Le DANGER derrière un Clic🚨
Вставка
- Опубліковано 5 жов 2024
- ⛔️ Cette vidéo est uniquement à but instructif. Je ne vous incite en aucun cas à reproduire les techniques présentées dans la vidéo sur un système pour lequel vous n'avez pas une autorisation écrite de la part de propriétaire.⛔️
Soutenir la chaine
------------------------------------------------------------------------------------------------------------
☕Buy me a coffee : www.buymeacoff...
Liens d'affiliation
------------------------------------------------------------------------------------------------------------
🖥️Buy a Geekom : shrsl.com/4cwuh
🛡️INE : ine.grsm.io/wa...
🐱💻 HackTheBox : bit.ly/htb_ctf
🎓HTB Academy : bit.ly/htb_aca...
🚩TryHackMe : bit.ly/thm_xy
Suivez-moi sur mes réseaux
------------------------------------------------------------------------------------------------------------
► Facebook : / wakedxy
► Instagram : / wakedxy
► Twitter : / wakedxy1
► Discord : / discord
► Github: github.com/wak...
► Music Credit: LAKEY INSPIRED
Track Name: "Blue Boi"
Music By: LAKEY INSPIRED @
/ lakeyinspired
Original upload HERE -
• LAKEY INSPIRED - Blue Boi
Official "LAKEY INSPIRED" UA-cam Channel HERE -
/ @lakeyinspired
License for commercial use: Creative Commons Attribution 3.0 Unported "Share Alike" (CC BY-SA 3.0) License.
Full License HERE - creativecommon....
Music promoted by NCM goo.gl/fh3rEJ
► Music Credit: Yakuzee Beatz
Track Name: Conquered Emotions
Music By: Yakuzee Beatz @
/ user-811451507
Official Yakuzee Beatz UA-cam Channel HERE:
/ @yakuzeebeatz6536
License for commercial use: This is copyright free music that has been publicly released by "Yakuzee Beatz" under a "Public Attribution Agreement - Creative Commons Attribution 3.0 Unported (CC BY 3.0) creativecommon....
Music promoted by NCM goo.gl/fh3rEJ
12:04 ma meilleure décision..
Ah... à cause des strikes ? J'ai cru voir que la vidéo était inaccessible probablement à cause du bot de youtube
@@StrikeTrack_ oui la vidéo avait été striké, j'ai du faire appel
C'était quoi ?
@@wakedxyJe t'ai laissé un com je ne sais pas si tu as vu, si t'as vu et que tu sais de quoi il s'agit ça serait cool de me dire ce que c'est😄
hey waked!, j'ai kiffé ta punchline "les actions sont certes virtuels mais les retombées sont réels" elle est incroyable, sinon j'éspere que tu vas bien, je kiff tes videos, j'ai 15 ans et ta façon d'expliquer les choses ainsi que ta bonne humeur mon données l'envie de me mettre dans le monde de l'informatique aujourd'hui je pratique beaucoup de ctf, je programme avec du python html css js php sql c... et je voulais juste te remercier pour tout sa continue ainsi c'est super cool se que tu fait!
Hello Mateo, je suis très heureux de voir que mes vidéos on pu te donner envie de te lancer. Continue sur cette voie
Salut Waked! Merci beaucoup pour ton message, ça me fait vraiment plaisir
Merci Waked très instructif on vois à quel point la sécurité informatique est primordial
Super vidéo! très instructive ! Je ferais beaucoup plus attention maitenant.
Est ce que tu prévois par la suite de faire des vidéos sur le "nettoyage" d'une machine infecté ou alors quoi faire après avoir été infecté ? Car on peut se douter que certain script agisse en sous-marin et certain doivent même passer au travers des analyses anti-virus.
Merci en tout cas pour tes vidéos, continue comme ça !
J'aimerai bien savoir comment fonctionne les sites lors d'un paiement si c'est possible de se faire voler un tokken de paiement, en tout cas je me souviens a l'époque cetait possible un changement du prix d'une request et ça fonctionner mais je crois il y'a évidemment une sécurité qui empeche la validation a 100% de la commande
Effectivement, ce serait super.
En effet, vraiment intéressant comme sujet
Merci à toi XY, tu es une réelle source d’inspiration !
Merci bro pour tout ce que vous faites whooao vos explications sont simples clair et précis Merci
Merci pour cette vidéo j'adore quand tu partage des vuln on se régale avec ça 👩💻
Merci pour le partage et la mise en garde !
