Vous n'êtes pas identifié(e).

  • Contributions :
  • Vos boîtes de messages privés sont vides.

🟣 Comment j'ai truqué les sondages du journal "Le Parisien" ?


#1 2015-07-18 15:11:52

Mention Julien G
🥈 Grade : Soldier

Membre du CercleOfficierForce PolyvalenteIngénieur web
Lieu : Lyon
Inscription : 2015-06-26
Messages : 589
Likes : 2

Développement PHP
Sécurité
Automatisation Web
Social Engineering
Site Web

Comment j'ai truqué les sondages du journal "Le Parisien" ?

Bonjour,

Je ne suis pas un expert en SEO, moi mon truc c'est contourner les limites ! Aller là ou personne n'a jamais été...
C'est pour ça qu'il n'y a pas si longtemps que ça j'étais à fond dans la sécurité informatique et pour dépasser les limites je cherchais des failles de sécurité. Sur des banques françaises (qui doivent encore y être, ils m'ont racrochés au nez avant l'explication), Free (numéro surtaxé non merci) , Decitre (merci pour le livre sur le SEO) et le journal "le Parisien" (très sympathiques, faille corrigée). Je suis pas un "mauvais bougre" après chaque exploitation et un petit screen aux copains ( roll ), j'appellais le site en question.

Je vais vous parler du journal le Parisien, pour vous présenter les possibilités black hat en marketing (bien que ça ne soit pas bien ne pas faire smile ) en exploitant les failles de sécurité.
Il y avait un sondage qui disait :

Trouvez-vous normal que Julie Gayet bénéficie des moyens de l'Etat ?

J'étais d'humeur taquine et j'ai décidé de dire que "OUI" la copine du président devait se faire payer les croissants avec nos impôts ! J'ai donc boosté ça et admirer les commentaires. UN DÉLICE !

Pourquoi est ce que je vous raconte tout ça ? Car ceci pourrait être appliqué pour truquer des sondages en votre faveur, mettre votre commentaire en top commentaire sur des sites (oublier ça avec un module Facebook grrr), etc ! Quand vous ne pouvez pas passer par la porte de devant, il suffit de prendre la porte de derrière (pour l'exemple hein, le Black Hat c'est mal) smile

Petite explication technique pour les intéressés :

J'ai analysé la requête envoyée par mon navigateur pour effectuer un vote.
1437177665-proxy-php.png
Une requete POST sur l'URL "www.leparisien.fr/article/4528217/vote" avec comme paramètres "id_question" qui vaut "3641" et sert au serveur à identifier à quelle question on répond. On a aussi "id_reponse" qui vaut "8043" et correspond à la réponse "NON".
En créant un petit script en Javascript et l'intégrant sur une page à fort trafic, chaque visiteur enverra un vote "NON" sur le sondage.


<script src="//code.jquery.com/jquery-1.10.2.js"></script>
<script>
$.post( "http://www.leparisien.fr/article/4528217/vote", { id_question: "3641", id_reponse: "8043" } );
</script>
 

Voilà comment ça se traduit en programmation ! Pour les curieux encore la, la faille se nomme CSRF (Cross-Site Request Forgeries).

Comment sécuriser ceci ?

Il suffit d'ajouter un jeton de sécurité dans les paramètres qui sera généré puis vérifier par le serveur.


J'éspère que ce petit exemple vous aura donné des idées ! Pour la petite annecdote ce type de faille à été trouvé sur YouTube il y a 1 ou 2 mois neutral

Plus qu'un tutoriel sur les failles web, je vous montre une façon de penser : la mienne.
Merci de votre lecture !
Julien G,

Dernière modification par Julien G (2015-07-18 15:13:45)

0
J'aime ❤️

🔴 Hors ligne

#2 2015-07-18 17:02:54

Mention Webredaction
🥉 Grade : Scout

AuxiliaireStratège
Lieu : CRETEIL
Inscription : 2015-05-14
Messages : 133
Likes : 1

Rédaction
Rédaction
Rédaction
Rédaction
Site Web

Re : Comment j'ai truqué les sondages du journal "Le Parisien" ?

