Salut

Je viens lancer une demande juste à fin de m´instruire ( pas avec de mauvaises arrieres pensées)
Voilà sur des journeaux ou autre, on peut voir des pages web piratées ( comme la page web nike il y a un petit moment!!)
Mais je ne comprends pas: Comment on peut arriver a pirater ( ou hacker) un site alors que lorsqu´on vat sur cette page web, on ne peut en aucun cas interagir avec cette derniere ( la modifiée) y a-t-il des logiciels a cet effet ou y a-t-il des " clefs" a saisir sur ces sites?
merci

Bonjour,

Alors, le hackage se presnete sous plusieurs facons :
1) On regarde dans le code source si il y aune erreur dans la page, plus souvent en php.

2) On y va a la tranquille, on se fait connaitre on est respectueux ect... Et puis quand un eprsonnes a une probleme avec un fichier ou autre tu lui dis jpe t´aider, suffit que j´ai les pass FTP et aussi un compte administrateur pour pouvoir modifier, et la hop tu suprimme les admins ect.. TU as le site pour toi tout seul ! ( c´est tres long)

3) On y va a la rache ! !!!! UT prend des logiciels comme Bunga force brute et tu laisse le logiciels tournne tres longtemps pour trouver le pass d´un admin ou du FTP !

----

Tu peux essayer de rentrer sur les sites apr des failles et ne rien toucher juste pour t´amuser ou mettre une banniere de ton site ( ce que je fais souvent)

Bonne continuation !

mais Comment peut on voir si il y a une erreur dans le code source? et si c´est le cas, comment en profiter?

"
Tu peux essayer de rentrer sur les sites apr des failles et ne rien toucher juste pour t´amuser ou mettre une banniere de ton site ( ce que je fais souvent) " ....

Ohhh un a un M. H4ck3rzzzz ici... 8-) ( Yeux tournants)

GTmomo23
vu ce que tu decris pour tes hacking ta cateorie est : " script kiddie"
Detester par
: les vrais " pirates" ( ceux qui trouvent les exploits en reverse engeenering et qui les utilise ; denomme black hat)
: les administrateurs
: les white hack ( debug a des fins informatives : n´utilise pas leurs competences pour s´introduire dans un systeme)

pour pirater un systeme : c´est symple tu repere ses defauts; tu les utilisent et voila tu as les cles.
Le plus dur :
1 reperer les defauts ( peux etre des exploits; defaut de conception . ..)
2 le utiliser ( sans se faire reperer)

Ensuite il y a les attaques type dos ( qui peuvent etre utiliser pour mener une attaque a bien comme dans le cas d´un tcp hijacking) ou simplement pour crasher un serveur ou emmerder un concurrent.
Ces types d´attaques utilise
1) soit des exploits
2) soit des defaut dans l´implementations des protocoles utilise ( couche tcp/ip le plus souvent)

Enfin voila comprendre comment ils y arrivent n´est pas complique ( ils attaquent la machine ; pas seulement la " page web" )
reussir a le faire soi meme ( sans reposer sur les logiciels des autre et utiliser des logiciels qu´on sait pas faire; hein GTmomo23)

Petit encarta sur la securite :
C´est pourquoi administrer un systeme demande du temps : il faut faire une veille pour verifier que les logiciels installe ne sont pas victimes d´un exploit ( des sites de securite les recensent ; ou alors bugtraq), verifier qu´il y a pas de nouveaux de vecteurs d´attaques qui pourrait etre utilise sur notre reseau .
Ceci inclus de ne JAMAIS se logger en root ( autrement qu´en su ; sauf si vous savez ce que vous faites)
D´utiliser des mdp long ( >8 caracteres; 12 est un minimum normalement) avec des caracteres speciaux ; ( ca fait vraiment chier les brute force)
LE standart de secu actuelle est 2^80 operations donc a supposer qu´il y a 10 carcatere , et totalmenet aleatoire ( n´apparetenant pas a un dico) donc a supposer qu´on a 50 caracteres ( alphanumeriques plus speciaux) il faut au moins 15 caracteres pour l´atteindre ; )
Un vrai pirate se renseigne vraiment avant d´attaquer un systeme ( svcan , social engeenering) c´est pourquoi il faut definir une politique de securite et REGARDER ses logs.
Ne pas hesitez a reportez les scans et attaques et spams aux fai d´ou elles proviennent.

