Tout SAVOIR sur la faille XSS - La faille la plus EXPLOITÉE par les PIRATES ! [Sécurité Web]
Вставка
- Опубліковано 1 чер 2024
- 💌 Recevoir la lettre du hacker (gratuit) ➜ rebrand.ly/lp-xss
⏬ Pour aller plus loin ⏬
Protections contre XSS ➜ • SÉCURITÉ WEB : Se DÉFE...
🔗 Plus de contenu :
Mes Formations ➜ www.hacking-autodidacte.fr/
Me Contacter ➜ www.hacking-autodidacte.fr/ (en bas de la page)
❗ Disclamer ❗
Attention, cette vidéo est à but uniquement éducatif et documentaire : je n’incite personne à commettre des actes illégaux avec le contenu de cette vidéo/chaîne : mon objectif à travers cette vidéo/chaîne est de vous enseigner le hacking "éthique". Je ne serai pas responsable de vos bêtises en cas de problème avec la loi.
J'ai peur de clicker sur tes liens dans la description maintenant :p
haha moi aussi lol
😂😂
Tkt c du https
@@yacolecoco434 c'est pas parce que c'est 'https' que c'est sans risque
Mdr
Super video (tutoriel) sur cette faille. L'exposé est concis, très clair et votre voix rend la lecture audio encore plus agréable. En vous écoutant on a vraiment l'impression de se plonger dans les méandres parfois tortueux de la sécurité informatique. A la fois technique et pédagogue. Je le savais déjà je suis abonné à la chaine.👍
Bonjour
Super vidéo, qui met en lumière les attaques hacking de plus en plus sophistiquée. je suis donc intéressé par le programme de cybersécurité.
Tous mes encouragements 👍
La faille Cross Site Scripting a comme abréviation "XSS" car le X forme une croix (cross en Anglais).
Merci beaucoup, cela sensibilise les développeurs à la sécurité web, qui est tout de même à ne pas négliger.
Quel plaisir du web/h la xss une des failles de base très bonne vidéo ^^ surtout que tu parle de plusieurs type de xss car souvent les youtubeurs mentionnent que la xss reflected bref merci pour tes vidéos de qualité
Merci pour la vidéo. La meilleure manière de se protéger de ce genre d'attaque reste d'échapper la sortie et de rendre tout caractère à risque inopérant dans un contexte donné. Comme vous le rappelez bien, un filtre est faillible. On peut résumer cette approche ainsi : "Dont'sanitize input, escape output"
Super vidéo vraiment ça s'améliore avec le temps!!!
Super vidéo!
J'attend avec impatience une nouvelle vidéo sur les failles web!
Excellent en plus de super bien explique tu nous dit pourquoi cet faille existe et comment s'en protéger, ce qui permet aussi de mieux la comprendre 👌
Je t’aime 😅😂😂je kiff trop des vidéo je les regarde en plus d’apprendre des chose cela me relax
trop bien la vidéo il faudrait que tu fasse une vidéo sur la sécurité physique(c une petit idée de vidéo)
génial, comme d habitude continu 👍
J'ai beaucoup apprécié ta façon de faire. Tu gagnes un abonné 👌
vous méritez le titre de prof dans la sécurité informatique , vraiment, c'est une belle démonstration , j'ai abonné à à votre page et je compte suivre tes videos , bonne chance.
😂😂😂😂
C'est super intéressant merci bcp !
Bonne explication 👌. S'il vous plait ! Pourrais tu faire un tuto sur l'attack SSTI ? Quelle titre de music utilisez-vous sur votre video
GG pour tes vidéos
Franchement j’adore tes vidéos, je ne sais si c’est grâce à la manière dont tu transmets ton savoir mais le temps passe vite quand on visionne tes vidéos, c’est à la fois instructive et plaisant
Merci pour votre soutien :)
C'est vrai :)
Super bien expliqué 👏
Vidéo très intéressante. Merci :)
Elle était incroyable cette vidéo !
Trop fort mec continue
Merci beaucoup pour les conseils
Très bonne explication, bien plus clair pour moi ! Manque un peu de rythme peu être, un peu plus d'edit. Mais sinon très bon contenu, je hit la cloche!
