Crunchez vos adresses URL
|
Rejoignez notre discord
|
Hébergez vos photos
Page 152 sur 182 PremièrePremière ... 52102142144145146147148149150151152153154155156157158159160162 ... DernièreDernière
Affichage des résultats 4 531 à 4 560 sur 5435
  1. #4531
    Certes mais tu ne peux pas faire grand chose d'autres, dans la trèèès large majorité des cas ... le pouvoir obtenu est complétement bénin.

  2. #4532

  3. #4533
    J'en reviens pas de devoir expliquer ça ici, mais un accès à la bdd de prod est pire qu'un accès root. Il y a toutes les informations des gens dedans, leurs mails, parfois téléphone et adresse physiques, et parfois des informations encore plus sensibles comme dans le médical ou les banques.

  4. #4534
    Citation Envoyé par TwinBis Voir le message
    Citation Envoyé par Awake Voir le message
    J'en reviens pas de devoir expliquer ça ici
    J'aurais du écrire « me semble complétement bénin », je ne suis pas développeur web, prenez ça sur le ton de la question de curiosité de la part de quelqu'un qui ne touche que du bout des doigts au web, et encore, en y étant obligé

  5. #4535
    Pas de soucis Mais ouais, les bases de données, c'est LE truc que tu veux pas te faire hacker dans le web. Et donc c'est aussi la cible numéro 1. Les listings d'emails se revendent sur le darknet par exemple.

  6. #4536
    Y'a eu plusieurs rapports (via des honey pots notamment) qu'un des payloads les plus commun c'est un mineur de crypto currency, marrant

  7. #4537
    Ça m'etonne pas, c'est surement plus facilement rentable. Je préfère 1000 fois miner quelques crypto à mon insu que d'avoir une base de données filtrer cela dit

    D'ailleurs juste pour vous rendre compte de l'ampleur du soucis log4j, je regardais les logs d'un site que j'ai fait qui n'est pas encore ouvert (et derrière de l'auth htaccess, et avec un nom de domaine inconnu du public), et il y avait plusieurs tentative d'utiliser la faille. Les mecs scans tout.

  8. #4538
    Citation Envoyé par Awake Voir le message
    Pas besoin de root pour récupérer les accès à la base de donnée de production..
    Et même sans accès à la BDD, tu peux foutre un sacré zbeul sur les serveurs avec des accès lambda.
    Surtout que ça permet d'utiliser plein d'autres failles potentielles dont la difficulté de mise en œuvre était l'accès machine.

    Citation Envoyé par Kamikaze Voir le message
    Y'a eu plusieurs rapports (via des honey pots notamment) qu'un des payloads les plus commun c'est un mineur de crypto currency, marrant
    Ben ça a plusieurs avantages :
    - ça peut rester relativement discret
    - ça donne un revenu régulier
    - les risques d'emmerdes sont bien plus faibles qu'avec le vol de données (surtout si ça touche des domaines sensibles)
    C'est la faute à Arteis

  9. #4539
    Et même sans accès root, tu as un accès a l'exterieur bien dissimulé, qui te permet de facilement transporter des payload, qui elle éventuellement, te permettront peut-être de faire une escalade de privilèges. C'est clairement pas bénin, comme attaque. Certes, si tu as un design de reseau correct et une bonne politique de mise a jour de tes dépendances, tu peux limiter les impacts. Mais tout le monde n'a pas forcement ces deux choses. Et la facilité d'exploitation de la faille est un vrai souci, parce qu'elle permet de facilement et rapidement reperer les systèmes sensibles.
    Ce qu'il faut savoir, c'est qu'on ment beaucoup aux minmatars, surtout lorsqu'ils posent des questions du style: "t'es sûr que ça vole, ce truc ?" Cooking Momo, le 30/08/09

  10. #4540
    Et si l'escalade de privilèges n'est pas possible, il est très simple de déclencher un DDoS, et en contournant tout ce qui aurait pu être mis en place contre ce genre d'attaque sur le serveur.

  11. #4541
    Ok, merci pour vos éclaircissements.

    Du coup on a des exemples de truc un peu critique qui sont tombés à cause de cette faille actuellement ?

  12. #4542
    Ca parle beaucoup trop de weberies sur ce topic.
    Citation Envoyé par Sidus Preclarum Voir le message
    Ben du caramel pas sucré alors...
    "Avant, j'étais dyslexique, masi aujorudh'ui je vasi meiux."

  13. #4543
    Ca parle surtout beaucoup trop de template.
    Alors que tout le monde sait que 95% des projets C++ de l'industrie ce sont des projets en C avec des bouts de classes et des string

  14. #4544
    Les strings sont des templates (basic_string<char>). Mais, en effet, on passe normalement plus de temps à utiliser des templates, qu'à en écrire.

  15. #4545
    Citation Envoyé par Cwningen Voir le message
    Les strings sont des templates (basic_string<char>). Mais, en effet, on passe normalement plus de temps à débugguer des templates, qu'à en écrire.
    ftfy
    "Dieu est mort" · "Si le téléchargement c’est du vol, Linux c’est de la prostitution."

  16. #4546
    Tiens, pour en revenir à log4shell, Gradle vient de sortir une release pour intégrer la version patchée de log4j.
    Je ne sais pas s'il l'utilise pas défaut, mais si oui, y'aurait peut être moyen de s'amuser sur les CI en ligne de GitHub, Azure, Travis etc
    Pas grand chose non plus, vu que le pipeline est containérisé, mais il y a peut être moyen de voler des secrets, ché pas.

