pegase31
Messages postés6138Date d'inscriptiondimanche 21 décembre 2003StatutModérateurDernière intervention 4 septembre 2013
-
5 nov. 2009 à 22:00
tiibz
Messages postés4Date d'inscriptionjeudi 1 mai 2008StatutMembreDernière intervention31 août 2010
-
31 août 2010 à 02:39
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
tiibz
Messages postés4Date d'inscriptionjeudi 1 mai 2008StatutMembreDernière intervention31 août 2010 31 août 2010 à 02:39
mdr aspirer une page php .... Le code php est interpréter par le serveur pas par le client , son code est sécuritaire ça ne serais pas sécuritaire si il y avait un : echo $ton_mot_de_passe dans la page php
BBFUNK01
Messages postés1310Date d'inscriptionjeudi 16 juillet 2009StatutMembreDernière intervention20 juin 20146 18 nov. 2009 à 20:51
Ok, merci.
A plus,
BBFUNK01
WhiteMagus
Messages postés764Date d'inscriptionlundi 21 juin 2004StatutMembreDernière intervention 5 février 2010 18 nov. 2009 à 20:23
Je pense que tu trouveras des très bons exemples sur le site, essaye rien qu'avec "XML" dans la recherche. Bye
BBFUNK01
Messages postés1310Date d'inscriptionjeudi 16 juillet 2009StatutMembreDernière intervention20 juin 20146 18 nov. 2009 à 20:01
tant mieux, car étant débutant, j'ai d'énormes progrès à faire en code as, donc c'est bienvenu. En chargement d'xml en code as2 tu t'y connais ? (rapport à mon player + coverflow).
BBFUNK01
WhiteMagus
Messages postés764Date d'inscriptionlundi 21 juin 2004StatutMembreDernière intervention 5 février 2010 18 nov. 2009 à 19:58
Ouais, désolé. J'écoutais de la musique en écrivant, j'ai pas fait gaffe.
Enfin, c'est pas trop dur à comprendre aussi, je parlais d'une attaque brute force. Mais c'est pas vraiment judicieux non plus car on peut le faire aussi sur la base de données, même si c'est un peu moins simple.
En fait, le seul problème c'est que c'est pas du tout dynamique, quoi... Ce qui limite beaucoup l'utilisation.
Mais n'empêche, on ne laisse rien passer ici!
Bye
BBFUNK01
Messages postés1310Date d'inscriptionjeudi 16 juillet 2009StatutMembreDernière intervention20 juin 20146 18 nov. 2009 à 19:50
Salut Stefbuet, Claudero,et WhiteMaggus,
je suis ravi que ma source (enfin la source que Vamosplaya m'a aidé à faire) suscite des questions. En ce qui me concerne je ne suis pas le mieux placé pour juger du niveau de sécurité du code. En tout cas si vous avez des idées pour le modifier et l'améliorer, n'hésitez pas.
Je pense essayer de mon côté de rajouter une connexion à une base de données pour plus de sécurité donc si vous avez des suggestions, n'hésitez pas.
ps: je n'ai pas encore testé avec ton code WhiteMaggus, en ce moment j'essaie de compiler le fla d'un player mp3 avec le fla d'un coverflow, le tout en as2, et je galère un peu, donc si toi ou d'autres se sentent de m'aider, ça pourra faire une source qui ravira pas mal de monde à mon avis.
A plus,
BBFUNK01
stefbuet
Messages postés576Date d'inscriptionmercredi 5 janvier 2005StatutMembreDernière intervention12 mai 2009 18 nov. 2009 à 19:02
Claude -_-
Tu est au courant que cette source utilise un fichier php depuis le début ?
WhiteMagus je comprend pas le rapport entre une "bombe logique" et la récupération du mdp du php? Je veux bien que tu utilise du md5 pour embêter un peu les gens qui auraient les mdp, mais je vois pas comment les obtenir puisqu'ils sont dans un fichier php, que le serveur ne donnera jamais!
claudero
Messages postés4Date d'inscriptionlundi 3 janvier 2005StatutMembreDernière intervention21 mars 2010 18 nov. 2009 à 15:02
Bonjour, j'ai été confronté avec pratiquement le même problème que j'ai résolu avec un fichier PHP.
ça devrait t'éviter d'être "ASPIRE" EN swf;
BàT. Claude
WhiteMagus
Messages postés764Date d'inscriptionlundi 21 juin 2004StatutMembreDernière intervention 5 février 2010 18 nov. 2009 à 10:41
alors version améliorée de ton php (en même temps je suis pas un expert php) :
<?