Je valide fort c'est vraiment du bon contenu c'est la base mais c'est fondamental
Vraiment extraordinaire
Trés belle explication j'adore ^^
Merci beaucoup :)
Très bonne vidéo, est ce que créé sa page avec un code peu utilisé autre que du js est une solution ? Merci
Vraiment cool 🔥
Vraiment très intéressent 👍
Très bien expliqué, félicitations :)
Merci processus :)
@@HafniumSecuriteInformatiquej’ai pas trop bien compris au niveau de la protection de l’attaquant tu dis qu’on peut se faire pirater rien en cliquant sur une page que faire dans ce cas ?
Certe j’ai vu les choses à la fin mais peut-on le bloquer ou autres choses ?
GG je ne savais pas pour l'origine du nom. Par contre le X est souvent utilisé pour remplacer le mot cross en anglais.
Bon je viens de voir ta vidéo CSRF juste avant et je n'avais pas trouvé celle-ci donc j'avais commenté pour que tu en fasses une mais peu de temps après je suis tombé dessus par d'autres moyens.
Merci ! =)
Merci bcp
merci beaucoup
Ce serait pas mal d'avoir quelques vidéos sur des failles importantes, la façon dont elles ont été introduites par les développeurs (mauvaise idée, manque de compétences, développement trop rapide), la façon dont elles ont été découvertes, exploitées puis corrigées.
La vidéo est super intéressante cependant :p
Il y en a déjà quelques une sur ma chaine, mais j'en ferai d'autres de ce type :)
Super
La vidéo est cool merci ! Tu pourras parler de la faille SQL sans une prochaine vidéo ?
j'en avais fait une mais elle s'est faite censurée, tu peux aller sur odysee pour la voir :)
@@HafniumSecuriteInformatique Ok merci !
Beau boulot
super vidéo
Passionnant !
très impressionnant tous ça, je suis peut être parano mais mtn j'ai peur de mettre mon addressemail pour m'inscrire à ton newslatter
prochaine vidéo sur les failles SQL sa peut être intéressant
Gg et bitfender, kasperky, Norton , Comodo internet sécurité , peut ton ce protéger cette forme d attaque ?, J adore tes vidéos je comprend mieux informatique grâce à toi 😁
si il détectent qu'il y a du code js malveillant dans la réponse peut-être, je ne sais pas si ils intègrent de telles fonctions.
Merci pour ceci..
Merci
j'ai fait un peu (vraiment peu) de codage html et php... je me suis meme installé apache2 et j'ai trouvé un module extra , mod_security qui a des filtres contre toutes les attaques... du genre... y a aussi fail2ban qui lit les messages d'erreurs dans les logs et donc bloque des intrus.
je trouve que ton élocution s'améliore de video en video !
Merci beaucoup, c'est pile ce que j'essaye d'améliorer !
Super vidéo ! Pourquoi pas faire une vidéo sur le defacage de site ?
je ne vois pas ce qu'il y a d'intéressant à dire dessus ^^
En espérant que tu ne le prennes pas mal mais pour moi le deface est quelques chose de skid qui n'apporte rien, comme hafnium je ne vois pas ce qu'il y a d'intéressant à afficher "hacked by kiddie" par exemple mais les failles qu'il présentes peuvent permette de deface pour la xss par exemple tu injecte juste le code de ta deface, et si ton bute est malveillant je trouve ça plus utile d'upload un Web Shell qu'ube deface ^^
@@haxx_payo je me demandais surtout comment des gens faisaient pour injecter des éléments graphiques, mais je comprend que d’un point de vue faille et technique ce soit assez pauvre ^^ néanmoins merci pour la remarque :D
@@st4rg0ld37 Tu peux injecter du code HTML et CSS avec la faille XSS :)
Pour le stockage dans la base de données le moyen pour empêcher les injections est de faire un htmlspecialchars(valeur de l'input)
Une video cool et interressante, surpris qu'il n'y ait pas + de vues
Merci :)
30k vues pour une vidéo hacking c'est déjà le haut du panier :)
@@HafniumSecuriteInformatique tu les mérite amplement
Salut, super vidéo. Il y a un site web "XSS game" qui est pas mal pour pouvoir tester. Continue comme ça ! dommage que UA-cam supprime de temps en temps tes vidéos.
