-
Recherches
Suivre Bleebot
A lire également
- L' intelligence collective est - elle en échec?
- Avant de se lancer dans la création d'un site web 2.0
- Pourriez vous vendre votre blog au diable?
- Bleebot passe en V3
- Les dérives des dérivés de Twitter
- Un EnooOrme digg-like
- Songbird : Le Firefox de la musique
- Blogueur, un nouveau métier
- Blogasty: Revision
- Scoopeo : 15 mois plus tard...
Discussions avec un pirate français
Lui
hello l’ami je suis un pirate francais je test ton hebergement veut tu que j’essaye de le pirater pour voir les failles ? mail moi ————— 1er bof sur le lien (2eme de la liste) : "Peut-on placer des videos et des podcasts sur un likipad?" erreur de href http://likipad.com/Q2 au lieu de http://likipad.com/faq.html#Q3 ————- 2eme bof pas de lien login sur le template du blog, mais uniquement sur le mail de confirmation c’est deconcertant http://likipad.com/xxxxxxxx
Moi
Tu es un rapide toi. vas y pirate moi ça. J’espère que tu es bon, ça m’aidera pour la suite
Lui
ok je ne veux pas pirater pas le serveur ni la base mysql
même avec ton accord mais si tu veux je fait un premier test sur le spam-post
Moi
non sérieusement. Si tu es bon, tu peux hacker le serveur et la DB. Le site n’est pas encore officiellement ouvert, j’ai uploadé les derniers fichiers il y a quelques heures donc c’est le bon moment.
Moi
fan de jazz et de photographie, comme ça? (je viens de trouver son site)
Lui
oui j’adore le jazz et la photo
autre chose sur le formulaire pour pouvoir ecrire des post rapidement avec un tab (tabulation du clavier)
mettre
<input tabindex="1" id="titre" name="titre"
<textarea tabindex="2" id="contenu" name="contenu" rows="20" cols="60">
ce qui permet d’utiliser le clavier pour passer du champ sujet au champ texte
ça ressemble a un détail
mais si tu fait 10 000 000 d’utilisateurs X 2 (ou 10) post par jours X 365 X 70 ans….. etc
——————————–
j’y arrive pas par contre pirater le serveur et la base ne sert a rien, c’est surtout les failles d’utilisateurs qui sont a éviter
je ne suis pas certain mais je crois que c’est le postid
j’ai essayé un random texte sur les champs titre et messages
et un javascript de flood (après avoir nomé le <form name"lololo")
<script type="text/javascript">
document.lololo.submit()
</script>
et ça me renvoi vers le ecrire.php sans valider
donc infloodable (pour l’instant)
j’ai pas trop le temps, mais je regarderai prochainement
——————————
je te met
LE SCRIPT DE FLOOD QUI MARCHE PAS
avec en gras les ajouts
peut être que tu comprendra pourquoi ça ne marche pas et comment ça peut marcher et donc éviter que ça marche.
<script à la con >
il suffit ensuite d’inserer cette page en iframe dans une autre page qui elle à un refresh
Moi
propos de " <textarea tabindex="2" id="contenu" name="contenu" rows="20" cols="60">"
je te signal que l’on écrit pas dans ce textarea, celui ci est invisible, c’est pour ça que la tabulation ne marche pas.
tu as encore beaucoups de choses à apprendre on dirait
Lui
je ne suis pas certain que tu comprenne le conseil et l’aide
pas grave
Moi
si tu veux m’aider, OK. fait le beta testeur alors, par exemple, le # manquant, c’est bien vu. Tu aurais pu aussi me prévenir que j’appelais des images depuis mon localhost. j’ai vu ça en changeant de PC. tu aurais du le voir, tu as maté le code. mais le coup de ton script dans une frame lancé sans sessions. c’est du niveau du site du zero, ça.
tu en as encore beaucoup des scripts comme ça?
non sériausement, tu peux faire des tantatives de hacking, je te l’ai dit mais quelques chose de sérieux. je parie que tu n’as même pas essayé d’uploadé un fichier php pour prendre le contrôle sur le serveur. c’est le premier truc qu’un hackeur ferait. as-tu essayé d’interpellé les requêtes en cours? as-tu essayé de faire une inclusion sql avec 0=0 ?
je te parle maintenant sérieusement, je suis le premier à faire appel au beta test. Donc, si tu veux continué comme beta testeur, pas de soucis. Mais les hacking pourris…
Je connais vanilla, il est pleins de failles, tu vois ce que je veux dire, ton forum. il faut pas beaucoup de temps pour le hacker (pour du vrais) en se servant des nombreuses portes ouvertes par les plugins (tu dois le savoir), accès direct SQL. Je peux jouer aussi, tu vois.
