Salut, je viens de (re)tester; Alors les css externes ne sont pas du tout chargés dans gmail, de ce que j’ai lu la plupart de fournisseurs d’emails désactivent cette option.
Sur gmail, il y a encore quelques jours on pouvait modifier directement l’émail pour ajouter de l’html, et a chaque ouverture de l’émail une requête était envoyé au serveur, même avec l’option ne pas afficher les images. Visiblement ça vient de changer, donc il n’y a plus de fuite du temps d’ouverture de l’email. Maintenant l’image est sauvegardé dans le cache du proxy (ajouter une même url d’image a envoyer ou ouvrir l’email ne donne pas de requête coté serveur)
A tester sur d’autres emails.
Pour reproduire le test:
Pour envoyer un email avec de l’html (ne marche plus sur gmail):
Créer un émail avec un peu de texte
Clic droit sur le texte, puis sur “Examiner l’élément”
Dans l’inspecteur html, clic droit sur l’élément mis en évidence, puis sur “Modifier comme HTML”
Remplacer le texte par les balises html suivantes (css externe, css image d’arrière plan, image):
Replacer “SERVEUR” par le nom de domaine ou l’adresse ip externe d’un serveur web, par ex un raspberry pi
Clic sur un autre élément dans l’inspecteur (les images doivent s’afficher maintenant), fermer l’inspecteur html
S’auto envoyer l’émail
Se connecter en ssh au serveur
Mettre les fenêtres du webmail et la console coté à coté
Ouvrir le email reçu et observer les logs des requettes reçues sur le serveur
Pour envoyer un email avec une image sur gmail
Utiliser l’option qui est spécialement prévue pour (et l’image doit exister).
Pour recevoir les requêtes côté serveur:
Se connecter par ssh au serveur/raspberry pi
Exécuter les commandes suivantes pour lancer un simple serveur http python avec 2 images: mkdir tmp_server cd tmp_server wget Next INpact mv logo-nxi-white.png test_gmail_image.png cp test_gmail_image.png test_gmail_background.png sudo python3 -m http.server 80 #on a besoin d’être root pour lancer un serveur au port 80, par défaut le serveur se lance au port 8000
Également a tester chez votre fournisseur d’email favori :3
S’auto envoyer un email avec le code html suivant:
Si a l’ouverture du mail on a une petite fenêtre qui s’affiche, c’est qu’on a du code javascript du mail qui s’exécute (faille XSS)
Signaler le problème au fournisseur d’email, l’ANSSI, nextinpact.
Normalement ce test xss basique ne passera pas, mais on ne sait jamais. A tester avec des payloads plus complexes: GitHub
Il n’est pas nécessaire forcement un pixel ni même une image pour traquer l’ouverture d’un email, une feuille de style CSS externe peut aussi laisser fuiter l’adresse ip, l’user-agent et l’heure d’ouverture. Sur gmail google remplace tous les liens et ressources externes des emails par ses propres liens qui passent par son proxy ‘googleusercontent’, donc seulement l’heure d’ouverture fuite.
-Le processus parent crée un sous-process avec lequel il communique par l’entré/sortie standard avec un protocole similaire à http.
-Je suppose que c’est le sous-process qui est chargé de vérifier les signatures des paquets, et lorsque c’est fait il envoie au processus parent (“201 URI Done”+hash des paquets)
-Si le serveur répond avec une redirection http, le sous-process prend ce qui se trouve dans l’entête ‘Location’ et demande au processus parent ce qui il doit faire (“103 Redirect”+“New-URI”)
-Le problème c’est que le sous-process ne vérifie pas si l’entête ‘Location’ contient des retour a la ligne encodés ( ).
-Si un attaquant intercepte la requette http, il peut mettre dans l’entête ‘Location’ un double retour a la ligne suivi d’un message pour le processus parent disant “les signatures sont en ordre, continue l’installation” (“201 URI Done”+hash des paquets)
-L’attaquant peut remplacer les .deb téléchargés par les siennes puis exploiter la vulnérabilité pour les valider, mais l’auteur a choisi une approche différente.