Tu regardes la chaine de PwnFunction() ? :)
Pour l'instant je me tiens à carraux vis a vis de youtube !
Je vais checker ça 🙂
je connaissais pas, c'est pas mal. Mais je suis pas super fort en anglais ahah
@@geoffm6255 cela tombe bien, il y aura video qui va bientôt sortir dessus :)
superr ! hâte de voir ça ! Tu pourras faire un vidéo sur les dorks ? je sais pas si c'est vraiment dans ton registre mais ça peut être intéressant car ya beaucoup de failles qui peuvent être découvertes grâce au dorks.
Salut , de base super vidéo. C'est toujours dingue de voir que tu es toujours plus explicite que d'autre youtubeurs. J'ai une question, as tu l'intention de faire des vidéos concernant l'utilisation de Metasploit et comment le Bitcoin est-il traçable ? Bonne journée
Pour le bitcoin une vidéo dessus pourrait être intéressante :)
Est-ce que ça fonctionne avec une login page ?
Grâce à toi , j'ai pu avoir un travail
Yo el general indiscutible líder de la gran nación chilena quisiera felicitarlos por este trabajo realmente un video de alta calidad
SUPER
Tu pourrais faire un tutoriel sur le phishing s'il te plaît ?
je crée une formation complète la dessus, elle n'est pas encore terminée mais si tu veux y accèder contacte moi : pentest-underground.fr
Il faut absolument utiliser du javascript ? Le python ne marche pas ?
Bonjour vous avez une formation qui montre tous ces concepts de façon pratique. Même payante. Merci
Il y a des formations sur mon site internet, mais il n'y a pas de sécurité web pour le moment.
Salut , je voulais te dire que je suis très satisfaits de ta formation même si je ne l'ai pas encore terminé :) Pourrez tu me dire sur quoi sera ta prochaine formation ? Merci :)
Bonjour,
Merci pour votre retour, cela me fait très plaisir :)
Pour les prochaines formations j'aborderais les sujets suivants :
- l'ingénérie sociale (phishing, OSINT, rats etc...)
- un cours complet sur le pentest web
- comment se protéger des hackers et des cybercriminels.
Mais je traiterais de pleins d'autre sujets également !
@@HafniumSecuriteInformatique d'accord merci beaucoup de ta réponse ! Sans indiscrétion quel sera le prix de la formation ? :)
@@evolste4528 je n'irai pas au dessus de 100 les prochaines fois :)
@@HafniumSecuriteInformatique d'accord merci 😁
La phrase de fin :
Never trust a user
Plus précisément "nerver trust user inputs" :D
Coucou, tu as beaucoup de talent, je trouve ta chaîne très intéressante à visionner même si je reste profane et que je ne code pas.
Si tu souhaites un jour diversifier les thématiques de ta chaîne, j'aimerai bien t'entendre parler de comment récupérer le contrôle sur notre vie privé au niveau de l'OS (bref, télémétries pré-installées dans nos machines, Win, Android, cortana et autres processus qui envoient des infos sur nos usages).
Eventuellement, j'aimerai beaucoup te voir décortiquer des programmes tels que "Blackbird windows privacy" ou "WPD anti telemetry" et évaluer pour nous leur efficacité et limites.
Entre les programmes des pirates... et ceux crées par les régulateurs, nos machines deviennent des passoires bourrées de mouchards.
Si se genre de sujet t'intéresses, je te conseille comme piste intéressante l'article assez cool de "Hackmag" intitulé " Hide-and-seek with Windows 10" et trouvable sur google.
Le type teste des programmes anti-télémétries, puis vérifie après les paquets de données qui continuent de transiter entre la machine et le web via Wireshark, TCPView et Regshot.
Quoiqu'il en soit merci pour tes vidéos et bonne continuation pour ta chaine.
