Faille de sécurité sur ce forum

Asu · 11 Juillet 2018

Le problème ne se situe pas au niveau d'accepter les images en extension .php, mais simplement au fait que les balises image fonctionnent pour les domaines tiers (donc hors minecraft.fr). C'est le cas pour la quasi totalité des images qui passent sur le forum puisque sinon ça ne fonctionne par les pièces jointes.

Lorsque tu te connectes à un serveur, celui-ci aura dans tous les cas ton IP, pour peu que ton navigateur ne soit pas derrière un VPN/proxy.

Donc il n'y a pas besoin de PHP pour faire ça, si le serveur web est capable de logger toutes les connexions alors il suffit de trier les lignes pour ne récupérer que les GET pour une image voulue et on a l'IP de tous ceux qui sont passés sur la page.

De plus même si l'extension .php était bloquée pour les images ça ne veut pas dire que tu ne pourrais pas exécuter de script côté serveur. Tu peux très bien avoir une extension en .jpg pour un fichier qui est généré par du PHP et ce sans que les clients ne puissent s'en rendre compte.

360matt · 11 Juillet 2018

Asu a dit:
Le problème ne se situe pas au niveau d'accepter les images en extension .php, mais simplement au fait que les balises image fonctionnent pour les domaines tiers (donc hors minecraft.fr). C'est le cas pour la quasi totalité des images qui passent sur le forum puisque sinon ça ne fonctionne par les pièces jointes.

Lorsque tu te connectes à un serveur, celui-ci aura dans tous les cas ton IP, pour peu que ton navigateur ne soit pas derrière un VPN/proxy.

Donc il n'y a pas besoin de PHP pour faire ça, si le serveur web est capable de logger toutes les connexions alors il suffit de trier les lignes pour ne récupérer que les GET pour une image voulue et on a l'IP de tous ceux qui sont passés sur la page.

De plus même si l'extension .php était bloquée pour les images ça ne veut pas dire que tu ne pourrais pas exécuter de script côté serveur. Tu peux très bien avoir une extension en .jpg pour un fichier qui est généré par du PHP et ce sans que les clients ne puissent s'en rendre compte.

robin4002 a dit:
Humm, amusant, quelqu'un qui a découvert le fonctionnement du web.

Oui et ?
En fait même si on bloquait ce qui finissait en .php, tu mets n'importe quel image (ou autre ressource) tout client qui passe par là va faire une requête sur la ressource en question et donc il y aura l'ip dans les logs.

C'est juste le fonctionnement normal du web.

Bah oui mais pour la sécurité des membres ?? Je peux les DDoS ? Je me fais chier.

Oromis · 11 Juillet 2018

Hum... Je n'ai pas énormément de connaissances dans le Web et la cyberdéfense, mais pour du DDoS, faut pas plusieurs machines ? Non car je ne suis pas sûr qu'une seule machine envoie suffisamment de données pour saturer un service (ou alors pas le petit PC domestique)...

ZeroDay · 11 Juillet 2018

360matt a dit:
Bah oui mais pour la sécurité des membres ?? Je peux les DDoS ? Je me fais chier.

C'est toujours faisable en désactivant le PHP ou ce que tu veux. Le seul moyen efficace serait d'empêcher l'intégration d'images... sauf que non.

360matt · 11 Juillet 2018

Et pourquoi ne pas engager un proxie côté serveur pour qu’il affiche de lui-même ? Comme ça les images seront hébergées par mc.fr au lieu des sites tiers.

robin4002 · 11 Juillet 2018

Ça c'est possible oui, au prix d'une charge serveur un peu plus élevé.

Mais franchement le risque est négligeable, je doute que ce soit vraiment utile.

360matt · 12 Juillet 2018

Donc là j’ai juste à MP une personne ciblée avec un certain script pour récupérer son IP.

Des que le MP est ouvert et l’image est déjà chargée.

Un jeu d’enfant pour récupérer les IP

robin4002 · 12 Juillet 2018

En effet.
De la même façon que tu donnes ton ip à de nombreux intermédiaires lorsque tu navigues sur le web. (je ne vois toujours pas où est le problème avec le fait d'avoir l'ip de quelqu'un).

Oromis · 12 Juillet 2018

Et que vas-tu faire avec ?
Géolocaliser la personne à partir des packets et être seulement sûr (ou pas si VPN) du pays où elle habite dû au fait que cela n'est pas nécessairement précis (ou alors tu es le FAI de la personne) ?
Faire lag la connexion (car honnêtement, comme je le disais, je ne suis pas sûr qu'un DDoS puisse se faire avec un PC domestique) ?
Franchement, un "Hacker" n'a mon avis pas grand chose à faire de l'IP de Jean-Kévin78 s'il n'y a rien d'intéressant à faire avec (et dans tout les cas s'il veut récupérer des infos, il faut un peu plus qu'une IP).
Ou alors il s'agit d'un gamin de 12 ans qui veut faire croire qu'il sait comment "hacker" alors qu'il a juste suivi un tuto de comment faire un petit script PHP pour récupérer une IP sur JVC.

360matt · 12 Juillet 2018

Oromis a dit:
Et que vas-tu faire avec ?
Géolocaliser la personne à partir des packets et être seulement sûr (ou pas si VPN) du pays où elle habite dû au fait que cela n'est pas nécessairement précis (ou alors tu es le FAI de la personne) ?
Faire lag la connexion (car honnêtement, comme je le disais, je ne suis pas sûr qu'un DDoS puisse se faire avec un PC domestique) ?
Franchement, un "Hacker" n'a mon avis pas grand chose à faire de l'IP de Jean-Kévin78 s'il n'y a rien d'intéressant à faire avec (et dans tout les cas s'il veut récupérer des infos, il faut un peu plus qu'une IP).
Ou alors il s'agit d'un gamin de 12 ans qui veut faire croire qu'il sait comment "hacker" alors qu'il a juste suivi un tuto de comment faire un petit script PHP pour récupérer une IP sur JVC.

Oui il y a pas grand chose mais c’est toujours gênant de savoir qu’une personne possède notre ip.

Et puis je peux aussi récupérer le user agent tout ça.

Rechercher

Rechercher

Faille de sécurité sur ce forum

Asu

Cheval d'égout

360matt

4dmin de Listenia

Oromis

Command-blocker slimesque

ZeroDay

Modérateur multifonction

360matt

4dmin de Listenia

robin4002

Expert en informatique et systèmes d'information

360matt

4dmin de Listenia

robin4002

Expert en informatique et systèmes d'information

Oromis

Command-blocker slimesque

360matt

4dmin de Listenia

Sujets similaires