NewbieContest

I. Introduction :

La Faille dite "Drive By pharming" est une attaque qui permet de contrôler les routeurs à distances,
Ce qui rend cette faille impressionnante, c'est qu'on l'exploite graçe à du html ...

II. Théorie :

Il faut savoir que cette faille est basé sur la faille CSRF, c'est à dire qu'un simple code html et parfois un peu de javascript permettent d'effectuer une action non désiré par le visiteur, par exemple :

<img src=http://sitevicitme.com/vote.php?id=5&vote=10>

Les visiteurs verront une image vide alors qu'ils auront sans s'en rendre compte, exécuté une requete GET et donc  voté avec une note de 10 sur l'id numéro 5 d'un site de vote ...

Mais alors comment arrivé à contrôlé les routeurs avec sa ?

Tout simplement il suffit d'analyser les requête envoyé par les routeurs, et de les faire rejouer à qui on veut ^^
Là vous allez me dire : "Et comment on fait si la requête n'est pas une GET mais une POST ?"

Je vous répond qu'il suffit simplement de faire envoyé un formulaire avec un peu d'ajax et des donnée POST ;)

III. Pratique : (Vidéo)

Voilà une video entièrement réalisé par moi :

http://rapidshare.com/files/119183675/Drive_By_pharming_1_.avi (http://rapidshare.com/files/119183675/Drive_By_pharming_1_.avi)

J'ai pas regardé la vidéo (miam time), mais au niveau de la forme :

 - Les différentes parties doivent être plus petites que le titre principal
 - Le vidéo ne doit pas être en rouge
 - Comme d'hab, les fautes

Sur le fond :

 - Tu annonce une technique, sans expliquer réellement en quoi elle consiste
 - Tu mets une vidéo sans expliquer ce qu'elle va montrer
 - Tu parles de requêtes GET, POST, pourquoi ?
 - On ne sait pas ce qu'est le Drive By Pharming
 - C'est un peu court jeune homme...

J'attends les avis des autres

Enjoy

The lsd

oui c'est mon premier ...
mais presque tout est expliqué dans la video ;)

Moi je mettrais des explications texte quand même. J'ai du aller voir sur google pour savoir ce que c'était, c'est donc que c'est pas super bien expliqué ici. C'est à améliorer.

Tu peux déjà appliquer les changements que j'ai dis (taille des titres, couleurs, fautes...)

Accesoirement, c'est pas une faille, si j'ai bien compris, mais du SE, bref, c'est autre chose

Enjoy

The lsd

Edit : ah et puis rapidshare aussi...

attention en aucun cas du SE pure,

sans la faille il n'aurai rien de possible ...
et pis bon, c'est facile de dire : tien visite mon site

quand il le visitera, sa lui, ouvrira un port si il est sensible à la faille drive by pharming ...
donc c'est pas trop du SE, mais bel et bien une faille ...

EDIT : je vais changer le titre du post ;)

J'ai à peine lu, je n'ai pas téléchargé la vidéo. Mon avis : c'est de la vidéo, donc c'est poubelle.

Je suis désolé, mais outre le fait qu'en règle générale, les vidéos sont toutes pourries (je ne juge pas celle ci que je n'ai pas vu), je ne comprends pas pourquoi je devrais me casser le cul à télécharger un gros fichier, que je ne pourrais de toute façon pas imprimer pour lire à tête reposée. Je suis peut-être un vieux con, mais je suis contre ce genre de chose. On n'a jamais fait mieux que le vrai papier pour expliquer quelque chose.

Et de toute façon, le fait que le fichier ne soit pas hébergé par NC est de toute façon rédhibitoire.

Non tu ne l'est pas, chacun à le droit de dire son avis ;)

EDIT : je vais faire un tuto texte d'une dizaine de pages (qui comprendera aussi la CSRF), j'espère vous allez être content, il sera peut être long mais au moins, il sera bien détaillé ...