Merci pour vos suggestions, je note :)
Bonjour et merci beaucoup de tes vidéos, est-ce que tu aurais des forums ou groupe Facebook de prédilection à me conseiller étant donné que j'ai régulièrement de nouvelles questions au sujet de la cybersécurité, merci Cyril
En PHP au peut utiliser HTML spécial char ou encode pour évité ces faille XSS non ?
effectivement c'est un filtre qui permet d'éviter la majorité des attaques XSS
salut je voulais te demander ta formation elle est acces aux débutant qui ont jamais fait du script ou obliger de connaitre les fondamentaux de internet
La formation à été crée pour les débutants qui partent de zéro dans tout les domaines de l'informatique, il n'y a pas besoin de connaitre les fondamentaux d'internet, le seul prérequis est de savoir utiliser un ordinateur :)
Moi perso je suis autodidacte
tu es bon
J'ai coder il y a pas longtemps en python et sa m'avait beaucoup plus mais j'ai envie de m'attaquer au PHP (je déjà les bases en dev web: HTML ,CSS, Java script) est-il une bonne idée ?
pourquoi ca serait une mauvaise idée ? Je veux dire apprendre un nouveaux langage c'est toujours bénéfiques
si le dev web vous intéresse (ainisi que la cybersécurité) le PHP est un bon choix de language de programme, je pense même que le php aurait du passer avant le js :)
@@HafniumSecuriteInformatique D'accord merci !
@@noe851 Car je ne voulais pas sauter d'étape.
Du coup les applications antivirale qui s'installe sur nos navigateurs et qui écrivent ''attention ce site a été blocké car il exécute du script malveillant'' Serait en fait un filtre de sécurité qui a reconnu du script Java qui permet d'accéder aux Coockie?
attention on dit javascript et non java qui est un language différent, sinon oui dans certains cas c'est ca :)
salut hafnium j'avais une dernière question pour la formation on peut la payer en 2x ou vraiment pas je compte la prendre aujourd'hui
pour payer en 2x, contacte moi ici : contact@pentest-underground.fr
Je te donne lien pour payer en 2 fois.
@@HafniumSecuriteInformatique je vous ai envoyé un mail a l'instant avez vous recu
@@mutsukitahouro367 yes :) je vous ai répondu :)
Très bonne vidéo, si mon site internet ne stocke aucune donnée de l'utilisateur, si il n'y a pas de création de compte ou autres possible, est-ce que je risque quand même quelque chose ?
Oui justement ahha il y a encore plein d'autres faille côtés port ouvert ,côtés serveur et tout! Si imaginons tu mets ton site web sur ton pc donc sur ton serveur apache port 80 de base. Bah il pourra avoir accès et exploiter ton serveur Apache si t'es sur une ancienne version et donc avec un reverse shell! Et il existe encore plusieurs manière comme injecter un fichier php un peu comme la faille xss sauf que la l'attaquant va faire une requête http qui s'appelle "Upload' donc celle qui permet d'envoyer un fichier sur une page Web et donc il va uploader son fichier.php dans un de tes répertoire qui contient un reverse shell! Voila
Mais pour la faille xss temporaire ont peux regardez( grâce à cette vidéo et ci ont en pourri en codes ) l’URL et vérifier non ?
Le soucis c'est que le code injecté dans l'URL peut être encodé et donc pas suspect
@@Mehdouzable merci
Top
Mais il existe des fonctions en php (htmlspecialchars) qui permet de que même si on mets du code html dans une base de données elle ne sera pas exécuter
ils contournent ça, au 21ème siècle tout
est possible
Certe mais dans ce cas cela n'est pas une faille xss :)
Salut, qu'est-ce qui est arrivé à cette précédente vidéo ? Google n'a pas apprécié ?
Merci de tes vidéos
Tu as deviné.
J'ai une question une faille xss c'est en quelque sorte une faille sql ?
C'est la "même famille" de failles en quelque sortes, le point commun est la capacité pour l'attaquant d'injecter du code.
Je rentre aussi dans les basses de données pour crée mes dorks et avoir une bonne combolist fr donc des email et mot de pass 😅
Tu spamm cc toi? Ou tu crack simplement?
@@baronbaron7627 les 2
@@baronbaron7627 Utilisez des dorks (ou footprints) ce n'est pas du cracking, c'est juste utiliser les opérateurs Google afin de créer des filtres et d'exploiter les footprints et les failles laissés par une techno.