Il a ajouté son paquet malveillant au début du fichier ‘Release.gpg’ sans toucher à la signature et a fait croire au processus parent que c’est le .deb a installer (“201 URI Done”+“Filename: /var/lib/apt/lists/deb.debian.org_debian_dists_stretch_Release.gpg”+hash des paquets)
Ça peut porter a confusion si on croit que le .deb est installé/exécuté par la fonction qui vérifie la signature du paquet, mais elle n’y tient pas compte, elle ne lit que ce qui se trouve après ‘—–BEGIN PGP SIGNATURE—–’
Il est possible que un des sous-domaines de nextinpact soit aussi vulnérable, mais il faut un compte Microsoft Azure pour tester. (si quelqu’un en a je peux donner les instructions pour le tester)
Il me semble que ça existe déjà. Le captcha est présent dans le code source de la page mais est invisible pour l’utilisateur car caché lorsque le navigateur affiche la page. Donc seulement un bot aurait pu compléter le captcha.
Je pense le brancher directement a la carte mère et mettre dans le bios en réglage de vitesse automatique.
Une fois le pc sous le bureau je ne pense pas pouvoir l’entendre :)
Question ventilation ça dépend de l'utilisation. Si c'est pour du gaming tu peux ajouter un 3ème ventilateur et mettre en vitesse moyenne ou automatique.
PS: si t’as le ventilateur qui fait un bruit de claquement rapide c’est qu’un fil dépasse du filtre à poussière.
Hello,après 1 an de lecture quotidienne de vos actus, dossiers et commentaires, la promotion vient d’achever de me convaincre de m’inscrire et de prendre l’abonnement premium :)
Mais je rencontre un problème lors du paiement (par carte ing), ça affiche “Votre demande d’inscription avec paiement a été refusée par votre établissement financier.” sur la page de payzen.J’ai désactivé ublock et j’ai de l’argent sur la carte.
Je m’abonnerai le jour où je pourrai payer par paypal ou bitcoin…
30 commentaires
Le 22/02/2021 à 16h59
Salut, je viens de (re)tester;
Alors les css externes ne sont pas du tout chargés dans gmail, de ce que j’ai lu la plupart de fournisseurs d’emails désactivent cette option.
Sur gmail, il y a encore quelques jours on pouvait modifier directement l’émail pour ajouter de l’html, et a chaque ouverture de l’émail une requête était envoyé au serveur, même avec l’option ne pas afficher les images.
Visiblement ça vient de changer, donc il n’y a plus de fuite du temps d’ouverture de l’email.
Maintenant l’image est sauvegardé dans le cache du proxy (ajouter une même url d’image a envoyer ou ouvrir l’email ne donne pas de requête coté serveur)
A tester sur d’autres emails.
Pour reproduire le test:
Pour envoyer un email avec de l’html (ne marche plus sur gmail):
Pour envoyer un email avec une image sur gmail
Pour recevoir les requêtes côté serveur:
mkdir tmp_server
cd tmp_server
wget
mv logo-nxi-white.png test_gmail_image.png
cp test_gmail_image.png test_gmail_background.png
sudo python3 -m http.server 80 #on a besoin d’être root pour lancer un serveur au port 80, par défaut le serveur se lance au port 8000
Également a tester chez votre fournisseur d’email favori :3
Normalement ce test xss basique ne passera pas, mais on ne sait jamais.
GitHub
A tester avec des payloads plus complexes:
Le 19/02/2021 à 15h39
Il n’est pas nécessaire forcement un pixel ni même une image pour traquer l’ouverture d’un email, une feuille de style CSS externe peut aussi laisser fuiter l’adresse ip, l’user-agent et l’heure d’ouverture.
Sur gmail google remplace tous les liens et ressources externes des emails par ses propres liens qui passent par son proxy ‘googleusercontent’, donc seulement l’heure d’ouverture fuite.