// Fonction pour parser les variables de resultat vers FLASH
function Parse($variable,$valeur) {
echo "&" . $variable . "=" . utf8_encode($valeur);
}
// on récupère les variables login et passwd envoyées par Flash
$login=md5($_POST['login']);
$passwd=md5($_POST['passwd']);
if ($login==$mdp1 && $passwd==$mdp2){
Parse("ok","1");//on renvoie à Flash ok = 1
Parse("resultat","IDENTIFICATION CORRECTE");//on renvoie à Flash la valeur de "resulat"
}
else if ($login==$mdp2 && $passwd==$mdp1){
Parse("ok","2");//on renvoie à Flash ok = 2
Parse("resultat","IDENTIFICATION CORRECTE");//on renvoie à Flash la valeur de "resulat"
}
else {
Parse("ok","0");//on renvoie à Flash ok = 0
Parse("resultat","IDENTIFICATION INCORRECTE !");//on renvoie à Flash la valeur de "resulat"
}
?>
Bye
BBFUNK01
Messages postés1310Date d'inscriptionjeudi 16 juillet 2009StatutMembreDernière intervention20 juin 20146 17 nov. 2009 à 17:27
Salut WhiteMagus,
je sais qu'il y a effectivement des sources plus poussées, mais étant débutant en flash et action script, l'idée en mettant la source c'était d'avoir des commentaires constructifs comme le tien par exemple, et également de permettre aux novices qui le sont encore plus que moi d'avoir un exemple supplémentaire parmi tant d'autres pour ce type de code.
A plus,
BBFUNK01
WhiteMagus
Messages postés764Date d'inscriptionlundi 21 juin 2004StatutMembreDernière intervention 5 février 2010 17 nov. 2009 à 09:45
Hi.
Un php n'est théoriquement pas aspirable, du moins par les ports HTTP (moi aussi j'entretenais l'idée contraire, jusqu'à il y a peu). Mais ça laisse toujours des voies aux hackers. Une petite bombe logique sur le FTP, et tout est récupéré. La solution presque acceptable serait d'utiliser un codage MD5 dans le PHP, pour empêcher la lecture des identifiants en dur.
Bon, sinon, l'intérêt de la source est moindre, il y a déjà des tonnes de sources Flash/PHP, certaines beaucoup plus poussées.
Bye.
BBFUNK01
Messages postés1310Date d'inscriptionjeudi 16 juillet 2009StatutMembreDernière intervention20 juin 20146 6 nov. 2009 à 23:26
Ok, merci.
BBFUNK01
stefbuet
Messages postés576Date d'inscriptionmercredi 5 janvier 2005StatutMembreDernière intervention12 mai 2009 6 nov. 2009 à 23:25
Comment ça tu aspires le PHP?
Le PHP ça ne s'aspire pas :o
Tu n'aura que l'équivalent HTML de la page PHP, c'est à dire :
&ok=0&resultat=IDENTIFICATION INCORRECTE !
(dernier "else" dans le php)
et rien de plus...
pegase31
Messages postés6138Date d'inscriptiondimanche 21 décembre 2003StatutModérateurDernière intervention 4 septembre 201312 6 nov. 2009 à 23:18
un logiciel qui permet de retransformer un swf en source flash/flex... illégal si la source de base ne t'appartiens pas, mais salutaire en cas de foirage de sauvegarde. ça permet de voir le code actionscript d'un swf.
Peg'
BBFUNK01
Messages postés1310Date d'inscriptionjeudi 16 juillet 2009StatutMembreDernière intervention20 juin 20146 6 nov. 2009 à 23:15
Peg', peux-tu m'expliquer ce qu'est un décompilateur stp ?
BBFUNK01
pegase31
Messages postés6138Date d'inscriptiondimanche 21 décembre 2003StatutModérateurDernière intervention 4 septembre 201312 6 nov. 2009 à 23:06
stefBuet :
- Tu ouvres le flash avec un décompilateur
- tu récupères l'adresse du php
- tu aspires le fichier php
- tu l'ouvres dans notepad (tout connement)
- tu notes les login/pas de qui tu veux
- tu reviens sous flash et tu rentre n'importe quel pseudo...
Trés sécuritaire.
Peg'
BBFUNK01
Messages postés1310Date d'inscriptionjeudi 16 juillet 2009StatutMembreDernière intervention20 juin 20146 6 nov. 2009 à 22:56
Si tu le souhaites, donnes-moi ton e-mail et je t'envoie la source enregistrée en flash cs3.
BBFUNK01
Messages postés1310Date d'inscriptionjeudi 16 juillet 2009StatutMembreDernière intervention20 juin 20146 6 nov. 2009 à 22:52
Oui, les fichiers sont en flash 10.
