Journal Zataz : l'arroseur arrosé

Posté par  .
Étiquettes : aucune
0
4
jan.
2006
Le site de haxorz Zataz vient de publier une faille concernant le site de wesh wesh Skyblog :

http://www.zataz.com/news/10092/faille-skyblog.html

"Une faille idiote peut permettre de tromper un internaute souhaitant regarder les photos hébergés sur les blogs enregistrés sur le site de Skyrock."

On pourrait donc changer l'adresse d'une image, super...

Là où ça devient drôle c'est qu'en cliquant sur "en savoir plus" il ne se produit rien de spécial sur Skyblog par contre on est redirigé une l'URL de Zataz :
http://tinyurl.com/be3v8
qui met en évidence une importante et idiote faille de sécurité sur le site de Zataz.

En savoir plus :
http://skyblog.com/direct.php/31962981
  • # http://skyblog.com/direct.php/319629811

    Posté par  . Évalué à 4.

    L'adresse du blog est :

    http://skyblog.com/direct.php/319629811

    Il manquait le dernier chiffre :)
  • # ???

    Posté par  . Évalué à -2.

    Si c'est vraiment le site des développeurs, une devteam qui écrit 10% en SMS, qui utilise Internet explorer ça fait pas très sérieux tout ça.... De plus avec la mentalité de la vengeance est vraiment stupide. Par contre quand on regarde un peu plus loin, parler de ssh, php-imlib et tout ça ça fait un peu bizarre pour un blog qui semble être destiné au commun des skyblogueurs
    • [^] # Re: ???

      Posté par  (site web personnel) . Évalué à 4.

      Je t'invite a t'acheter des lunettes et à regarder toutes les captures d'écran :-)
    • [^] # Re: ???

      Posté par  . Évalué à 3.

      En regardant un peu plus loin tu apprendras que skyblog tourne sous linux ! ( gentoo + mysql )
  • # Vite, vite, on cache

    Posté par  . Évalué à 5.

    Tiens le lien "en savoir plus" sur Zataz a mystérieusement disparu.

    La faille n'a pas été corrigée par contre.
    • [^] # Jedi ? Plus de compte sur dlfp ???

      Posté par  . Évalué à 4.

      Heu ?... Mais ?... Pourquoi diantre ton compte s'est-il fermé ? Est-ce à la suite de ce journal ? (ou alors je suis trop indiscret...)

      C'est dommage quand les comptes d'intervenants intéressants ferment !

      (évidement si ce compte est fermé sans qu'aucun autre ne soit ouvert, ça va être plutôt compliqué de répondre...)
      • [^] # Re: Jedi ? Plus de compte sur dlfp ???

        Posté par  . Évalué à 3.

        <<
        Vous j, Nous Zataz !

        Nous chavons les moyens de fous faire parler !

        Chi fous ne fermez pas fotre compte, votre multiprise périra dans d'atroces souffrances ...
        >>
        • [^] # Re: Jedi ? Plus de compte sur dlfp ???

          Posté par  (site web personnel) . Évalué à 6.

          Je ne sais pas si c'est moi qui ai mal compris ton commentaire ou si c'est toi qui a mal compris celui auquel tu reponds, mais c'est le compte de Jedi sur linuxfr, l'auteur du journal, qui a été fermé.

          En tout cas, je trouve ça dommage que son compte soit fermé. C'est (entre autres) le mainteneur principal de http://pureftpd.org et d'http://ucarp.org . Ses rares commentaires sur Linuxfr étaient souvent très interessants.

          Un fan.
          • [^] # Re: Jedi ? Plus de compte sur dlfp ???

            Posté par  . Évalué à 2.

            Tout en bas de http://www.pureftpd.org/ (logiciel que j'adore) il y'a un drôle de lien "Logos et sonneries pour telephones portables" qui pointe sur http://www.skymobile.com/ et que "Skymobile est un site de Skyrock" dixit la colonne de droite ?

            Tu bosses chez Sky Jedi ? (qui ne pourra pas me répondre ...)
            C'est en rapport avec ton le banissement / exil / je ne sais quoi ?
            • [^] # Re: Jedi ? Plus de compte sur dlfp ???

              Posté par  . Évalué à 5.

              Tu bosses chez Sky Jedi ? (qui ne pourra pas me répondre ...)
              Je vais donc le faire à sa place: oui il fait partie de l'équipe de dév de skyblog (cf: http://devteam.skyblog.com/8.html ).

              Sinon, je suis d'accord avec Chl sur la qualité de ses interventions...

              Le mystère du vol de Jedi sera peut-être résolu avec force un jour, mais c'est à coup sûr très obscur...
  • # Fait exprès

    Posté par  . Évalué à 6.

    Le XSS sur Zataz est fait exprès "à titre d'exemple" et sa fait longtemps (2002): http://www.zataz.com/news/2954.html
    • [^] # Re: Fait exprès

      Posté par  (site web personnel) . Évalué à 3.

      C'est pas grave, quand yen a plus yen a encore:
      http://skyblog.com/direct.php/319781719
    • [^] # Re: Fait exprès

      Posté par  . Évalué à 2.

      Arf!! merci de nous indiquer cette page M. keyes, ca nous rapproche de la vérité.
      Quelque soit la qualité des précédents commentaires de "j", le fait qu'il se serve de ce site pour induire en erreur les gens n'est pas trés honnête.

      Zataz ou Skyblog, c'est certainement deux sites que je ne visiterais jamais. Alors pas la peine de régler vos comptes ici.

      Allez, ouste! dehors les manipulateurs ! ===> [ ] !!
      :o)
      • [^] # Re: Fait exprès

        Posté par  . Évalué à 0.

        Arf!! merci de nous indiquer cette page M. keyes, ca nous rapproche de la vérité.
        Quelque soit la qualité des précédents commentaires de "j", le fait qu'il se serve de ce site pour induire en erreur les gens n'est pas trés honnête.


        Arf "Keyes" et "J"... heureusement que les Men In Black veille sur nous ;-D
      • [^] # Re: Fait exprès

        Posté par  (site web personnel) . Évalué à 3.

        Tu devrais lire le lien que je donne (d'autres failles qui elle sont beaucoup plus graves et certainement pas fait expres) et les commentaires de "Damien" sur le skyblog. J'attends notamment la réponse sur le fait que soit disant cette faille faite expres ne permet pas le meme genre de choses que ce qu'ils dénoncaient (un bete redirect vers une autre page) sachant qu'en javascript tu peux completement modifier la page, faire des redirections, etc...
  • # L'exploit

    Posté par  . Évalué à 1.

    Il est où l'exploit??

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.