How to use CSS to make a request via the url() value and retrieve the credentials of the user.

Si une résolution circulaire a lieu, par exemple A -> B -> A.... alors la résolution du domaine et des sous domaine échoue.

En pratique, peu de résolveurs sont imprudents pour ce cas.

Une explication d'un bogue dans l'implémentation des logiciels clients DNS

• Linux : est modulaire et libre.
• Google: Prend Linux pour en faire un gros monolithe sur lequel il a un contrôle total : Android.
• Les fabricants de téléphone: Prennent ce gros monolithe, et tentent tant bien que mal de l'adapter et le bidouiller à leur sauce pour sortir une version pour leur téléphone (en faisant généralement de la merde).
• Google: Corrige des failles de sécurité dans son monolithe.
• Les fabricants: Ne mettent pas à jour parce que c'est très lourd, compliqué et coûteux de refaire les adaptations.
• Les utilisateurs: Se retrouvent avec des téléphones Android contenant de grosses failles de sécurité jamais corrigées.

Bravo Google, tu as réussi à transformer un système d'exploitation à l'origine fiable, sûr, modulaire et facile à mettre à jour en un gros blob moche, truffé de problèmes de sécurité et impossible à mettre à jour. Je n'appelle pas ça une réussite. C'est probablement le pire OS qui existe. Au moins Microsoft arrive à distribuer les correctifs de sécurité sur tous les Windows, peu importe le fabricant de l'ordinateur.

Bien vu !

le mot de passe limité, ça m'a tué. Je comprends tout à fait le problème.

https://lehollandaisvolant.net/?id=20210301063758 recommande ING Direct. À voir

Le classique "les mots de passes était en clair" 💥

Avec de bonnes données personnelles bien valides 😞

C'est vrai que la liste est énorme ! 😱
(via Le Warrior du dimanche)

Publishing private packages as public ones to get the code executed !

Wow ! I might read this in the future. Seems interesting and full of knowledge !
(via https://sebsauvage.net/links/?xdvSfw)

A password with 256 bits of entropy is practically immune to brute-force attacks large enough to quite literally burn the world, but is quite trivial to crack with a universe-scale fuel source.

A password with 327 bits of entropy is nearly impossible to crack even if you burn the whole observable universe trying to do so.

Kids have cracked the login screen by bypassing the password with a coredump by typing like crazy on the virtual and physical keyboards 🤣

Il y a des gens pour créer des ceintures de chastetés connectées.
Et d'autres pour les pirater !

Une faille de sécurité découverte en cliquant sur le bouton "Se connecter avec Google". Elle permet d'y voler le token maître avec un tour de passe-passe, et donc d'avoir accès à toutes les informations du compte Google en question... 😱

Pour se faire une liste des mots pour des attaques de mots de passes par dictionnaires : récupérer les mots de Wikipedia

An exploit explained

w & who pour savoir qui est connecté,
last & lastb pour savoir qui a été connecté,
history (lancé depuis l'utilisateur à vérifier : su username) pour voir les traces laissées,
less /etc/passwd et cat /etc/passwd pour vérifier si on n'a pas créé un utilisateur à l'arrache,
ps et top pour vérifier s'il n'y a pas un processus malveillant,
ss & netstat pour vérifier les faiblesses réseau,
ip
crontab pour vérifier si une tâche cron n'est pas lancée régulièrement
find / -mtime -5 -ctime -5 pour vérifier les fichiers modifiés récemment,
cat /var/log/syslog, cat /var/log/syslog | less, tail -f -n 5 /var/log/syslog, cat /var/log/syslog | grep fail, tail -f /var/log/syslog pour les logs
Via https://shaarli.sebw.info/?aU81yg

(du hollandais volant)

TL;DR the low cost pentests are low cost because they only run automated tools; and they did not report vulnerabilities correctly.