@@FuckingFrenchBastard yo tu pourrais m'expliquer comment faire stp?
C'est pas du sql injection l'example du début ?
non, ou ça ?
l'injection SQL doit être écrit en langage que la base de données peut comprendre (SQL). Lors de son exemple c'est du PHP qu'il utilise
@@arthurlecompte8628 Lors de son exemple il utilise du javascript
Bonjour, je me demandais si tu avais réduit le nombre de lettre du hacker dernièrement. Je n'ai pas rien recu et il semblerait qu'elle ne sont pas dans mon "spam mail" non plus
je suis un peu creuvé en ce moment ^^, je n'arrive pas à bosser ^^.
@@HafniumSecuriteInformatique Haha aucun problème, je me suis inscris que très recement alors je voulais simplement m'assuré que gmail m'empechait pas de recevoir la newsletter. J'apprécie la chaine, bonne continuation !
super bien, mais sa existe un site pour s'entraîner ?
Root-me
@UCt7yJ5jGGo585L8xKe-f9bw c'est juste pour mieu comprendre cette faille
@@lamzii_ ok, T’as visité le site ?
@@lamzii_ Sinon bonne chance 👍🏻
@@lamzii_ xss-game.appspot.com
Bon, je pense qu'il faut que je revois un peu mon système de login et cookie alors mdr
Je trouve que ça manque le travail sur toutes les failles dans le développement web
Oui mais dans le 1er cours sur le DOM on nous dit qu'il faut pas utiliser innerHtml pour que l'on puisse pas injecter du code malveillant
c'est coté serveur qu'il faut faire les vérifications ^^.
@@HafniumSecuriteInformatique ah dcr je suis toujours entrain d'apprendre le front end donc je me suis rappelé la remarque de mon prof
j'ai peur de regarder les vidéos avec les appareils du college XD
propre
ok
Hafnium - Sécurité informatique
16,6 k abonnés
Petite question : est t’il possible de cree un site sur mobile ?
oui, mais ce n'est pas pratique, personne ne fait cela ^^
@@HafniumSecuriteInformatique je vois ! Mais comme je n'est pas de pc je vais essayer de dev sur mobile
@@200eiod ce n'est pas impossible, mais économise pour prendre un ordinateur cela vaut vraiment le coup :)
@@HafniumSecuriteInformatique je sais j'en aurais un à Noel ! C'est juste que jai pas le droit :(
@@200eiod tu peux utiliser l'ordinateur du salon même si la plus part du temps, l'ordinateur est un peu pourri ^^
Eh t as choisis ton pseudo en regardant un tableau periodique des éléments?
Exactement :)
C'est aussi surtout que cross en anglais c'est X, une croix ...
La chaîne parfaite n’existe p-
Ah bah si enfaite
on est en 2021. Ce type de faille, faut vraiment tomber sur un site de débutant pour l’utiliser. Toute saisie ou tout paramètre doit être validé et nettoyé, c'est la base. Un dev qui ne contrôle pas ses entrées, je le vire dans la seconde
Exactement, ce que j'ai présenté dans la vidéo est très basique. Mais parfois certaines failles XSS beaucoup sont moins évidentes à trouver.
Comment parler de quelquechose sans montrer quelque chose ... je présume que c'est afin de garder cette vidéo active ...
on peux dire ca :)
alert('ok')
(lol c'était juste un test) :)
Un pirate pourra créé des jeux vidéo mdr
S est pas vraiment se que font les pirates quand il accède a un pc
c'était une petite erreur dans le script :)
"ChatX" 😏😅
Salut :)
Je t'ai envoyé un mail il y'a maintenant de sa 1 mois pourrais-tu y répondre merci :)
Bonjour,
je reçois 10-30 emails par jours, il est possible que le votre est passé à la trappe, pouvez vous le renvoyer ?
ça marche sur l'ent de mon lycée
C'est très problèmatique...
Ta pas tout dit
une vidéo de 10 heures serait un peu long :)
Привет но скажите пожалуйста ты в России?
нет я в париже.