Fido166
Messages postés4Date d'inscriptionvendredi 28 avril 2006StatutMembreDernière intervention23 février 2008 6 nov. 2009 à 22:06
Impossible d'ouvrir les fichiers flash. J'ai la version 9.0, serais-ce enregistré avec une version supérieure ???
stefbuet
Messages postés576Date d'inscriptionmercredi 5 janvier 2005StatutMembreDernière intervention12 mai 2009 6 nov. 2009 à 17:34
Je vois pas le problème personnellement...
Les mdp ne sont pas accessibles, ils sont dans le fichier PHP, et la vérification de ceux-ci est effectué dans le PHP, aucunes infos n'est envoyé au client donc pas moyen de trouver le pass.
Je ne vois pas le rapport avec un aspirateur de site ?
La seule façon de trouver un mot de passe serait de faire du brute forcing.
Stef.
BBFUNK01
Messages postés1310Date d'inscriptionjeudi 16 juillet 2009StatutMembreDernière intervention20 juin 20146 6 nov. 2009 à 14:39
Je me doutais que c'était trop facile pour être vraiment fiable. Je n'ai plus qu'à apprendre comment faire une base de données et la mettre en relation avec mon site via des scripts php ... très gros chantier pour un débutant comme moi. Les conseils avisés des pros en la matière seront les bienvenus.
pegase31
Messages postés6138Date d'inscriptiondimanche 21 décembre 2003StatutModérateurDernière intervention 4 septembre 201312 6 nov. 2009 à 09:54
ben tu obtiens l'adresse du php, qui, à l'aide d'un aspirateur de site ou d'un simple lien, permet de lire la source directement ..
Peg'
BananaTree
Messages postés337Date d'inscriptionvendredi 15 octobre 2004StatutMembreDernière intervention 2 novembre 2010 6 nov. 2009 à 09:47
Orange73
Messages postés1375Date d'inscriptiondimanche 28 novembre 2004StatutMembreDernière intervention 2 août 2011 6 nov. 2009 à 09:26
Peg' : "En décompilant le flash, on obtiens le php"
Je ne crois pas qu'on obtienne le PHP mais seulement les ressources flash, non ?
BBFUNK01
Messages postés1310Date d'inscriptionjeudi 16 juillet 2009StatutMembreDernière intervention20 juin 20146 5 nov. 2009 à 22:23
Très bien, c'est un peu ce à quoi je m'attendais, il ne me reste plus maintenant qu'à essayer de créer un formulaire d'identification avec une base de données.
Bonne soirée Peg'
BBFUNK01
pegase31
Messages postés6138Date d'inscriptiondimanche 21 décembre 2003StatutModérateurDernière intervention 4 septembre 201312 5 nov. 2009 à 22:00
"Sans Bdd" = "sans sécurité" car mots de passe en dur ... niveau sécurité il y a déjà eut des tonnes de sujets comme quoi ça n'avait rien de sécuritaire.
En décompilant le flash, on obtiens le php et donc tout les login/pass. N'importe qui peut donc accéder aux comptes de" tout le monde trés facilement et sans grandes connaissance de "hacking".
31 août 2010 à 02:39
18 nov. 2009 à 20:51
A plus,
BBFUNK01
18 nov. 2009 à 20:23
18 nov. 2009 à 20:01
BBFUNK01
18 nov. 2009 à 19:58
Enfin, c'est pas trop dur à comprendre aussi, je parlais d'une attaque brute force. Mais c'est pas vraiment judicieux non plus car on peut le faire aussi sur la base de données, même si c'est un peu moins simple.
En fait, le seul problème c'est que c'est pas du tout dynamique, quoi... Ce qui limite beaucoup l'utilisation.
Mais n'empêche, on ne laisse rien passer ici!
Bye
18 nov. 2009 à 19:50
je suis ravi que ma source (enfin la source que Vamosplaya m'a aidé à faire) suscite des questions. En ce qui me concerne je ne suis pas le mieux placé pour juger du niveau de sécurité du code. En tout cas si vous avez des idées pour le modifier et l'améliorer, n'hésitez pas.
Je pense essayer de mon côté de rajouter une connexion à une base de données pour plus de sécurité donc si vous avez des suggestions, n'hésitez pas.
ps: je n'ai pas encore testé avec ton code WhiteMaggus, en ce moment j'essaie de compiler le fla d'un player mp3 avec le fla d'un coverflow, le tout en as2, et je galère un peu, donc si toi ou d'autres se sentent de m'aider, ça pourra faire une source qui ravira pas mal de monde à mon avis.