    [edit] Bon, en fait sur GitHub les PR sont protégées depuis un moment, faut l'accord du mainteneur pour lancer un pipeline, donc ça va. Mais je me demande ce qu'il en est ailleurs...
    Dernière modification par gros_bidule ; 22/12/2021 à 18h10.

  17. #4547
    Rhalala, plein d'équipes à mon boulot ont mis leur projet à jour en urgence suite à l'annonce de log4shell.
    Ce qui est un peu dommage, c'est que les gens (bcp non experts Java) ont un peu paniqué en voyant log4j-api et log4j-to-sfl4j dans leurs dépendances. Ils ne savaient pas que ces libs ne sont pas vulnérables. On ne l'est qui si l'on dépend et utilise log4j-core
    Au moins ils ont réagit vite, et vite déployé, c'est pas comme d'autres boites.

  18. #4548

  19. #4549

  20. #4550
    J'ai du mal à comprendre comment ça pourrait être d'une quelconque difficulté pour une IA ... une simple bruteforce avec vérification de toutes les combinaisons à chaque tour fairait le job très vite ...
    Si le but est de limiter les robots je vois pas le principe...

  21. #4551
    On est clairement sur un captcha qui sera plus facile à résoudre pour une IA que pour un humain.

    La cerise sur le gâteau c'est quand même de devoir résoudre 10 putain de fois leur puzzle.
    C'est la faute à Arteis

  22. #4552
    Évidemment que tu peux mettre place un classifieur automatique capable de résoudre ce problème spéficique. Comme pour à peut près tout les tests de ce genre.
    C'est juste que le temps de mettre au point ton robot et de le faire tourner, Skype aura mis en place un autre problème à résoudre.
    Rien ne me choque moi, je suis un scientifique ! - I. Jones

  23. #4553
    Moi genre à la 8ème je mettrais "down" au lieu de "up" et tu devras recommencer mais avec 15 trucs.
    Puis à la 11ème je mettrais left ...

  24. #4554
    Citation Envoyé par Helix Voir le message
    Évidemment que tu peux mettre place un classifieur automatique capable de résoudre ce problème spéficique. Comme pour à peut près tout les tests de ce genre.
    C'est juste que le temps de mettre au point ton robot et de le faire tourner, Skype aura mis en place un autre problème à résoudre.
    Nan mais t'a même pas besoin. En 5 minute tu fais un algo même pas réseau de neurone qui reconnais leurs flèches dans toutes les orientations possibles par simple convolution. Tu test tout les pixels avec toutes les orientations de ton filtres, t'obtient les position des flèches avec leur direction et tu cherches les deux avec la même direction, tu tourne jusqu’à ce que ce soit en haut.

    Ça prend 10 minute, niveau licence, même pas besoin de classifier quoi que ce soit sérieusement. J'ai jamais vu un Capacha aussi ridicule Un simple capcha « recopiez le texte à l'écran » avec un texte tout tordu est infiniment plus sécurisé, c'est dire ...

    Nan franchement je vois pas à quoi ils ont pensé en faisant ça

  25. #4555
    Ce n'est pas ce que je te dis. Même sans réseau de neurone, avec une analyse d'image idoine, tu ponds un algo qui traite le problème assez rapidement.
    Je te dis que ces trucs sont toujours facile à résoudre avec un algo spécifique. Ce que cherche Skype n'est pas ça. Skype cherche juste à coincer un robot "classique" par la nouveauté du test. Si les robots se mettent à intégrer ce problème, Skype en posera un nouveau.
    En gros ça prends encore moins de temps pour Skype de poser le problème, que le temps pour le robot d'apparaitre sur le marché.
    Rien ne me choque moi, je suis un scientifique ! - I. Jones

  26. #4556
    Certes, je comprends sur le fond, mais en l'occurence j'ai du mal à voir comment ça peut être une stratégie rentable quand l'algo idoine en question s'écrit en 15 minutes ^^

  27. #4557
    Il y a une certaine inertie chez les concepteurs de robots qui est exploitée, c'est tout.
    C'est comme ça sur tous les problème de détection de contrefaction.
    Rien ne me choque moi, je suis un scientifique ! - I. Jones

  28. #4558
    Je ne me rends absolument pas compte, n'ayant jamais croisé sur Skype de blonde à forte poitrine désireuse de mieux me connaître, mais y'en a tant que ça des bots Skype pour avoir besoin d'un captmiaou ?

  29. #4559
    Je n'en ai aucune idée.
    Rien ne me choque moi, je suis un scientifique ! - I. Jones

  30. #4560
    Citation Envoyé par Nilsou Voir le message
    Ça prend 10 minute, niveau licence, même pas besoin de classifier quoi que ce soit sérieusement.
    Ça fait combien de temps que tu n'as pas croisé un étudiant de licence?

    Des dont je pense qu'ils y arriveraient, j'en connais un, peut-être deux. Ah non mince, ils sont passés en master depuis. Bon ben il va falloir attendre une nouvelle promo atypique...

Page 152 sur 182 PremièrePremière ... 52102142144145146147148149150151152153154155156157158159160162 ... DernièreDernière

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •