hey waked!, j'ai kiffé ta punchline "les actions sont certes virtuels mais les retombées sont réels" elle est incroyable, sinon j'éspere que tu vas bien, je kiff tes videos, j'ai 15 ans et ta façon d'expliquer les choses ainsi que ta bonne humeur mon données l'envie de me mettre dans le monde de l'informatique aujourd'hui je pratique beaucoup de ctf, je programme avec du python html css js php sql c... et je voulais juste te remercier pour tout sa continue ainsi c'est super cool se que tu fait!
J'aimerai bien savoir comment fonctionne les sites lors d'un paiement si c'est possible de se faire voler un tokken de paiement, en tout cas je me souviens a l'époque cetait possible un changement du prix d'une request et ça fonctionner mais je crois il y'a évidemment une sécurité qui empeche la validation a 100% de la commande
Super vidéo! très instructive ! Je ferais beaucoup plus attention maitenant. Est ce que tu prévois par la suite de faire des vidéos sur le "nettoyage" d'une machine infecté ou alors quoi faire après avoir été infecté ? Car on peut se douter que certain script agisse en sous-marin et certain doivent même passer au travers des analyses anti-virus. Merci en tout cas pour tes vidéos, continue comme ça !
salut, j'ai joué avec les cookies dans les années 2010 et sans connaitre le password et grace au MITM j'ai pu recuperer des cookies et me connecter sur un compte hotmail... ma technique de l'epoque ne fonctionne plus quand je l'avais retesté, il y a 2 ou 3 ans....déjà parce que en HTTPS au lieu de HTTP et ensuite, les cookies semblent + solides....et d'autres parametres que j'ignore sans doute. tous les sites importants semblent bien protégés contre cette technique...meme pronote, le truc pour l'école semble solide....(et tant mieux)...j'ai pas tous mes outils sous la main là, et je n'ai pas ressayé depuis longtemps....ça me donne envie là de tester ^^ ça reste interessant pour mettre en garde les gens 👍 pouce bleu camarade
Très bonne video Parlant des mot de passe j aimerai savoir Je suis sur un projet dev de control d accès j hesite entre charger toute les password au front end enfin de vérifier si matching ou envoyer le password promt par l utilisateur en backend pour matching .... Quel serai la meilleur pratique stp? Merci!
Pour l'histoire des mdp enregistrés, est ce que les gestionnaires de mdp protègent de ce genre d'attaque en gardant en mémoire uniquement le bon lien de connexion ? (sans l'injection de code)
Merci Waked je préfère que face se genre de vidéo car c'est pour apprendre la sécurité informatique que je suis inscrit à ta chaine. c'est une suggestion mais je préfère que tu fasse pas de vidéo pour critiquer les vidéos des autres collège informaticien youtubeur. Merci
Merci encore pour cette masterclass stp waked xy fait nous une video sur les VM et les RDP/VPS j'ai pas trouver une vidéo qui en parle pour que je me décide quel utilisée selon le concept merci d'avance
Slt j'aime vraiment t'ai vidéo mai je comprends pas tout donc j'aimerais savoir si tu pouvais faire une play liste pour donner des cours inpeu comme un noob to pro
en remédiation je conseille noscript, extention de navigateur qui bloque tout le javascript, on peut autoriser le js par nom de domaine, il bloque aussi les valeurs dans l'uri rassemblant a des xss (à noter qu'on peut le paramétrer pour bloquer que du xss-like)
Le filtrage/"escapage" est surtout en sortie, plutôt qu'en entrée. ;-) Surtout sur un système où il y a plusieurs type de sortie (en json, html, xml, url, etc.).
@@wakedxy La communauté mod-security est moins active ces dernières années, ce qui est dommage. Cloudflare est très efficace même en cas de DDoS, mais reste un proxy qui aspire toutes tes requêtes. J'aime bien l'approche de Django avec justement sa protection WAF intégrée (très difficile voire impossible de faire du XSS dessus, il filtre tout !), mais faut-il être à l'aise pour l'utiliser dans ses projets web. Pas simple !
Les gars petite question si je fais mon propre site et que je fais en sorte d’avoir une faille XSS. Est t’il possible que si je force le client à allez dessus et ce que il est possible de récupérer les cookies (token ) de la totalité de sont navigateur ou encore c’est mot de passe enregistré.
C'est dommage que tu ne parle pas de l'option "html only" qu'un cookie peut avoir (ce qui est rendu la norme). Ce qui block l'accès au cookie via le JS interne à la page. Certe c'est aux programmeurs a appliquer cette sécurité, mais quand même...
Je suis pas expert mais il me semble que de nos jours la plupart des navigateurs bloquent l'appel à des domaines différents de celui du site d'origine (CORS).
@@wakedxy C'est une option activé par défaut donc c'est pas impossible à désactiver. Au final peu importe celui que tu as utilisé si tu as autorisé la politique CORS dans ses paramètres.
Bonjour Je souhaite créer ma cbaine TH-cam qui sera dédié à des cours informatique (bureautique). Je voudrais des conseils sur les outils et matériels à utilisés surtout pour le son.
Hello pour le son ne te casse pas la tete utilise audacity, pour le matériel investi sur un bon micro c'est le plus important , pour la vidéo tu peux commencer avec un boitier amateur selon ton budget.
Mais pourquoi les sites ne contrôlent pas l'adresse IP en même temps que le token du cookie ? Ce serait quand-même ultra aberrant qu'elle change en cours de session, non ?
Il me semble que les navigateurs n'autorisent pas les app à accéder à des cookies provenant d'un autre nom de domaine. Donc si on clique sur un url dangereux mais qu'on rentre aucune information on est good ? J'essaye de comprendre. Merci pour la vidéo je me suis posé la question il y a quelque jours lol.
Le problème c'est que même si ton navigateur empêche beaucoup de fails, ces fails sont toujours là et utilisables si tu passes par un client HTTP comme Postman par exemple
J'ai du mal à croire qu'on puisse injecter aussi facilement du code JS côté client, autrement dit j'imagine que les applications vulnérables sont très rares. Je me trompe ?
Salut Waked, J'ai un amis qui refuse de croire qu'un QR code peut être la source de vulnérabilité pour son téléphone/pc/réseau, j'aimerais beaucoup que tu démontres le potentiel que peut faire un QR code malintentionné.
Salut Waked, ça serait super d'avoir ton avis sur les portefeuilles cryptos, non seulement ça risque de te rapporter bcp de partenariat pour des solutions de sécurité, et faire de l'éducation sur le monde de la sécurité crypto, qui est une chose absente du YT francophone...
@@wakedxy Oof je me souviens qu'à l'époque, les gens disaient qu'un lien ne pouvait rien faire, sauf si on exécutait un fichier. Je ne savais pas et je le pensais depuis que j'étais petit. Merci à toi de m'avoir délivré de mon ignorance 🥲
Très bonne vidéo, moi qui va sur des sites pas 100% sure ça me rassure pas trop lol d'ailleurs je crois c'est comme ça que les youtubeurs comme Michou on était hacker sur leur chaîne youtube par un mec qui vendais des bitcoin en utilisant je crois l'image de célébrité sur une vidéo/live sur la chaîne
Mouais m'enfin perso je me ferais pas avoir par le faux popup windows, il est grillé a 1000 kilomètres, le bouton dépasse sur la bordure de la fenêtre.... C'est cramé...
Oh franchement t'embete pas avec le c'est trop malveillant (sauf pour pas te faire bloquer par yt mdr) peu importe le type d'attaque, quand on a le concept si on cherche comment exploiter on trouve .... en plus mnt avec les LLM je t'en parles pas
Enfin je met des nuances... javoue que meme si j'ai le concept, les side channel sur la température des processeur pour sortir des clées privées je suis pas sur de pouvoir (entendez par la clairement impossible a mon niveau)😂😂😂
12:04 ma meilleure décision..
Ah... à cause des strikes ? J'ai cru voir que la vidéo était inaccessible probablement à cause du bot de youtube
@@StrikeTrack_ oui la vidéo avait été striké, j'ai du faire appel
C'était quoi ?
@@wakedxyJe t'ai laissé un com je ne sais pas si tu as vu, si t'as vu et que tu sais de quoi il s'agit ça serait cool de me dire ce que c'est😄
hey waked!, j'ai kiffé ta punchline "les actions sont certes virtuels mais les retombées sont réels" elle est incroyable, sinon j'éspere que tu vas bien, je kiff tes videos, j'ai 15 ans et ta façon d'expliquer les choses ainsi que ta bonne humeur mon données l'envie de me mettre dans le monde de l'informatique aujourd'hui je pratique beaucoup de ctf, je programme avec du python html css js php sql c... et je voulais juste te remercier pour tout sa continue ainsi c'est super cool se que tu fait!
Hello Mateo, je suis très heureux de voir que mes vidéos on pu te donner envie de te lancer. Continue sur cette voie
Salut Waked! Merci beaucoup pour ton message, ça me fait vraiment plaisir
Merci Waked très instructif on vois à quel point la sécurité informatique est primordial
Merci à toi XY, tu es une réelle source d’inspiration !
J'aimerai bien savoir comment fonctionne les sites lors d'un paiement si c'est possible de se faire voler un tokken de paiement, en tout cas je me souviens a l'époque cetait possible un changement du prix d'une request et ça fonctionner mais je crois il y'a évidemment une sécurité qui empeche la validation a 100% de la commande
Effectivement, ce serait super.
En effet, vraiment intéressant comme sujet
Merci bro pour tout ce que vous faites whooao vos explications sont simples clair et précis Merci
Super vidéo! très instructive ! Je ferais beaucoup plus attention maitenant.
Est ce que tu prévois par la suite de faire des vidéos sur le "nettoyage" d'une machine infecté ou alors quoi faire après avoir été infecté ? Car on peut se douter que certain script agisse en sous-marin et certain doivent même passer au travers des analyses anti-virus.
Merci en tout cas pour tes vidéos, continue comme ça !
Toujours au top tes vidéos ❤
Merci pour le partage et la mise en garde !
Ta chaîne est une superbe découverte ! 🎉
Merci pour cette vidéo j'adore quand tu partage des vuln on se régale avec ça 👩💻
salut, j'ai joué avec les cookies dans les années 2010 et sans connaitre le password et grace au MITM j'ai pu recuperer des cookies et me connecter sur un compte hotmail...
ma technique de l'epoque ne fonctionne plus quand je l'avais retesté, il y a 2 ou 3 ans....déjà parce que en HTTPS au lieu de HTTP et ensuite, les cookies semblent + solides....et d'autres parametres que j'ignore sans doute.
tous les sites importants semblent bien protégés contre cette technique...meme pronote, le truc pour l'école semble solide....(et tant mieux)...j'ai pas tous mes outils sous la main là, et je n'ai pas ressayé depuis longtemps....ça me donne envie là de tester ^^ ça reste interessant pour mettre en garde les gens 👍 pouce bleu camarade
très intéressant ! merci waked
Merci WX je n'avais pas vu ça de ce point de vue
Merci waked XY vidéo très instructive
Très bonne video
Parlant des mot de passe j aimerai savoir
Je suis sur un projet dev de control d accès j hesite entre charger toute les password au front end enfin de vérifier si matching ou envoyer le password promt par l utilisateur en backend pour matching ....
Quel serai la meilleur pratique stp?
Merci!
Pour l'histoire des mdp enregistrés, est ce que les gestionnaires de mdp protègent de ce genre d'attaque en gardant en mémoire uniquement le bon lien de connexion ? (sans l'injection de code)
Incroyable mais terrifiant
Merci Waked je préfère que face se genre de vidéo car c'est pour apprendre la sécurité informatique que je suis inscrit à ta chaine. c'est une suggestion mais je préfère que tu fasse pas de vidéo pour critiquer les vidéos des autres collège informaticien youtubeur. Merci
La morale est que l'on peut toujours s'identité sur les sites mais on doit toujours nous même aller chercher la page internet ?
Enfin la vidéo est disponible 😊
Merci encore pour cette masterclass stp waked xy fait nous une video sur les VM et les RDP/VPS j'ai pas trouver une vidéo qui en parle pour que je me décide quel utilisée selon le concept merci d'avance
Bonjour wacked je voudrais que tu m'envoi la video ou tu parles d'un outil qui permet d'ouvrir les liens web vers un environnement sandboxé
Slt j'aime vraiment t'ai vidéo mai je comprends pas tout donc j'aimerais savoir si tu pouvais faire une play liste pour donner des cours inpeu comme un noob to pro
La notif qui fait plaisir
Vraiment très intéressant
Une question stp. Tu conseilles un clavier AZERTY ou QWERTY pour tout ce qui concerne la cybersec
Ca dépend de tes préférences. Je bascule entre les deux
Peut on bloquer l'accès administratif depuis un proxy public par l'échange de données ?@@wakedxy
Tu peux prendre un Dvorak si tu veux. Le principal c'est l'habitude et la pratique.
Je pense qu'à partir de maintenant je vais plus enregistrer mes mots de passe ou cliquer sur n'importe quel lien.
Super merci ! Tous ouvrir dans une sandbox
en remédiation je conseille noscript, extention de navigateur qui bloque tout le javascript, on peut autoriser le js par nom de domaine, il bloque aussi les valeurs dans l'uri rassemblant a des xss (à noter qu'on peut le paramétrer pour bloquer que du xss-like)
presque tous les site ne marche plus avec ca
@@louisradoc6868 oui mais tu peux modifier les règles pour qu'il te protèges des xss types mais qu'il execute le js inoffensif
Et oui man
@@louisradoc6868 oui mais tu peux modifier les règles pour qu'il te protège des xss et exécute le js inoffensif
Le filtrage/"escapage" est surtout en sortie, plutôt qu'en entrée. ;-) Surtout sur un système où il y a plusieurs type de sortie (en json, html, xml, url, etc.).
Tu peux le faire dans les deux sens , après ajourd'hui la majorité des boites optent pour des WAF style Cloudflare
@@wakedxy La communauté mod-security est moins active ces dernières années, ce qui est dommage.
Cloudflare est très efficace même en cas de DDoS, mais reste un proxy qui aspire toutes tes requêtes.
J'aime bien l'approche de Django avec justement sa protection WAF intégrée (très difficile voire impossible de faire du XSS dessus, il filtre tout !), mais faut-il être à l'aise pour l'utiliser dans ses projets web.
Pas simple !
Après la plus part du temps, quand on clique sur un lien bizarre, c'est pas pour allez sur des sites connus ou on a un compte
Je me demande si on peut faire un reverse shell 👀
Les gars petite question si je fais mon propre site et que je fais en sorte d’avoir une faille XSS. Est t’il possible que si je force le client à allez dessus et ce que il est possible de récupérer les cookies (token ) de la totalité de sont navigateur ou encore c’est mot de passe enregistré.
Non et pourquoi cette question ?
C'est dommage que tu ne parle pas de l'option "html only" qu'un cookie peut avoir (ce qui est rendu la norme). Ce qui block l'accès au cookie via le JS interne à la page. Certe c'est aux programmeurs a appliquer cette sécurité, mais quand même...
Comme tu l'as dit c'est plutôt du devsecops ce qui n'était pas le but de la vidéo.
Je suis pas expert mais il me semble que de nos jours la plupart des navigateurs bloquent l'appel à des domaines différents de celui du site d'origine (CORS).
Et tu penses que j'ai utilisé quel navigateur ?
@@wakedxy C'est une option activé par défaut donc c'est pas impossible à désactiver. Au final peu importe celui que tu as utilisé si tu as autorisé la politique CORS dans ses paramètres.
Bonjour
Je souhaite créer ma cbaine TH-cam qui sera dédié à des cours informatique (bureautique). Je voudrais des conseils sur les outils et matériels à utilisés surtout pour le son.