Un bon tuto n'est pas forcément long. Au contraire, même. :)
Cela dit, typiquement, j'aurais un fichier texte sous la main, il serait déjà imprimé et je l'aurais potasser en faisant ma pause. Là, le fichier, non seulement j'ai déjà la flemme de le télécharger (en imaginant que rapidshare n'est pas bloqué au taff) et encore plus de le regarder.

Mon dieu mais que vois-je ??? Une faute ? Tout le monde est donc touché par cette maladie alors ? Même _o_, on est tous foutus !

Enjoy

The lsd

oki oki, bon je vais le faire en html alors ...

The lsd : Hé oui, cette maladie se transmet de plus en plus vite :p, mais on est pas tous foutu pour autant ... ;)

Bon, j'ai regardé la vidéo, et là, ça confirme tout ce que je pense (en mal) de ce genre de tuto :
1) 10 min pour télécharger le fichier, c'est trop long.
2) 1280x1024, c'est une résolution idiote pour mon portable. Mais si je dézoome, c'est tout moche.
3) Évidemment, les trois-quarts du temps, la vidéo ne montre que le vide d'un éditeur de texte ou le papier-peint d'un bureau.
4) Si on te fait des remarques sur ton tuto, comment vas-tu faire pour les prendre en compte ? Le réenregistrer ? Faire des coupes et un montage ? (en particulier pour... les fautes d'orthographe ! :) )
5) Quel est l'intérêt de regarder quelqu'un taper du code ? Dans un article, le code est imprimé. Celui qui connait passe rapidement dessus, quelqu'un d'autre peut examiner plus attentivement le code.

Mais surtout, la remarque la plus importante est celle-ci : lorsqu'on rédige un papier, on est obligé de fixer ses idées avant. Définir ce que l'on veut montrer, structurer son document. Relire, faire relire, retoucher... Toutes choses qui sont extrêmement laborieuses et casse-pieds. Mais c'est le prix à payer pour faire une documentation de qualité. Et ce que j'observe sur tous les tutos vidéos, c'est que justement, ça permet de faire un tuto très vite, mais qu'il manque de toutes les qualités sus-citées (et en particulier, de structure).

Bref, tout ça pour appuyer ma grande opinion de cette forme de communication. Cela dit, pas de panique : ta démonstration tient debout, le sujet est intéressant, tu le présentes correctement, il n'y a pas de raison d'en faire des tonnes sur le papier (pas plus que tu ne l'as fait sur ta vidéo). Juste un peu travailler la structure (une introduction qui présente globalement la manip et traduit les termes techniques, une conclusion qui résume et... qui pourrait présenter des solutions aux problèmes abordés...), et revoir certaines phrases (y'a des moments, ça ne veut rien dire, mais c'est normal si c'est de l'improvisation comme je le suppose).

Tout ça pour dire que j'approuverai une version papier (mais pas sans relecture !). :)

NB: y'a juste un petit détail. Il me parait absolument nécessaire d'illustrer ton propos avec des captures d'écran de l'interface de la box (petites, les captures, hein !). Aux relecteurs et admins : qu'en est-il de la possibilité d'héberger ces images sur le serveur ?

Voilà :

http://alperge.lescigales.org/tutofaille/index.php (http://alperge.lescigales.org/tutofaille/index.php)

Dites moi si je parle trop ouvert ou pas assez et vos critiques ;)

Déjà, une petite précision, étant donné que je ne suis pas sûr que ce soit bien clair : le texte de ton tuto sera posté dans le forum, pas seulement un lien vers celui-ci (mais rien n'empêche de fournir le lien quand même). Ceci pour éviter les tutos pointant vers des liens morts.

Côté vocabulaire, je pense que le mot «routeur» n'est pas adapté. Là, il s'agit d'attaquer les box des particuliers, qui font accessoirement routeurs, mais n'en sont pas à proprement parler. Et puis, un vrai routeur (un truc avec 20, 50 ou 200 ports !) s'attaquera moins facilement (quoique... quand je vois les IHM web que Cisco a réussi à pondre ces derniers temps...).

Sur le fond :

Trop tôt. C'est ta conclusion, en fait.

