• contre toutes

Bof, faut vraiment avoir que ça à foutre et les pirates ont plus d'intêret à s'occuper de site rapportant du fric que jvc

« les pirates ont plus d'intêret à s'occuper de site rapportant du fric que jvc »

Tous les pirates ne sont pas des voleurs de carte bancaire tu sais... N'oublie pas que JVC est le forum le plus actif de France, et que quand une simple XSS est exploitée correctement ça peut créer un bordel monstre.

PageNoire
Posté le 22 juin 2013 à 18:20:49
« C'est largement suffisant, avec un vrai bon mot de passe. »

Si ton mdp est une suite de caractères aléatoire impossible à retenir c'est largement suffisant ouais, après si tu veux un mot de passe que tu es dans la possibilité de retenir il est parfois plus prudent de mettre quelque chose d'un peu plus long.
Lien permanent

Tu te réponds tout seul implicitement et tu dis une incohérence : si déjà les gens ne retiennent pas 12 caractères (dont 6 d'utilisés en moyenne ), comment ils vont retenir plus ?
Foutre quelque part un mdp c'est pas la mer à boire. On y peut rien si un mec pleure parce qu'il a foutu abc123 ou passw0rd en mdp. Ceci dit je suis pour des rajouts de caractères, mais ça changera pas le fait que les gens foutent des mdp simples qui ont souvent 5 - 6 caractères ^^

Je pense que c'est pas grave au pire de se faire hack un pseudo, c'est pas comme steam ou autre ou on a des infos bancaires et tout

« Tu te réponds tout seul implicitement et tu dis une incohérence : si déjà les gens ne retiennent pas 12 caractères (dont 6 d'utilisés en moyenne ), comment ils vont retenir plus ? »

Là je parlais du cas d'un truc long et un peu complexe mais facile à retenir.

Par exemple, si tu prends quelques mots, tu remplaces certaines lettres par des chiffres ressemblants, tu fous quelques majuscules et des caractères spéciaux divers, et c'est déjà à la fois très dur et trouver et bien plus facile à retenir que quelqueqFjtysEo0XWLSMrC35MX.

Ce xkcd explique très bien https://xkcd.com/936/

• que quelque chose comme

Ah d'acc ;)
Mais généralement les gens se font pas chier, ils ont un mdp assez court qu'ils foutent sur tous les comptes qu'ils ont. (c'est un fait ^^)
Par contre je ne comprends pas pourquoi FortyTwo n'a toujours pas décidé de rajouter des caractères supplémentaires aux mdp

« sans accès au code source, et ça c'est extrêmement rare »

Comme je l'ai dit, une faille semblable à une LFI a récemment été trouvée sur JVC (au niveau du serveur des vidéos si tu veux savoir)

« Y a pas de "presque" en sécurité, soit c'est possible, soit ça l'est pas. En l'occurrence ça l'était pas et ça ne l'est toujours pas. »

Ouais mais ça reste une LFI, ce qui veut dire que JVC laisse des LFI dans son code, et s'il y en a une il peut tout à fait en y avoir une plus grave, donc "mieux vaut prévenir que guérir"

honnêtement on me hack mes comptes jvc c'est pas que je m'en tape mais si un peu quand même quoi

Autant l'adresse mail et autres trucs vraiment privés ça me gonflerait mais mon compte jvc ou autre d'un forum de fangirl lambda; sachant que jamais j'ai mis mon vrai nom adresse, CB ou chépakoi comme renseignement perso...on m'a déjà hacké une fois y a deux trois ans j'avais envoyé un mail et tout maintenant je me casserai pas autant la tête, autre chose à faire

Certaines personnes peu prudentes utilisent les mêmes mdp sur plusieurs sites, eux ça les concerne par contre...

il y as du encore XSS et du CRLF sur JVC, je peux vous l'assurer et je ne vous parle même pas de la partie blog

« il y as du encore XSS et du CRLF sur JVC, je peux vous l'assurer »

Tu connais une XSS sur JVC qui est toujours dans la nature, en dehors des blogs ?

« et je ne vous parle même pas de la partie blog »

Oui, sauf qu'elle n'est pas gérée par l'odyssée interactive elle, et heureusement qu'elle est sur un nom de domaine différent. Un ami avait trouvé une injection SQL dessus d'ailleurs

| https://www.jeuxvideo.com/forums/1-1000021-1811996-3-0-1-0-jvc-et-la-securite-parlons-en.htm#message_1812561
| Ecrit par « PageNoire », 22 juin 2013 à 22:06:02
| « « il y as du encore XSS et du CRLF sur JVC, je peux vous l'assurer »
|
| Tu connais une XSS sur JVC qui est toujours dans la nature, en dehors des blogs ?
|
| « et je ne vous parle même pas de la partie blog »
|
| Oui, sauf qu'elle n'est pas gérée par l'odyssée interactive elle, et heureusement qu'elle est sur un nom de domaine différent. Un ami avait trouvé une injection SQL dessus d'ailleurs »

le blog est dans un sous domaine mais je ne sais pas s'il est sur les même machine, en tout cas si il y as un hub sur les serveurs qui stoquent la base de donnée je pense qu'on peut y acceder depuis le blog.

Et oui il y as encore une page qui as du XSS sur la partie principale de JVC (et deux avec du CRLF)

par ailleurs j'hésite à les signaler à l'administration, mon esprit se bat encore pour savoir si je devrais me faire chier à savoir comment les exploiter et les exploiter ou bien simplement rapporter à l'administration les pages vulnérables

« mon esprit se bat encore pour savoir si je devrais me faire chier à savoir comment les exploiter et les exploiter »

Si tu as besoin de conseil demande

| https://www.jeuxvideo.com/forums/1-1000021-1811996-3-0-1-0-jvc-et-la-securite-parlons-en.htm#message_1812610
| Ecrit par « PageNoire », 22 juin 2013 à 22:19:23
| « « mon esprit se bat encore pour savoir si je devrais me faire chier à savoir comment les exploiter et les exploiter »
|
| Si tu as besoin de conseil demande
|
|
| »

nan ça iras, je préfèrerais être autodidacte si j'enfile un chapeau noir

Et je confirme: on peux acceder à n'importe quel fichier sur jeuxvideo.com depuis blog.jeuxvideo.com, cf: le fichier crossdomain.xml donc la base de donnée également pour peu qu'on prenne la peine de chercher dans quel sous-dossier elle se trouve.

« on peux acceder à n'importe quel fichier sur jeuxvideo.com depuis blog.jeuxvideo.com, cf: le fichier crossdomain.xml »

Ouais mais tu n'auras pas accès aux cookies il me semble, donc ça sert un peu à rien non ?

« donc la base de donnée également pour peu qu'on prenne la peine de chercher dans quel sous-dossier elle se trouve »

Tu ne confonds pas LFI et XSS là ?

nope, quand le(s) domaine(s) est(sont) spécifié dans crossdomain.xml ça veux dire que le ou les opérateur(s) de ce(s) domaine(s) peuvent obtenir n'importe quel fichier du domaine ou est crossdomain.xml

présentement il y as deux domaines sur le crossdomain.xml de JVC *.jeuxvideo.com et *.facebook.com ça veux dire que si un type est root sur l'un ou l'autre il peut récupérer n'importe quel fichier/documents sur jeuxvideo.com

et LFI = mettre un fichier sur le serveur donc ce n'est pas directement pour uploader/supprimer/telecharger/editer mais ça peut être fait en uploadant un shell