Incroyable mais terrifiant
Merci WX je n'avais pas vu ça de ce point de vue
Ta chaîne est une superbe découverte ! 🎉
Toujours au top tes vidéos ❤
Merci waked XY vidéo très instructive
très intéressant ! merci waked
Merci Waked je préfère que face se genre de vidéo car c'est pour apprendre la sécurité informatique que je suis inscrit à ta chaine. c'est une suggestion mais je préfère que tu fasse pas de vidéo pour critiquer les vidéos des autres collège informaticien youtubeur. Merci
Merci encore pour cette masterclass stp waked xy fait nous une video sur les VM et les RDP/VPS j'ai pas trouver une vidéo qui en parle pour que je me décide quel utilisée selon le concept merci d'avance
La morale est que l'on peut toujours s'identité sur les sites mais on doit toujours nous même aller chercher la page internet ?
Enfin la vidéo est disponible 😊
Vraiment très intéressant
Super merci ! Tous ouvrir dans une sandbox
Très bonne video
Parlant des mot de passe j aimerai savoir
Je suis sur un projet dev de control d accès j hesite entre charger toute les password au front end enfin de vérifier si matching ou envoyer le password promt par l utilisateur en backend pour matching ....
Quel serai la meilleur pratique stp?
Merci!
La notif qui fait plaisir
Je pense qu'à partir de maintenant je vais plus enregistrer mes mots de passe ou cliquer sur n'importe quel lien.
Pour l'histoire des mdp enregistrés, est ce que les gestionnaires de mdp protègent de ce genre d'attaque en gardant en mémoire uniquement le bon lien de connexion ? (sans l'injection de code)
Après la plus part du temps, quand on clique sur un lien bizarre, c'est pas pour allez sur des sites connus ou on a un compte
Le filtrage/"escapage" est surtout en sortie, plutôt qu'en entrée. ;-) Surtout sur un système où il y a plusieurs type de sortie (en json, html, xml, url, etc.).
Tu peux le faire dans les deux sens , après ajourd'hui la majorité des boites optent pour des WAF style Cloudflare
@@wakedxy La communauté mod-security est moins active ces dernières années, ce qui est dommage.
Cloudflare est très efficace même en cas de DDoS, mais reste un proxy qui aspire toutes tes requêtes.
J'aime bien l'approche de Django avec justement sa protection WAF intégrée (très difficile voire impossible de faire du XSS dessus, il filtre tout !), mais faut-il être à l'aise pour l'utiliser dans ses projets web.
Pas simple !
en remédiation je conseille noscript, extention de navigateur qui bloque tout le javascript, on peut autoriser le js par nom de domaine, il bloque aussi les valeurs dans l'uri rassemblant a des xss (à noter qu'on peut le paramétrer pour bloquer que du xss-like)
presque tous les site ne marche plus avec ca
@@louisradoc6868 oui mais tu peux modifier les règles pour qu'il te protèges des xss types mais qu'il execute le js inoffensif
Et oui man
@@louisradoc6868 oui mais tu peux modifier les règles pour qu'il te protège des xss et exécute le js inoffensif
Je me demande si on peut faire un reverse shell 👀
C'est dommage que tu ne parle pas de l'option "html only" qu'un cookie peut avoir (ce qui est rendu la norme). Ce qui block l'accès au cookie via le JS interne à la page. Certe c'est aux programmeurs a appliquer cette sécurité, mais quand même...
Comme tu l'as dit c'est plutôt du devsecops ce qui n'était pas le but de la vidéo.
Je suis pas expert mais il me semble que de nos jours la plupart des navigateurs bloquent l'appel à des domaines différents de celui du site d'origine (CORS).
Et tu penses que j'ai utilisé quel navigateur ?
@@wakedxy C'est une option activé par défaut donc c'est pas impossible à désactiver. Au final peu importe celui que tu as utilisé si tu as autorisé la politique CORS dans ses paramètres.
Slt j'aime vraiment t'ai vidéo mai je comprends pas tout donc j'aimerais savoir si tu pouvais faire une play liste pour donner des cours inpeu comme un noob to pro
Une question stp. Tu conseilles un clavier AZERTY ou QWERTY pour tout ce qui concerne la cybersec
Ca dépend de tes préférences. Je bascule entre les deux
Peut on bloquer l'accès administratif depuis un proxy public par l'échange de données ?@@wakedxy
Tu peux prendre un Dvorak si tu veux. Le principal c'est l'habitude et la pratique.
merci
Bonjour wacked je voudrais que tu m'envoi la video ou tu parles d'un outil qui permet d'ouvrir les liens web vers un environnement sandboxé
Je suis très frustrés de rien comprendre... J'essaie mais j'y arrive pas
Détends-toi ce n'estpas grave. Amuse toi sur la room traitant des XSS sur tryhackme et reviens sur la vidéo : tryhackme.com/r/room/axss
@waked xy , j'aimerais bien que vous formiez nous les passionnés, pensez y svp
Salut Waked, J'ai un amis qui refuse de croire qu'un QR code peut être la source de vulnérabilité pour son téléphone/pc/réseau, j'aimerais beaucoup que tu démontres le potentiel que peut faire un QR code malintentionné.