Félicitations wink
C'est vraiment hallucinant de constater qu'ils n'utilisent pas un token !


Rédacteur web : CP à 1,9 € les 100 mots  - rédacteur à Créteil (94).
Aucune sous-traitance.
wink

0
J'aime ❤️

🔴 Hors ligne

#3 2015-07-18 22:17:00

Mention Julien G
🥈 Grade : Soldier

Membre du CercleOfficierForce PolyvalenteIngénieur web
Lieu : Lyon
Inscription : 2015-06-26
Messages : 589
Likes : 2

Développement PHP
Sécurité
Automatisation Web
Social Engineering
Site Web

Re : Comment j'ai truqué les sondages du journal "Le Parisien" ?

Webredaction a écrit :

Félicitations wink
C'est vraiment hallucinant de constater qu'ils n'utilisent pas un token !

Et les banques n'utilisent pas de htmlentities() sur leurs paramètres GET ! roll
C'est hallucinant tout de même je te l'accorde !

0
J'aime ❤️

🔴 Hors ligne

#4 2015-07-19 08:41:10

Mention jeromeweb
🥉 Grade : Scout

Auxiliaire1000 messages
Lieu : pas loin de paris
Inscription : 2014-10-12
Messages : 1 328
Likes : 5

PHP
Automatisation Web

Re : Comment j'ai truqué les sondages du journal "Le Parisien" ?

Joli :-)

0
J'aime ❤️

🔴 Hors ligne

#5 2015-07-19 09:18:31

Mention decamat
🥉 Grade : Scout

AuxiliaireIngénieur web
Lieu : 59
Inscription : 2015-05-24
Messages : 204
Likes : 0

Adminstration Serveur
Data Base Admin
Développement JAVA
intégration Html Css

Re : Comment j'ai truqué les sondages du journal "Le Parisien" ?

Merci, effectivement il suffit parfois de prendre un peu de recul et de penser différemment des autres moutons...

0
J'aime ❤️

🔴 Hors ligne

#6 2015-07-19 13:07:12

Mention wildjack
🥉 Grade : Scout

AuxiliaireStratège10likesConsomateur de LiensMembre Hospitalier
Lieu : 06000 Nice
Inscription : 2013-10-30
Messages : 971
Likes : 30

Scraping
Netlinking
Marketing
Networking SEO
Site Web

Re : Comment j'ai truqué les sondages du journal "Le Parisien" ?

tres interessant cette facon de voir, merci


Automatisation puissante et simple des tâches web avec Zennoposter
http://zennolab.com/en/buy-it-now/versi … 0290a31898

Skype : laurent_sauvage

0
J'aime ❤️

🔴 Hors ligne

#7 2015-07-20 07:47:18

Mention razbithume
🥉 Grade : Scout

AuxiliaireStratègeMembre Hospitalier
Inscription : 2013-09-17
Messages : 827
Likes : 1

Audit et Analyse
Scraping
Marketing
Site Web

Re : Comment j'ai truqué les sondages du journal "Le Parisien" ?

sympa l'explication smile


Vive les regex et le xpath !

0
J'aime ❤️

🔴 Hors ligne

#8 2015-07-20 08:04:53

Mention uode
🥉 Grade : Scout

Auxiliaire
Lieu : Marseille
Inscription : 2014-08-20
Messages : 149
Likes : 0
Site Web

Re : Comment j'ai truqué les sondages du journal "Le Parisien" ?

Dingue le peu de sécurité pour un site de cette réputation, heureusement qu'on utilise pas le même système pour les présidentielles... smile

0
J'aime ❤️

🔴 Hors ligne

#9 2015-07-20 08:19:26

Mention korleonbiz
🥉 Grade : Scout

AuxiliaireStratège
Lieu : 42
Inscription : 2012-10-31
Messages : 582
Likes : 8

Netlinking
Audit et Analyse
Networking SEO
Site Web

Re : Comment j'ai truqué les sondages du journal "Le Parisien" ?

