« nope, quand le(s) domaine(s) est(sont) spécifié dans crossdomain.xml ça veux dire que le ou les opérateur(s) de ce(s) domaine(s) peuvent obtenir n'importe quel fichier du domaine ou est crossdomain.xml
présentement il y as deux domaines sur le crossdomain.xml de JVC *.jeuxvideo.com et *.facebook.com ça veux dire que si un type est root sur l'un ou l'autre il peut récupérer n'importe quel fichier/documents sur jeuxvideo.com »
Ouais mais pas de contenu rendu spécifique à l'utilisateur grâce aux cookies donc peu d'intérêt, sachant que le crossdomain se trouvera sur blog.jvc et pas sur le serveur où tu hébergeras le SWF.
«et LFI = mettre un fichier sur le serveur donc ce n'est pas directement pour uploader/supprimer/telecharger/editer mais ça peut être fait en uploadant un shell »
LFI = Locale File Inclusion
Inclusion = lire un fichier, pas mettre
"mais pas de contenu rendu spécifique à l'utilisateur" ça suffis pour lire une base de donnée je suppose
et excuse moi de ma méprise pour le LFI
« ça suffis pour lire une base de donnée je suppose »
Pas du tout, ce genre de faille reste côté client.
Il y a encore du xss persistant sur jvc? Ça m'étonne ça.
Les 12 caractères, c'est une limite qui parait superflue, mais enfaite c'est lié à l'encodage, si c'était hashé on pourrait mettre autant de caractères qu'on le voudrait
Pour ce qui est de l'encodage d'ailleurs je suis d'accord, à part faire gagner 30 secondes lors de la récup du mot de passe, c'est pas très utile. Un hashage ferait de mal à personne.
| Ecrit par « LaPellePCiste », via mobile 23 juin 2013 à 01:03:38
| « Il y a encore du xss persistant sur jvc? Ça m'étonne ça. »
N'importe quelle faille peut être persistante sur un site aussi gros que JVC
Surtout ça peut venir avec les ajouts. Rappel toi les forums JV, lié à la BDD JVC.
Sam avait eu la brillante idée d'utiliser le module de connexion défaillant de ceux-ci pour se connecter sur n'importe quel pseudo sur JVC, donc
C'est un exemple comme un autre
Je poste simplement pour dire que y a un mec qui a linké xkcd, et que résultat, c'est un mec carrément cool. Sinon honnêtement, je m'en branle sévèrement. J'ai un mdp style UjKo2Zzv4, donc imo c'est pas 5 caractères de plus qui vont faire la différence. Ca fait toujours chier de s'faire hack, mais bon, c'est pas la mort non plus quoi. Le hackeur qui arriverait à prendre tous les mdp du site n'est pas encore arrivé, et si il se pointe, j'aurais bien plus envie de le féliciter que de m'inquiéter pour le reste. x)
| https://www.jeuxvideo.com/forums/1-1000021-1811996-1-0-1-0-jvc-et-la-securite-parlons-en.htm#message_1812015
| Citation de PapaHet, 22 juin 2013 à 18:18:29
| « "Déjà, les mots de passe sont limités à 12 caractères"
|
|
| C'est largement suffisant, avec un vrai bon mot de passe. »
C'est clair.
Que le mot de passe soit: 29HGhzgaiAYT47JgakGAjg ou 19GhaHgj2G4 c'est la même.
« N'importe quelle faille peut être persistante sur un site aussi gros que JVC »
Tu n'as pas compris ce qu'est une XSS persistante toi.
« Sam avait eu la brillante idée d'utiliser le module de connexion défaillant de ceux-ci pour se connecter sur n'importe quel pseudo sur JVC, donc »
Non, ce n'était pas Sam
Pardon pour la faille j'ai mal fait le lien, mais oui je pense qu'une faille XSS persistante n'est pas impossible. Bien que pour l'heure, c'est pas ça qui menace le plus les mdps non-hashés
Pour Sam honnêtement, c'est le seul qui revendique tout donc dur à savoir
Sam c'est moi et je ne revendique pas la faille du module de connexion des ForumJV.
oui 15 carractére c'est faible pour un mots de passe , quand je pense que le passe de mon steam a + de 30 caractére
Faut les hashés et vite Meme facebook qui emploie des ingénieur d'un autre niveau que jvc a des failles https://www.google.com/news?ncl=dTyS4Ix-sbEOEaMy6FmcIcyw0DpIM&q=facebook&lr=French&hl=fr ...
Perso ça me rappel une petite anecdote tout ça
Il y a quelques temps maintenant, un youtubeur plutôt connu ( voir même très ) s'était venté qu'il avait prit toutes les mesures possible et inimaginable pour se protéger du hack.
Au final, le lendemain j'était sur son compte
Ps : pour ceux qui ne comprendraient pas le rapport avec le sujet, c'est juste qu'on peut prendre toute les précautions au monde, si quelqu'un d'expérimenté ( très selon les cas ) veut vous hacker, il réussira.
La preuve en est avec le pentagone qui a été récemment piraté
« si quelqu'un d'expérimenté ( très selon les cas ) veut vous hacker, il réussira. »
Non. Il faut qu'il y ait une faille et mathématiquement il n'y aura pas toujours une faille.
PageNoire
Posté le 23 juin 2013 à 05:24:49
« si quelqu'un d'expérimenté ( très selon les cas ) veut vous hacker, il réussira. »
Non. Il faut qu'il y ait une faille et mathématiquement il n'y aura pas toujours une faille.
Il y aura toujours une fail. Si le pentagone, l'armée américaine et la Nasa arrive à se faire pirater, c'est pas un simple site Français de jeux vidéos qui y échappera.
Techniquement c'est faux.
Techniquement c'est faux, mais en réalité c'est vrai.
En réalité c'est faux parce qu'en réalité il se peut que toutes les failles laissées aient été corrigées.