C'est drole parce que c'est prévu que j'en fasse une vidéo dans les semaines à venir.
J'ai du mal à croire qu'on puisse injecter aussi facilement du code JS côté client, autrement dit j'imagine que les applications vulnérables sont très rares. Je me trompe ?
Les xss font partie des attaques les plus populaires.
Mais pourquoi les sites ne contrôlent pas l'adresse IP en même temps que le token du cookie ? Ce serait quand-même ultra aberrant qu'elle change en cours de session, non ?
Il y a des sites qui ajoute cette sécurité effectivement mais il existe des moyens de bypasser ces restrictions
top la vidéo
Salut ça craint 😮😮
C'est une bonne démonstration, mais vue que c'est une attaque très connue, la plupart des sites sont protèges
Tu verrais le nombre de site "moyens" qui sont impactés
Il me semble que les navigateurs n'autorisent pas les app à accéder à des cookies provenant d'un autre nom de domaine. Donc si on clique sur un url dangereux mais qu'on rentre aucune information on est good ? J'essaye de comprendre. Merci pour la vidéo je me suis posé la question il y a quelque jours lol.
Le problème c'est que même si ton navigateur empêche beaucoup de fails, ces fails sont toujours là et utilisables si tu passes par un client HTTP comme Postman par exemple
Salut Waked, ça serait super d'avoir ton avis sur les portefeuilles cryptos, non seulement ça risque de te rapporter bcp de partenariat pour des solutions de sécurité, et faire de l'éducation sur le monde de la sécurité crypto, qui est une chose absente du YT francophone...
Très bonne vidéo, moi qui va sur des sites pas 100% sure ça me rassure pas trop lol d'ailleurs je crois c'est comme ça que les youtubeurs comme Michou on était hacker sur leur chaîne youtube par un mec qui vendais des bitcoin en utilisant je crois l'image de célébrité sur une vidéo/live sur la chaîne
Mouais m'enfin perso je me ferais pas avoir par le faux popup windows, il est grillé a 1000 kilomètres, le bouton dépasse sur la bordure de la fenêtre.... C'est cramé...
Les gars petite question si je fais mon propre site et que je fais en sorte d’avoir une faille XSS. Est t’il possible que si je force le client à allez dessus et ce que il est possible de récupérer les cookies (token ) de la totalité de sont navigateur ou encore c’est mot de passe enregistré.
Non et pourquoi cette question ?
Tu as un fan de plus
bienvenu ^^
Stp je voudrais qu'on se parle en pv
C'est pas a l'époque que c'étais véridique ce genre de ' prévention ' ?
Non c'est toujours d'actualité
@@wakedxy Oof je me souviens qu'à l'époque, les gens disaient qu'un lien ne pouvait rien faire, sauf si on exécutait un fichier. Je ne savais pas et je le pensais depuis que j'étais petit. Merci à toi de m'avoir délivré de mon ignorance 🥲
Bonjour
Je souhaite créer ma cbaine UA-cam qui sera dédié à des cours informatique (bureautique). Je voudrais des conseils sur les outils et matériels à utilisés surtout pour le son.
Hello pour le son ne te casse pas la tete utilise audacity, pour le matériel investi sur un bon micro c'est le plus important , pour la vidéo tu peux commencer avec un boitier amateur selon ton budget.
Merci beaucoup pour ces précieux conseils@@wakedxy
Le lien de parrainage 😢
???
Oh franchement t'embete pas avec le c'est trop malveillant (sauf pour pas te faire bloquer par yt mdr) peu importe le type d'attaque, quand on a le concept si on cherche comment exploiter on trouve .... en plus mnt avec les LLM je t'en parles pas
Enfin je met des nuances... javoue que meme si j'ai le concept, les side channel sur la température des processeur pour sortir des clées privées je suis pas sur de pouvoir (entendez par la clairement impossible a mon niveau)😂😂😂
Second super vidéo man
... tous ces youteubers sécu connectés en root...
Et ?
first
Très interessant merci pour ce partage !
salut merci pour la vidéo mais pourquoi tu es sous Windows sachant que c'est le système d'exploitation avec le plus de failles