J'aime!!!


-----------------------------------------------------------------------------------------------

Seule limite: l'imagination.

0
J'aime ❤️

🔴 Hors ligne

#10 2015-07-20 08:24:10

Mention msieur_benjamin
🥉 Grade : Scout

Auxiliaire
Inscription : 2014-10-02
Messages : 232
Likes : 1

Re : Comment j'ai truqué les sondages du journal "Le Parisien" ?

Bien joué

0
J'aime ❤️

🔴 Hors ligne

#11 2015-07-20 12:41:55

Mention jeromeweb
🥉 Grade : Scout

Auxiliaire1000 messages
Lieu : pas loin de paris
Inscription : 2014-10-12
Messages : 1 328
Likes : 5

PHP
Automatisation Web

Re : Comment j'ai truqué les sondages du journal "Le Parisien" ?

uode a écrit :

Dingue le peu de sécurité pour un site de cette réputation, heureusement qu'on utilise pas le même système pour les présidentielles... smile

Les vieux sites sont tellement des usines à gaz au fur et à mesure des années qu'il y a plein de failles de la sorte, bien que ça paraisse incroyable

0
J'aime ❤️

🔴 Hors ligne

#12 2015-07-20 13:56:48

Mention CaptainSeo
🥉 Grade : Scout

AuxiliaireStratège
Inscription : 2015-06-25
Messages : 147
Likes : 1

Audit et Analyse
Rédaction
Networking SEO
Html Css
Site Web

Re : Comment j'ai truqué les sondages du journal "Le Parisien" ?

C'est plutôt fort ça !
Merci pour ton explication

0
J'aime ❤️

🔴 Hors ligne

#13 2015-10-20 06:43:10

Mention salemioche
🥉 Grade : Scout

AuxiliaireIngénieur webStratège
Inscription : 2015-10-09
Messages : 250
Likes : 0

Adminstration Serveur
PHP
Scraping
Cloaking

Re : Comment j'ai truqué les sondages du journal "Le Parisien" ?

Merci jquery pour ces nouvelles opportunités smile ( avant, on collait ca dans un src d'une img, mais ca ne marchait que pour les GET )

Si vous voulez sécuriser un tout petit peu, sans vous embeter :

à la fin de la page (on autorise le visiteur à voter sur la question):
$_SESSION[$id_question] = true;

en début de page de réception de vote :
if ( ! $_SESSION[$id_question] ) die('');

Merci Julien wink


__
Powering Nikozen

0
J'aime ❤️

🔴 Hors ligne

#14 2015-10-22 13:39:01

Mention cb_nalex
🥉 Grade : Scout

AuxiliaireStratège
Inscription : 2014-04-26
Messages : 784
Likes : 2

Html Css
Netlinking
Sémantique
Audit et Analyse

Re : Comment j'ai truqué les sondages du journal "Le Parisien" ?

^^ GG


°¨¨°³º¤£ [  COOLBYTES  ] £¤º³°¨¨° - Skype: cb_nalex_levrai

0
J'aime ❤️

🔴 Hors ligne

#15 2015-11-16 15:11:02

Mention reyvax50
🥉 Grade : Scout

AuxiliaireBusiness Man
Lieu : Normandie / BZH
Inscription : 2015-10-26
Messages : 55
Likes : 3

Audit et Analyse
Marketing
Advertising
Site Web

Re : Comment j'ai truqué les sondages du journal "Le Parisien" ?

J'étais d'humeur taquine et j'ai décidé de dire que "OUI" la copine du président devait se faire payer les croissants avec nos impôts !

Au delà du coté technique, J'adore et j'adhère à cet état esprit :-)

Merci pour l'échange


- Je rassemble tout les tools seo sur Visibilite.net

0
J'aime ❤️

🔴 Hors ligne

#16 2016-02-16 12:47:59

Mention Julien_G
🥈 Grade : Soldier

Membre du CercleOfficierForce PolyvalenteIngénieur web
Lieu : Lyon
Inscription : 2015-06-26
Messages : 589
Likes : 2

Développement PHP
Sécurité
Automatisation Web
Social Engineering
Site Web

Re : Comment j'ai truqué les sondages du journal "Le Parisien" ?

Je me permet de UP mon premier topic pour ceux qui l'aurait loupé smile

0
J'aime ❤️

🔴 Hors ligne

#17 2016-02-16 12:48:46

Mention Jaffaar
🥇 Grade : Guardian

AdminMembre du Black LaboMembre du CercleOfficierForce PolyvalenteIngénieur webKilluavie1000likesConsomateur de Liens1000 messagesMembre HospitalierPhilantrope
Lieu : Consultant SEO / WEB
Inscription : 2012-06-01
Messages : 8 406
Likes : 1316

Développement PHP
Développement JS
Networking SEO
Social Engineering

Re : Comment j'ai truqué les sondages du journal "Le Parisien" ?

LOURD !


Comment Ranker ?
Nouveauté : Ninja Web Pro Pack copies limitées !
Ebook : Ninjalinking 2022 (-25% : labo25e)           
Conseils stratégiques ou techniques ? ( Skype : jaffaarbh )

0
J'aime ❤️

🟢 En ligne

#18 2016-02-16 13:01:51

Mention Woods
🥉 Grade : Scout

AuxiliaireStratège
Inscription : 2013-10-25
Messages : 326
Likes : 2

Netlinking
Networking SEO
Automatisation Web
Scraping

Re : Comment j'ai truqué les sondages du journal "Le Parisien" ?

Good partage ! smile c'est du beau, ça change des partages de scripts kiddies que l'on trouve sur les forums de hacking.

Pour ceux qui souhaitent s'initier/s'entrainer aux failles web, parmi les sites de challenge les plus connus il y a :
hxtp://www.newbiecontest.org
hxtp://www.root-me.org/fr/Challenges/

Et ma petite selection des meilleurs communautés fr avec de sacrés bon tutos :

hxtp://n-pn.fr
hxtp://hackademics.fr

Dernière modification par Woods (2016-02-16 13:04:02)

0
J'aime ❤️

🔴 Hors ligne

#19 2016-02-16 13:16:25

Mention Julien_G
🥈 Grade : Soldier

Membre du CercleOfficierForce PolyvalenteIngénieur web
Lieu : Lyon
Inscription : 2015-06-26
Messages : 589
Likes : 2

Développement PHP
Sécurité
Automatisation Web
Social Engineering
Site Web

Re : Comment j'ai truqué les sondages du journal "Le Parisien" ?

Woods a écrit :

Good partage ! smile c'est du beau, ça change des partages de scripts kiddies que l'on trouve sur les forums de hacking.

Pour ceux qui souhaitent s'initier/s'entrainer aux failles web, parmi les sites de challenge les plus connus il y a :
hxtp://www.newbiecontest.org
hxtp://www.root-me.org/fr/Challenges/

Et ma petite selection des meilleurs communautés fr avec de sacrés bon tutos :

hxtp://n-pn.fr
hxtp://hackademics.fr

J'approuve les sites de challenges même si j'ai jamais été fan et j'ai toujours préféré tester sur le terrain smile

Pour les forums j'ai déserté aussi depuis la mort de Unity-Soft, il y a trop de gens qui veulent tout sans rien dans ce genre de forum je trouve mais merci des adresses !

0
J'aime ❤️

🔴 Hors ligne

#20 2016-02-16 13:38:41

Mention aolivier
🥉 Grade : Scout

AuxiliaireStratègeMembre Hospitalier
Inscription : 2013-01-08
Messages : 565
Likes : 2

Netlinking
Networking SEO
Audit et Analyse
Site Web

Re : Comment j'ai truqué les sondages du journal "Le Parisien" ?

Good job !

0
J'aime ❤️

🔴 Hors ligne

Pied de page des forums