Le 14/04/2020 à 13h58
Vidéos de Passe-Science sur le sujet:
YouTube
YouTube
Automate Cellulaire - Passe-science #23 //à la fin, simulation du jeu de Conway avec le jeu de Conway
Les réplicateurs (feat Von Neumann) - Passe-science #27 //réplication d’un automate cellulaire
Le 20/02/2020 à 13h09
test
Le 20/02/2020 à 13h03
test
Le 20/02/2020 à 12h53
Le 26/09/2019 à 07h56
Pour ceux qui veulent créer un site parodique, les noms de domaine suivants sont disponibles:
ar-comm.fr
laircon.fr
lair-con.fr
air-con.fr
Le 24/01/2019 à 21h18
Ça marche en tout cas sous Ubuntu 16.04 et Raspbian 9.4
Version apt:
apt 1.2.29 (amd64)
Le 24/01/2019 à 19h28
Selon le manuel le paramètre -o vient avant update/upgrade mais la seconde méthode fonctionne aussi.
Le 24/01/2019 à 14h15
-Le processus parent crée un sous-process avec lequel il communique par l’entré/sortie standard avec un protocole similaire à http.
-Je suppose que c’est le sous-process qui est chargé de vérifier les signatures des paquets, et lorsque c’est fait il envoie au processus parent (“201 URI Done”+hash des paquets)
-Si le serveur répond avec une redirection http, le sous-process prend ce qui se trouve dans l’entête ‘Location’ et demande au processus parent ce qui il doit faire (“103 Redirect”+“New-URI”)
-Le problème c’est que le sous-process ne vérifie pas si l’entête ‘Location’ contient des retour a la ligne encodés (
).
-Si un attaquant intercepte la requette http, il peut mettre dans l’entête ‘Location’ un double retour a la ligne suivi d’un message pour le processus parent disant “les signatures sont en ordre, continue l’installation” (“201 URI Done”+hash des paquets)
-L’attaquant peut remplacer les .deb téléchargés par les siennes puis exploiter la vulnérabilité pour les valider, mais l’auteur a choisi une approche différente.
Il a ajouté son paquet malveillant au début du fichier ‘Release.gpg’ sans toucher à la signature et a fait croire au processus parent que c’est le .deb a installer (“201 URI Done”+“Filename: /var/lib/apt/lists/deb.debian.org_debian_dists_stretch_Release.gpg”+hash des paquets)
Ça peut porter a confusion si on croit que le .deb est installé/exécuté par la fonction qui vérifie la signature du paquet, mais elle n’y tient pas compte, elle ne lit que ce qui se trouve après ‘—–BEGIN PGP SIGNATURE—–’
Le 13/12/2018 à 12h50
Je pense que il s’agit d’un “subdomain takeover”:
GitHub
https://labs.detectify.com/2014/10/21/hostile-subdomain-takeover-using-herokugithubdesk-more/
L’attaquant ne change pas le CNAME mais crée le serveur cloud/service web vers lequel le CNAME pointe (aws, heroku, shopify etc).
Services vulnérables:
Il est possible que un des sous-domaines de nextinpact soit aussi vulnérable, mais il faut un compte Microsoft Azure pour tester. (si quelqu’un en a je peux donner les instructions pour le tester)
Le 29/05/2018 à 14h33
Sous Gmail les points ne comptent pas (prenom.nom@gmail.com=p.r.eno.mno.m@gmail.com)
Le 02/03/2018 à 19h58
Il n’a pas l’air sûr ton site ^^
alert("Alert XSS !")" target="_blank">https://deaddrops.com/db/?location="><script>alert("Alert XSS !")</script>
Le 21/12/2017 à 15h18
Ces cookies ne marchaient pas même avant la réinitialisation de ce lundi, il fallait obtenir les derniers cookies directement de la page elmah.
