Discussions avec un pirate français

Publié le 25 avril 2007

General

Lui
hello l’ami je suis un pirate francais je test ton hebergement veut tu que j’essaye de le pirater pour voir les failles ? mail moi ————— 1er bof sur le lien (2eme de la liste) : "Peut-on placer des videos et des podcasts sur un likipad?" erreur de href http://likipad.com/Q2 au lieu de http://likipad.com/faq.html#Q3 ————- 2eme bof pas de lien login sur le template du blog, mais uniquement sur le mail de confirmation c’est deconcertant http://likipad.com/xxxxxxxx/admin/ ———————

Moi
Tu es un rapide toi. vas y pirate moi ça. J’espère que tu es bon, ça m’aidera pour la suite

Lui
ok je ne veux pas pirater pas le serveur ni la base mysql
même avec ton accord mais si tu veux je fait un premier test sur le spam-post

Moi
non sérieusement. Si tu es bon, tu peux hacker le serveur et la DB. Le site n’est pas encore officiellement ouvert, j’ai uploadé les derniers fichiers il y a quelques heures donc c’est le bon moment.

Moi
fan de jazz et de photographie, comme ça? (je viens de trouver son site)

Lui
oui j’adore le jazz et la photo
autre chose sur le formulaire pour pouvoir ecrire des post rapidement avec un tab (tabulation du clavier)
mettre
<input  tabindex="1" id="titre" name="titre"
<textarea tabindex="2" id="contenu" name="contenu" rows="20" cols="60">
ce qui permet d’utiliser le clavier pour passer du champ sujet au champ texte
ça ressemble a un détail
mais si tu fait 10 000 000 d’utilisateurs X 2 (ou 10) post par jours X 365 X 70 ans….. etc
——————————–

bonne nouvelle, ton ecrire.php me fait galerer
j’y arrive pas par contre pirater le serveur et la base ne sert a rien, c’est surtout les failles d’utilisateurs qui sont a éviter
je ne suis pas certain mais je crois que c’est le postid
j’ai essayé un random texte sur les champs titre et messages
et un javascript de flood (après avoir nomé le <form name"lololo")
 <script type="text/javascript">
document.lololo.submit()
</script>
et ça me renvoi vers le ecrire.php sans valider
donc infloodable (pour l’instant)
j’ai pas trop le temps, mais je regarderai prochainement
——————————
je te met
LE SCRIPT DE FLOOD QUI MARCHE PAS
avec en gras les ajouts
peut être que tu comprendra pourquoi ça ne marche pas et comment ça peut marcher et donc éviter que ça marche.

<script à la con >

il suffit ensuite d’inserer cette page en iframe dans une autre page qui elle à un refresh

Moi
propos de "  <textarea tabindex="2" id="contenu" name="contenu" rows="20" cols="60">"
je te signal que l’on écrit pas dans ce textarea, celui ci est invisible, c’est pour ça que la tabulation ne marche pas.
tu as encore beaucoups de choses à apprendre on dirait

Lui
je ne suis pas certain que tu comprenne le conseil et l’aide
pas grave

Moi
si tu veux m’aider, OK. fait le beta testeur alors, par exemple, le # manquant, c’est bien vu. Tu aurais pu aussi me prévenir que j’appelais des images depuis mon localhost. j’ai vu ça en changeant de PC. tu aurais du le voir, tu as maté le code. mais le coup de ton script dans une frame lancé sans sessions. c’est du niveau du site du zero, ça.
tu en as encore beaucoup des scripts comme ça?
non sériausement, tu peux faire des tantatives de hacking, je te l’ai dit mais quelques chose de sérieux. je parie que tu n’as même pas essayé d’uploadé un fichier php pour prendre le contrôle sur le serveur. c’est le premier truc qu’un hackeur ferait. as-tu essayé d’interpellé les requêtes en cours? as-tu essayé de faire une inclusion sql avec 0=0 ?
je te parle maintenant sérieusement, je suis le premier à faire appel au beta test. Donc, si tu veux continué comme beta testeur, pas de soucis. Mais les hacking pourris…
Je connais vanilla, il  est pleins de failles, tu vois ce que je veux dire, ton forum. il faut pas beaucoup de temps pour le hacker (pour du vrais) en se servant des nombreuses portes ouvertes par les plugins (tu dois le savoir), accès direct SQL. Je peux jouer aussi, tu vois.

Lui
putain mais t’est taré ?
t’arrive pas a faire un href
je suis dans ton serveur depuis des plombes
je te donne des conseil a l’oeil depuis tout a l’heure et tu me nargue ?
t’a fait quoi pour moi pour l’instant ?
rien !
t’a rien fait pour m’aider et moi je t’ai donné quelques conseil de base, des premières erreurs que t’avais pas vus et toi tu prend la mouche
maintenant si tu veux que je te défonce la grosse chatte pourav de ta putain de mère y’a pas de problème l’ami

Moi
lol, moi j’ai jamais pris la mouche tu vois, en fait tu m’as fais rire. J’ai été décu car j’ai cru être face un vrai hacker, c’est comme ça que tu t’es présenté. et puis tu me parle de href, de script trouvé sur un bête site, mais rien de réel question hacking.
Qu’est ce que tu veux que ça me fasse qu’il y a une erreur dans un HREF, j’ai toute une communauté pour passer derriere moi pour ces détails. je commence ma phase de test que demain. Bon je suppose que je peux virrer ton blog?

la diffusion d’annonces sur ce site relève de ma responsabilité et ne représente pas les positions d'une entreprise pour laquelle je travaille

Rédigé par

Christophe Lefevre, spécialiste du SEO et des réseaux sociaux pour les nouveaux médias.

Sur Techtrends, je partage le fruit de ma veille numérique et mes réflexions autour des tendances du web, des médias et nouvelles technologies.

Egalement sur General (49 sur 120 articles)