Petit conseil a GTmomo23 je n´hesite pas a reporter toutes les tentatives de brute force sur mes serveurs a la fai correspondante. J´espere que tu as de bons proxy . ..

j´ai pas lu ton msg briaeros lol, trop long pass....

pour moi, c´est clair, il y a :

- les merdeux / script kiddies / lamerz / casse couille : les gars qui utilisent des failles déjà connues et qui ne trouve rien, qu´on peut atteindre leur niveau en un soir si on s´y met pendant les vac. Il font des truc comme récemment, utiliser le faille d´awstats qui a fait beaucoup de dégats. A la recherche d´une gloire ephémère en inscrivant leur nom de merde avec des chiffres sur les pages d´accueil et en secroyant underground, ils pensent surement être l´élite de la société et former une nouvelle culture... ( bon peut être pas tous mais en grande partie)

- les pirates : les gars qui cherchent des failles, se sont spécialisés dans le domaine de la sécurité ( ou de l´insécurité informatique plutôt), souvent dans un but comme créer un parc de machine zombie prêt à être exploité pour envoyer des spam, voler des informations confidentielles ( numéro de carte de crédit ? ), attaquer des sites par déni de service ( site concurrent ? ).
Bon après y´a peut être des pirates qui font ça dans leur temps libre, mais je vois pas l´intérêt et je suppose qu´ils sont un tout petit peu intelligent pour ne pas prendre de risque inutile ( l´intrusion dans un système informatique est prévu par la loi en général, et bien cher)...

- les hackers, les développeurs de système d´exploitations, les gars les plus compétents dans l´histoire ( je crois que ce terme était utilisé dans les années 70 pour les développeurs d´unix) et tout.
Bon, forcément, pour leur travail, ils doivent être callé en sécurité informatique, et sont ammenés à corriger des failles de sécurité, et bug en général...

je crois que ce terme était utilisé dans les années 70 pour les développeurs d´unix

euh pas forcement est denomme un hacker un developpeur specialise dans un domaine rpecis ( hacker kernel etc..)
Quand a leurs connaissance de securite , elle se limite le plus souvent a la securite du code ; et encore.
( Un hacker kernel sera " nul" sur du code 3d par rapport a un hacker ( open)gl)

Je n´est jamais hacke en brut, et puis j´ai jamais vraiment hacke !

Pour l´informations je n´utilise pas de proxy sauf quand un petit gars me fais chier, Steganos Internet Anonym, chan IP chaque secondes lol !

Bah.... pendant ce temps personne ne passe :p

vous ete vraiment con vous ete defendu de pirater ( hacké) vous ete bete de faire ca c´est pas inteligeant et sa sairent a rien vous ete tous des pauve tache !

david02
Posté le 20 mai 2005 à 12:45:05
vous ete vraiment con vous ete defendu de pirater ( hacké) vous ete bete de faire ca c´est pas inteligeant et sa sairent a rien vous ete tous des pauve tache !

Detecteur :
24 fautes.
La plus rigolote :
" sa sairent a rien"

le code php d´une page est pas censé être invisible ?

Mwi, sauf si tu lis la page sans l´interpréter, ce qui est parfaitement possible à l´aide d´une page php à côté.

http://www.asp-php.net/tut/tutorial/asp-php/lecture.php

Mais je ne comprend pas comment pouvez-vous " exploiter " des failles?
Je veux dire: vous utilisez un logiciel special?ou il " suffit" de selectionner la faille, clic droit et sa va tout seul?

il éxiste aucune protection pour éviter que le code php soit accessible ? car n´importe qui peut alors avoir le mdp de la bdd . .

le code php est invisible. Les fichiers en . php sont tous interprêtés par php avant d´être envoyé au client. Regarde ce schéma : http://upload.wikimedia.o.org/wikipedia/fr/e/e1/Php.gif

Ensuite, on peut lire le contenu d´un fichier ( donc pourquoi pas un script php), à l´aide d´un script php sur le même serveur. Donc, pour lire le contenu d´un script php, il faut trouver une faille qui permet d´uploader un fichier ( un script php), ou un une faille qui permet d´inclure directement du code. Pour cette dernière méthode, en php, à part si la fonction eval() est utilisée, doit pas y avoir beaucoup de risques de réussir.

La solution : faire des scripts sécurisés et bien réflechir à ce qu´on fait. Ne pas activer l´affichage des erreurs sur un serveur de production, faire bien attention que seul les variables $_GET et $_POST ne soient affectées par l´utilisateur, faire les bons chmod sur chaques fichiers/dossiers.
Regarde sur ce forum, y´a pas mal d´info intéressante si t´es motivé : http://www.developpez.net.net/forums/viewforum.php?f=14

" Mais je ne comprend pas comment pouvez-vous " exploiter " des failles?
Je veux dire: vous utilisez un logiciel special?ou il " suffit" de selectionner la faille, clic droit et sa va tout seul?
"

LOOOOOOOOOL

moi aussi :d

moi pour hacker je fai clic droit sur le site " mettre a la corbeil" et hop pu de site, dailleur jai essayer sur HTTP://WWW.G00GLE.COM/ regarder par vous meme !

oppidium