{"id":68,"date":"2008-03-18T00:11:29","date_gmt":"2008-03-18T00:11:29","guid":{"rendered":"http:\/\/blog.milamberspace.net\/index.php\/2008\/03\/18\/csrf-ou-comment-voir-des-images-pour-adultes-tout-en-aidant-les-pirates-spammers-68.html"},"modified":"2008-03-18T00:15:46","modified_gmt":"2008-03-18T00:15:46","slug":"csrf-ou-comment-voir-des-images-pour-adultes-tout-en-aidant-les-pirates-spammers","status":"publish","type":"post","link":"https:\/\/blog.milamberspace.net\/index.php\/2008\/03\/18\/csrf-ou-comment-voir-des-images-pour-adultes-tout-en-aidant-les-pirates-spammers-68.html","title":{"rendered":"CSRF ou comment voir des images pour adultes tout en aidant les pirates \/ spammers"},"content":{"rendered":"

C’est quoi le CSRF (cross site request forgeries) ? c’est une technique ‘assez’ nouvelle pour contourner les protections de type CAPTCHA afin de (par exemple) cr\u00e9er des comptes d’email prot\u00e9ger par le syst\u00e8me captcha. Ce dernier est une image qui fait appara\u00eetre des caract\u00e8res \/ chiffres qui sont compr\u00e9hensibles par un \u00ab humain \u00bb afin de s’assurer que la personne est bien un \u00ab humain \u00bb et non une moulinette informatique.<\/p>\n

Le principe du CSRF est simple. On attire un internaute avec des images \u00ab pour adulte \u00bb et pour voir la suivante, on doit saisir un code de caract\u00e8res de type CAPTCHA. Cette image de caract\u00e8res a, en fait, \u00e9t\u00e9 d\u00e9tourn\u00e9e, et provient d’un site \u00ab honn\u00eate \u00bb. L’internaute saisie le code (attir\u00e9 par l’envie d’une nouvelle image), et permet ainsi au pirate \/ spammers d’avoir un code captcha valid\u00e9 afin par exemple de cr\u00e9er un compte email sur un webmail afin d’envoyer des emails SPAM.<\/p>\n

Comment peut-on mettre cela en place ?
\nEn utilisant l’injection de IFRAME (un peu comme le XSS (cross site scripting)) tout simplement. En effet, beaucoup de sites internet ne v\u00e9rifient pas la possibilit\u00e9 d’ex\u00e9cuter du code HTML \/ XHTML dans les param\u00e8tres de formulaires.<\/p>\n

Mieux que des discours, quelques captures d’\u00e9crans pour d\u00e9monstration :<\/p>\n

Commen\u00e7ons par une recherche sur Google sur une adresse IP qui sert de plateforme de piratage. Ici, le mot-cl\u00e9 est l’adresse IP, mais il suffit de chercher sur d’autres mots-cl\u00e9s \u00ab honn\u00eates \u00bb pour tomber sur ce type de lien.<\/p>\n

\"Recherche<\/p>\n

Un clic sur l’un de ces liens, renvoi vers un site \u00ab honn\u00eate \u00bb :<\/p>\n

\"Site<\/p>\n

Mais attention, vous allez \u00eatre redirig\u00e9 automatiquement vers un site avec des images pour adulte. On remarquera l’ajout de la cha\u00eene \u00ab <IFRAME src=\/\/ADRESSE_IP> aux mots-cl\u00e9s du champ recherche. C’est inclut depuis la recherche de Google…
\nOn arrive sur cette page qui pr\u00e9sente une grande photo pour adulte, ainsi que des thumbnails pour \u00ab montrer la marchandise \u00bb.<\/p>\n

\"Image<\/p>\n

Il ne reste plus qu’a cliquer sur le lien Suivant pour voir la prochaine.
\nC’est l\u00e0 que l’internaute va devoir travailler pour le pirate. Et oui, une image Captcha appara\u00eet et l’internaute doit saisir le code pour voir la prochaine image.<\/p>\n

\"Saisie<\/p>\n

Le vice est pouss\u00e9 assez loin, puisque si le code est erron\u00e9, un message d’erreur appara\u00eet et l’internaute ne verra pas l’image suivante…<\/p>\n

\"Erreur<\/p>\n

Ainsi, l’internaute quand il saisit correctement les caract\u00e8res du code Captcha, aide le pirate \u00e0 cr\u00e9er des comptes de messagerie pour faire du spam (par exemple)…
\nC’est du donnant-donnant \ud83d\ude09 (ou de l’\u00e9change de services)<\/p>\n","protected":false},"excerpt":{"rendered":"

C’est quoi le CSRF (cross site request forgeries) ? c’est une technique ‘assez’ nouvelle pour contourner les protections de type CAPTCHA afin de (par exemple) cr\u00e9er des comptes d’email prot\u00e9ger par le syst\u00e8me captcha. Ce dernier est une image qui fait appara\u00eetre des caract\u00e8res \/ chiffres qui sont compr\u00e9hensibles par un \u00ab humain \u00bb afin … Continuer la lecture de CSRF ou comment voir des images pour adultes tout en aidant les pirates \/ spammers<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[23,82,9],"tags":[83,84,349],"class_list":["post-68","post","type-post","status-publish","format-standard","hentry","category-navigateur","category-piratage","category-securite","tag-csrf","tag-iframe","tag-piratage"],"_links":{"self":[{"href":"https:\/\/blog.milamberspace.net\/index.php\/wp-json\/wp\/v2\/posts\/68","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.milamberspace.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.milamberspace.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.milamberspace.net\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.milamberspace.net\/index.php\/wp-json\/wp\/v2\/comments?post=68"}],"version-history":[{"count":0,"href":"https:\/\/blog.milamberspace.net\/index.php\/wp-json\/wp\/v2\/posts\/68\/revisions"}],"wp:attachment":[{"href":"https:\/\/blog.milamberspace.net\/index.php\/wp-json\/wp\/v2\/media?parent=68"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.milamberspace.net\/index.php\/wp-json\/wp\/v2\/categories?post=68"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.milamberspace.net\/index.php\/wp-json\/wp\/v2\/tags?post=68"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}