a part ce que vous connaissez bien du site les autres auront moins de chance de faire partie de cette Guilde!!!!

En tt cas moi je suis partant.

:oops: Bon je ------------> []

J'aime aussi cette idée =)

Moi je suis partant ;)

Je vais vous donner mon MSN par mp ce week end ;-)
@++
TheWeasel

Le souci avec les audits (et crois moi je sais de quoi je parle) c'est que tu repères une faille, tu l'exploites ( sans rien defacer hein attention ) afin de voir le niveau de dangerosité et une fois que ton dossier est fait et que tu préviens le webmaster, ta une chance sur 3 pour sa réponse :

- Merci beaucoup c'est sympa ;)
- Va te faire enc**é sale hacker de me**e
- "pas de réponse"

Le souci c'est que bien souvent, tu tombes sur la 3e, ensuite viens la seconde et de temps en temps tu as un petit remerciement ....

Je ne dis pas que je faisais des audits pour le plaisir d'etre remercié, non non, je dis juste que un petit "merci" pour 2 semaines de boulot gratuit, c'est quand même le minimum et que a force de te prendre des vents et bien tu en as ral le cul ...

Et attention, ce ne sont pas les plus gros site qui sont les plus sympa, bien au contraire :evil:

Je ne participerais pas non plus à ton projet car il me semble que tu ne te rends pas compte du temps que représente un audit sérieu ...

Ouais... Encore, regarder rapidement pour le site de quelqu'un qu'on connaît, pourquoi pas... On est en terrain connu, il sait ce qu'on fait, il dira merci...

Mais aller faire ça sans y être invité, bof...

Et puis au passage, je le rappelle puisque ça a l'air d'être sorti de la tête de tout le monde, si ce n'est pas commandé, ça ne s'appelle plus un audit, mais simplement une tentative d'infiltration, et c'est interdit... Même si c'est pour être gentil...

Oui de ce côté là zours a tout à fait raison, ne passer pas pour des cons en voullant aider et en vous faisant busted :lol:

Eu si des monsieurs en Bleu vous escortent et qu'il y a des journalistes, faites un sourrire et faites pas votre chienne, faites de la PUB pour NC en donnant l'URL =D

Bon je ==> [] mais apres j'arrête hein :P