Lui
putain mais t’est taré ?
t’arrive pas a faire un href
je suis dans ton serveur depuis des plombes
je te donne des conseil a l’oeil depuis tout a l’heure et tu me nargue ?
t’a fait quoi pour moi pour l’instant ?
rien !
t’a rien fait pour m’aider et moi je t’ai donné quelques conseil de base, des premières erreurs que t’avais pas vus et toi tu prend la mouche
maintenant si tu veux que je te défonce la grosse chatte pourav de ta putain de mère y’a pas de problème l’ami
Moi
lol, moi j’ai jamais pris la mouche tu vois, en fait tu m’as fais rire. J’ai été décu car j’ai cru être face un vrai hacker, c’est comme ça que tu t’es présenté. et puis tu me parle de href, de script trouvé sur un bête site, mais rien de réel question hacking.
Qu’est ce que tu veux que ça me fasse qu’il y a une erreur dans un HREF, j’ai toute une communauté pour passer derriere moi pour ces détails. je commence ma phase de test que demain. Bon je suppose que je peux virrer ton blog?
25 avril 2007 à 1:22
Je suis mdrrrr, ptdrrrrr
en plus tu as son IP, tu peux même dire qu’il y avait tentatives de piratages
25 avril 2007 à 1:26
non franchement il n’a rien fait
juste essayé de floader depuis une page html de son pc
25 avril 2007 à 1:28
xD !
Par curiosité, tu l’as déniché ou lui ?
25 avril 2007 à 1:36
Entre ton post et celui de cerberus sur la honte des "geeks" ça va fort ce soir ^^
Ça me rappelle la fois où un gars se dit hackeur et sa victime désignée lui donne son ip pour l’aider : 127.0.0.1 ^^
Peu de temps après, y a eu un léger "timed out" sur le chan :p
25 avril 2007 à 1:37
lol, depuis quand le flood est considérer comme du hacking.
peut tu lui demander de venir tester la sécu chez moi mdr
25 avril 2007 à 1:42
pour répondre à shadowkris, c’est lui qui s’est incrusté sur mon site et m’a envoyé un mail par le formulaire de contact.
Pour répondre à kitten, déjà flooder c’est pas terrible, mais flooder son propre blog c’est encore plus con.
25 avril 2007 à 1:45
A mon avis c’est un jeune diplômer de hackademy, lol
25 avril 2007 à 2:00
mouhahahaha "t’arrive pas a faire un href"
25 avril 2007 à 2:10
pour ceux qui voudrait savoir ce que c’était que son super script, c’est un robot en fait. un bete formulaire post appeler x fois par javascript mais bon, il a essayé ça avec l’admin qui est évidemment protégée par session (logique non?) donc je vois même pas à qua ça sert d’essayer.
25 avril 2007 à 3:48
Y a pas de quoi etre fier de cette discussion … autant pour l’un que pour l’autre.
Et l’afficher sur un blog , c’est encore pire. Ouvre un skyblog
25 avril 2007 à 8:16
@Fardeen: tu ne comprends pas la raison pour laquelle j’ai posté ce billet.
Les webmasters ont souvent ce genre de message. En ce qui me concerne, c’est vraiment pas la première fois. Mais celui-ci est édifiant!
c’est vrai que j’aurais peut être du le censuré.
Cette personne pense m’aider en essayant de pirater mon site n’importe comment. Imagine qu’il m’ai pas expliqué ce qu’il avait essayé. J’aurais pu croire que le site avait passé le test du pirate.
A propos, si quelqu’un de doué en hacking (et pas en flood) veut gentillement faire quelques essais, c’est le bon moment.
25 avril 2007 à 9:55
Juste un conseil christophe, tu devrais ajouter un "stripslashes()" sur le nom de tes blogs parce que j’ai vu des truc du genre : "l\’amour", tu vois ce que je veux dire… et il est null ton hackeur, il aurait pu savoir que les "sql injections" n’aurait pas marcher vu que tu as utilisé un "mysql_escape_string()"…ou un truc dans ce genre… bref
!