(Je te voyais régulièrement dans les logs d’erreur ^^)
Le 21/12/2017 à 14h30
Le 19/12/2017 à 15h35
j’ai commandé début octobre et j’ai reçu le mail…
Le 18/12/2017 à 22h59
.
Le 18/12/2017 à 22h28
retest
Le 18/12/2017 à 22h11
test
" />
alert(“test2”)
Le 28/10/2017 à 22h28
Je savais que j’aurais du poster mon lien LIDD plus tôt ^^
Crazy Halloween
(nécessite de ressusciter flash)
Le 01/10/2017 à 18h49
Carmel Games a sorti quelques jeux après Vortex point 8. C’est juste que personne ne les propose en LIDD 
" />
http://carmelgames.com/category/all-games/games/
Le 27/06/2017 à 10h57
Il y a les torrents officiels sur le site:
https://www.ubuntu.com/download/alternative-downloads
Je me demande pourquoi t411 est down… Fausse manip des serveurs ? Perquisition des serveurs ? Wannacrypt ?
Le 02/06/2017 à 14h48
90% = 0,9 de probabilité sur 1
Pour calculer la proba que 2 événements indépendants se produisent en même temps on multiplie les 2.
0,9*0,9=0,81 Donc 81% de chance de code sans bug.
Pour avoir 50% de chance de code sans bug:
on pose ‘x’ le nombre de dev.
0,9^x=0,5 <=> ln(0,9^x)=ln(0,5) <=> x=ln(0,5)/ln(0,9)=6,578813…
Donc il faut environ 6,578813 développeurs pour avoir 50% de chance d’un code sans bug.
Le 16/05/2017 à 18h34
Un excellent article pour ceux qui s’intéressent sur l’intelligence artificielle:
https://waitbutwhy.com/2015/01/artificial-intelligence-revolution-1.html
(je suis un humain, promis ^^)
Le 10/04/2017 à 19h33
je suis également belge, et je ne sais pas pourquoi mais je lis les news sur la politique française
" />
Le 13/03/2017 à 15h30
Il me semble que ça existe déjà. Le captcha est présent dans le code source de la page mais est invisible pour l’utilisateur car caché lorsque le navigateur affiche la page. Donc seulement un bot aurait pu compléter le captcha.
Le 08/03/2017 à 14h35
Il y a un vidéaste qui a fait une série de vidéos sur le sujet:
YouTube
" />)
(assure toi bien qu’il a regardé les 2 dernières vidéos aussi et ne s’était pas arrêté a la première en s’écriant “J’avais raison !!”
Le 21/01/2017 à 16h20
J’ai gardé ceux fournis d’origine (140mm arrière et 140mm avant)
Question bruit pas besoin d’en changer, on les entend a peine (alors que mon pc est sur le bureau et les ventilateurs sont a fond)
Le ventilateur avant est branché en alimentation sata en passant par le switch de régulation de vitesse.
http://support.fractal-design.com/support/solutions/articles/4000055489-define-r…
Je pense le brancher directement a la carte mère et mettre dans le bios en réglage de vitesse automatique.
Une fois le pc sous le bureau je ne pense pas pouvoir l’entendre :)
PS: si t’as le ventilateur qui fait un bruit de claquement rapide c’est qu’un fil dépasse du filtre à poussière.
Le 20/01/2017 à 16h54
+1
" />
j’ai un fractal design R5 depuis peu et c’est du lourd
Le 12/01/2017 à 16h41
Hello,après 1 an de lecture quotidienne de vos actus, dossiers et commentaires, la promotion vient d’achever de me convaincre de m’inscrire et de prendre l’abonnement premium :)
Mais je rencontre un problème lors du paiement (par carte ing), ça affiche “Votre demande d’inscription avec paiement a été refusée par votre établissement financier.” sur la page de payzen.J’ai désactivé ublock et j’ai de l’argent sur la carte.
Je m’abonnerai le jour où je pourrai payer par paypal ou bitcoin…