A plus,
BBFUNK01
18 nov. 2009 à 19:02
Tu est au courant que cette source utilise un fichier php depuis le début ?
WhiteMagus je comprend pas le rapport entre une "bombe logique" et la récupération du mdp du php? Je veux bien que tu utilise du md5 pour embêter un peu les gens qui auraient les mdp, mais je vois pas comment les obtenir puisqu'ils sont dans un fichier php, que le serveur ne donnera jamais!
18 nov. 2009 à 15:02
ça devrait t'éviter d'être "ASPIRE" EN swf;
BàT. Claude
18 nov. 2009 à 10:41
<?
// Fonction pour parser les variables de resultat vers FLASH
function Parse($variable,$valeur) {
echo "&" . $variable . "=" . utf8_encode($valeur);
}
$mdp1 = "f71dbe52628a3f83a77ab494817525c6";
$mdp2 = "49d02d55ad10973b7b9d0dc9eba7fdf0";
// on récupère les variables login et passwd envoyées par Flash
$login=md5($_POST['login']);
$passwd=md5($_POST['passwd']);
if ($login==$mdp1 && $passwd==$mdp2){
Parse("ok","1");//on renvoie à Flash ok = 1
Parse("resultat","IDENTIFICATION CORRECTE");//on renvoie à Flash la valeur de "resulat"
}
else if ($login==$mdp2 && $passwd==$mdp1){
Parse("ok","2");//on renvoie à Flash ok = 2
Parse("resultat","IDENTIFICATION CORRECTE");//on renvoie à Flash la valeur de "resulat"
}
else {
Parse("ok","0");//on renvoie à Flash ok = 0
Parse("resultat","IDENTIFICATION INCORRECTE !");//on renvoie à Flash la valeur de "resulat"
}
?>
Bye
17 nov. 2009 à 17:27
je sais qu'il y a effectivement des sources plus poussées, mais étant débutant en flash et action script, l'idée en mettant la source c'était d'avoir des commentaires constructifs comme le tien par exemple, et également de permettre aux novices qui le sont encore plus que moi d'avoir un exemple supplémentaire parmi tant d'autres pour ce type de code.
A plus,
BBFUNK01
17 nov. 2009 à 09:45
Un php n'est théoriquement pas aspirable, du moins par les ports HTTP (moi aussi j'entretenais l'idée contraire, jusqu'à il y a peu). Mais ça laisse toujours des voies aux hackers. Une petite bombe logique sur le FTP, et tout est récupéré. La solution presque acceptable serait d'utiliser un codage MD5 dans le PHP, pour empêcher la lecture des identifiants en dur.
Bon, sinon, l'intérêt de la source est moindre, il y a déjà des tonnes de sources Flash/PHP, certaines beaucoup plus poussées.
Bye.
6 nov. 2009 à 23:26
BBFUNK01
6 nov. 2009 à 23:25
Le PHP ça ne s'aspire pas :o
Tu n'aura que l'équivalent HTML de la page PHP, c'est à dire :
&ok=0&resultat=IDENTIFICATION INCORRECTE !
(dernier "else" dans le php)
et rien de plus...
6 nov. 2009 à 23:18
Peg'
6 nov. 2009 à 23:15
BBFUNK01
6 nov. 2009 à 23:06
- Tu ouvres le flash avec un décompilateur
- tu récupères l'adresse du php
- tu aspires le fichier php
- tu l'ouvres dans notepad (tout connement)
- tu notes les login/pas de qui tu veux
- tu reviens sous flash et tu rentre n'importe quel pseudo...
Trés sécuritaire.
Peg'
6 nov. 2009 à 22:56
6 nov. 2009 à 22:52
6 nov. 2009 à 22:06
6 nov. 2009 à 17:34
Les mdp ne sont pas accessibles, ils sont dans le fichier PHP, et la vérification de ceux-ci est effectué dans le PHP, aucunes infos n'est envoyé au client donc pas moyen de trouver le pass.
Je ne vois pas le rapport avec un aspirateur de site ?
La seule façon de trouver un mot de passe serait de faire du brute forcing.
Stef.
6 nov. 2009 à 14:39
6 nov. 2009 à 09:54
Peg'
6 nov. 2009 à 09:47
6 nov. 2009 à 09:26
Je ne crois pas qu'on obtienne le PHP mais seulement les ressources flash, non ?
5 nov. 2009 à 22:23
Bonne soirée Peg'
BBFUNK01
5 nov. 2009 à 22:00
En décompilant le flash, on obtiens le php et donc tout les login/pass. N'importe qui peut donc accéder aux comptes de" tout le monde trés facilement et sans grandes connaissance de "hacking".
Peg'