25 avril 2007 à 10:20
Ha ouais vive le pirate quoi ^^
"J’ai fais un tuto HTML et je sais écrire hello world en PHP je suis l’bosssssss’
25 avril 2007 à 10:25
verone: bien vu.
Le stripslashes est un de mes soucis régulier car sur ma machine de développement, ils ne sont pas nécéssaire.
25 avril 2007 à 12:28
dis chris !
juste une question…. comment trouve tu le temps pour tout tes projets… est ce que tu aurais decouvert une solution pour faire passer le jour à 48 heures ?
25 avril 2007 à 15:22
on me pose toujours cette question. Je bosse pas plus vite, juste diffèrement.
25 avril 2007 à 16:14
Fort cette discution!
Moi aussi je suis hacker depuis que j’ai acheté une souris sans fil!!! Je suis désormais bien caché derrière les ondes de ma souris…
25 avril 2007 à 16:29
chris, c’est koi ta technique ?
25 avril 2007 à 17:11
Comment on dit kaerscher en language geek?
25 avril 2007 à 18:37
tout frais
**********************************
Plugoo dit (18:17) :
[My Plugoo] [laurent wp] fait attention j ai testé ta securité n importe qui peut importer ton theme c pour toi
V m i x x . c o m dit (18:18) :
c’est pas toi qui a eu une discution a ce sujet du hacking avec le webmaster du site Bleebot
Plugoo dit (18:18) :
[laurent wp] je sais pas comment proteger ca moi non plus
Plugoo dit (18:18) :
[laurent wp] non
V m i x x . c o m dit (18:19) :
tu ty connais en hacking
V m i x x . c o m dit (18:19) :
?
Plugoo dit (18:19) :
[laurent wp] moi je m en fous de la securité
Plugoo dit (18:19) :
[laurent wp] non je suis pas un hacker m insulte pas lol
V m i x x . c o m dit (18:19) :
ou est la faille que tu me parle
Plugoo dit (18:20) :
[laurent wp] non mais j ai le meme soucis je ne sais pas comment proteger mon theme
Plugoo dit (18:20) :
[laurent wp] juste un httrack
V m i x x . c o m dit (18:20) :
comment ca
V m i x x . c o m dit (18:21) :
peut tu m’en dire plus stp
Plugoo dit (18:22) :
[laurent wp] un logiciel dont on se sert pour telecharger nos sites et faire des sauvegardes mais ne t inquite pas je suis pas un hacker ne flippe pas juste je te dis que comme moi n importe qui peut telecharger l
V m i x x . c o m dit (18:23) :
c’est quoi le nom du logiciel ?
Plugoo dit (18:23) :
[laurent wp] tape httrack dans google telecharge le logiciel et apres t a plus qu’à filer une url et il pompe tous le site
Plugoo dit (18:23) :
[INFO] Votre interlocuteur [laurent wp] a quitté la conversation.
Plugoo dit (18:24) :
[My Plugoo] [laurent wp] http://www.httrack.com/page/2/fr/index.html
Plugoo dit (18:25) :
[laurent wp] avant j’etais securisé sur une dedibox mais maintenant plus alors je test
Plugoo dit (18:26) :
[laurent wp] t as eu le lien
V m i x x . c o m dit (18:26) :
oui je regarde
Plugoo dit (18:29) :
[laurent wp] ca on s en sert pour deplacer des sites ou autre mais je sais que ca me fait chier de bosser comme ca j aimerai bien pouvoir bloquer mes sources en meme temps c ordpress libre mais bon y a du taff à f
Plugoo dit (18:33) :
[laurent wp] ah non ca va toi apparement il prend pas le model ouf
Plugoo dit (18:33) :
[laurent wp] moi il prend tout
25 avril 2007 à 22:10
c’est surement qu’un détail, mais c’est le même prénom
26 avril 2007 à 1:50
Tu n’est pas le premier, et tu ne sera malheureusement pas le dernier à avoir affaire à ces hackers du dimanche… :-/
17 mai 2007 à 12:21
Salut, j’ai trouvé une faille sur ton site.
Je ne la dis pas ici.
envois mo un mail pour en savoir plus
19 mai 2007 à 12:38
moi c’set GUY les hacker j’ai un logicile qui shop les card voi mon mail mp20025@hotmail.com
19 mai 2007 à 13:06
j’ai pas de soucis réel avec le hacking. Juste un truc, si il y a encore des malins qui veulent tester la sécurité sur mes sites, avant de m’envoyer un message concernant une faille, je préfère que l’on vérifie que cette faille existe!!!