Donner au moins l'explication de l'acronyme CSRF (et si possible, le décrire en une phrase simple).
L'exemple du sondage est pas mal, mais il faudrait la recadrer pour bien expliquer qu'il s'agit d'un sondage sur un site, qui n'est pas le tien, etc...

Ou, plus simplement «L'attaque». C'est le coeur de ton papier, finalement.

Mon avis sur cette partie : commence par expliquer que tu ajoutes... quoi au fait ? Une translation de port ? En tout cas, ce n'est pas une simple ouverture. Bref, décrit ce que tu fais sur l'IHM, puis explique la capture par LiveHttpHeaders. Ensuite seulement, l'url d'attaque (en la décrivant précisément : tout le monde ne connait pas cette manière de spécifier le login et le mot de passe dans le cas (précis) de l'authentification HTTP).

Là aussi, tu devrais réexpliquer que tu reviens à ta page web malicieuse, car ça ne me semble pas très clair.


Ça veut dire quoi «vous avez les sources du routeur» ? Si c'est une supposition, alors il faut un «si». As-tu des exemples de fournisseurs offrant les sources ? Si oui, c'est toujours bon à préciser. Et ajouter un mécanisme de session ne bouchera pas forcément le trou.

Changer le mot de passe (et même le nom d'utilisateur, si c'est possible), reste le moyen simple et immédiat. Si tu connais des gros fournisseurs d'accès dont les box ne permettent pas la modification, précise-le : c'est important, et je ne pense pas qu'il en reste beaucoup, mais je peux me tromper.

Enfin, il me semble qu'il te manque une possibilité : je crois qu'il existe des add-ons, notamment pour Firefox (mais pourquoi pas pour un autre navigateur) qui permettent de lutter contre les CSRF. C'est à mon avis à signaler.

Et pour l'ordre dans la liste, franchement, c'est d'abord le mot de passe, ensuite l'add-on, et pour finir les sources (mais je reste très dubitatif sur ce dernier point).

Ah, au fait, je pense qu'il est prétentieux de déclarer Il existe deux méthode de se sécuriser : en es-tu sûr ? :)

Sur la forme :

Ta capture d'écran de l'interface de la box Alice est trop grande et illisible. Pourquoi ne pas prendre une capture limitée à l'instance d'un navigateur et pas en plein écran ? (qui plus est, ça permettra d'éviter de savoir ce qui traîne dans ta barre des tâches, tes onglets, etc...).

Et pas de smileys (ou alors pas beaucoup). C'est une documentation, pas un chat.

Pour terminer, le nerf de la guerre : il y a beaucoup trop de fautes de frappe ou d'orthographe. Vraiment beaucoup.

Bon courage ! :)

oki merci je vais corriger tout sa demain après-midi

Bon je viens de lire un peu plus en détail.

Souviens toi qu'il existe une pléiade de balises à utiliser sur le forum. Ton exemple de sondage, tu peux le mettre entre balise citation ou code pour le démarquer du reste du tuto. Pareil pour tout ce qui est code html.

J'ai remarqué que tu utilises des styles pour le textes (gros italique...). Je trouve ca bien, ca met en valeur ce qui est important. Bon, point trop n'en faut, mais c'est bien.

J'attends la suite pour donner d'autres éventuelles remarques. En tout cas, je te félicite. Tu prends soin d'écouter les remarques qu'on te dis et de corriger ton texte après. Surtout qu'il y a eu une paire de grosses remarques (principalement passer de tuto vidéo à tuto écrit).Il y en a qui n'ont pas autant de tact.

Enjoy

The lsd

Bon ben il y a de moins en moins de choses a repprocher, j'ai pas le temps de lire en détail, mais c'est bon a 90% de ce que j'en vois en défilant

Enjoy

The lsd

merci, mais c'est surtout grâce à vous deux que j'ai réussi à l'améliorer ;)

sinon, j'attends toujours vos critiques avec impatience ^^

J'ai encore plusieurs choses à modifier ? ou alors il va bientôt être poster ?

Il y a encores des fautes qui trainent, et j'attends l'avis des autres relecteurs pour voir ce qu'ils en pensent

Enjoy

The lsd

Il reste encore beaucoup de fautes d'orthographe.

je viens de corriger plusieurs fautes d'orthographe,
J'espère toutes, sinon signaler-le moi,

Merci,

abc528, ++

Bon, j'ai vu encore une paire de fautes, pas super graves mais à corriger tout de même.

J'aimerais avoir l'avis d'autres personnes que _o_ tout de même, vu que le topic commence à trainer

Enjoy

the lsd

Je me répète, mais il reste pas mal de fautes d'orthographe (et même de frappe !). Quelques exemples :

ou encore

mais sinon le tuto est sympa

Bon, sur la forme, je viens de corriger quelques fautes d'orthographe, je pense qu'il n'y en a plus des masses.
Sur le fond, tuto intéressant, je valide !

Bon ben je pense que tout le monde est d'accord, on la valide.

Je sais toujours pas comment on fait pour passer ca en tutoriel validé, donc je laisse faire quelqu'un de plus compétent

Enjoy

The lsd

On admire le sérieux de la correction, la phrase :
est maintenant devenue :
Bref...

Bon, pour ce qui est de la validation, la technique était : suppression de tous les commentaires, puis déplacement dans la catégorie Tuto. Mais je me rends compte que je n'aime pas perdre mes commentaires (et surtout, je me souviens de discussion sur l'hébergement des images qui se retrouvent maintenant aux oubliettes, alors que je ne me souviens plus très bien de ce qui en avait été conclu).

Donc si les modos ont une méthode qui permet de conserver la présente discussion, j'en serais très heureux.

Je vais essayer de splitter le topic en deux, ce qui aurait (normalement) pour conséquence de mettre le tuto dans la partie tuto et de laisser le reste ici (j'ai bien dis normalement !)

Enjoy

The lsd

Edit : et ben voila c'est pas compliqué !
Pour tout le monde : Split -> on sélectionne le post a séparer, et on valide. Ça nous fait deux topics, un avec le post qu'on voulait splitter et un autre avec tous les posts originaux

Edit 2 : j'ai donc mis le tuto dans la partie tutoriel. Pour l'instant, les images sont toujours hébergées sur un serveur externe, donc il faut voir ça assez rapidement.

Plusieurs possibilités :

• les enregistrer sur le serv NC directement
• les enregistrer sur un serv dédié (genre free)

Ensuite, dans les deux cas : un formulaire d'upload (avec les dangers que l'on connait, et même ceux que l'on ne connait pas), ou bien un up à la main par la team admin ?

Accessoirement, dans le cas d'un serveur free faire un backup de ces images, dans le cas d'un pwnedage (je suppose que le serveur actuel fait déjà un backup auto)

Oui, mais pas totalement bon : le nouveau fil n'apparait :
- ni dans la liste SMF accessible par "Liens rapides / Nouveaux sujets".
- ni dans la boite "Actu sur le forum" de la page d'accueil du site.

Et ce n'est pas un problème parce que je suis relecteur : Zmx n'a pas vu non plus la publication.

EDIT: je pense que c'est juste un problème de date : il a conservé sa date d'origine, donc il est hors des clous de la boite Actu et il est considéré comme modifié, ce qui explique pourquoi il n'est pas dans les liens rapides.

Hmm je n'ai pas réellement d'autre solution pour l'instant. Je me suis posé la question justement, j'attendais de voir un retour de ce genre.
A moins de s'amuser à modifier le code source de SMF, mais bon, je sais pas trop si c'est possible/facile.

Une autre possibilité serait de copier coller le post en créant un nouveau topic dans la section topic(mais il faut la fonction Modifier que les relecteurs ne doivent pas avoir, pour garder la mise en forme). Le problème est que le créateur du topic ne serait pas l'auteur du tuto mais un modo/relecteur. Et je suppose que ca risque de faire jaser les auteurs.

Bref, à voir aussi, sans oublier le problèmes des images.

Enjoy

The lsd

(Très) mauvaise idée, ça obligerait les admins à faire des reports lors des mises à jour (c'était justement le problème de l'intégration site/punBB avant que zours reprenne tout le code avec SMF).