Hello pour le son ne te casse pas la tete utilise audacity, pour le matériel investi sur un bon micro c'est le plus important , pour la vidéo tu peux commencer avec un boitier amateur selon ton budget.
Merci beaucoup pour ces précieux conseils@@wakedxy
top la vidéo
Mais pourquoi les sites ne contrôlent pas l'adresse IP en même temps que le token du cookie ? Ce serait quand-même ultra aberrant qu'elle change en cours de session, non ?
Il y a des sites qui ajoute cette sécurité effectivement mais il existe des moyens de bypasser ces restrictions
merci
Il me semble que les navigateurs n'autorisent pas les app à accéder à des cookies provenant d'un autre nom de domaine. Donc si on clique sur un url dangereux mais qu'on rentre aucune information on est good ? J'essaye de comprendre. Merci pour la vidéo je me suis posé la question il y a quelque jours lol.
Le problème c'est que même si ton navigateur empêche beaucoup de fails, ces fails sont toujours là et utilisables si tu passes par un client HTTP comme Postman par exemple
J'ai du mal à croire qu'on puisse injecter aussi facilement du code JS côté client, autrement dit j'imagine que les applications vulnérables sont très rares. Je me trompe ?
Les xss font partie des attaques les plus populaires.
Je suis très frustrés de rien comprendre... J'essaie mais j'y arrive pas
Détends-toi ce n'estpas grave. Amuse toi sur la room traitant des XSS sur tryhackme et reviens sur la vidéo : tryhackme.com/r/room/axss
Salut Waked, J'ai un amis qui refuse de croire qu'un QR code peut être la source de vulnérabilité pour son téléphone/pc/réseau, j'aimerais beaucoup que tu démontres le potentiel que peut faire un QR code malintentionné.
C'est drole parce que c'est prévu que j'en fasse une vidéo dans les semaines à venir.
Salut ça craint 😮😮
Tu as un fan de plus
bienvenu ^^
@waked xy , j'aimerais bien que vous formiez nous les passionnés, pensez y svp
C'est une bonne démonstration, mais vue que c'est une attaque très connue, la plupart des sites sont protèges
Tu verrais le nombre de site "moyens" qui sont impactés
Le lien de parrainage 😢
???
Salut Waked, ça serait super d'avoir ton avis sur les portefeuilles cryptos, non seulement ça risque de te rapporter bcp de partenariat pour des solutions de sécurité, et faire de l'éducation sur le monde de la sécurité crypto, qui est une chose absente du YT francophone...
Stp je voudrais qu'on se parle en pv
C'est pas a l'époque que c'étais véridique ce genre de ' prévention ' ?
Non c'est toujours d'actualité
@@wakedxy Oof je me souviens qu'à l'époque, les gens disaient qu'un lien ne pouvait rien faire, sauf si on exécutait un fichier. Je ne savais pas et je le pensais depuis que j'étais petit. Merci à toi de m'avoir délivré de mon ignorance 🥲
Très bonne vidéo, moi qui va sur des sites pas 100% sure ça me rassure pas trop lol d'ailleurs je crois c'est comme ça que les youtubeurs comme Michou on était hacker sur leur chaîne youtube par un mec qui vendais des bitcoin en utilisant je crois l'image de célébrité sur une vidéo/live sur la chaîne
Mouais m'enfin perso je me ferais pas avoir par le faux popup windows, il est grillé a 1000 kilomètres, le bouton dépasse sur la bordure de la fenêtre.... C'est cramé...
Second super vidéo man
Cool mais ten dit beaucoup quand meme 😅
Oh franchement t'embete pas avec le c'est trop malveillant (sauf pour pas te faire bloquer par yt mdr) peu importe le type d'attaque, quand on a le concept si on cherche comment exploiter on trouve .... en plus mnt avec les LLM je t'en parles pas
Enfin je met des nuances... javoue que meme si j'ai le concept, les side channel sur la température des processeur pour sortir des clées privées je suis pas sur de pouvoir (entendez par la clairement impossible a mon niveau)😂😂😂
... tous ces youteubers sécu connectés en root...
Et ?
first
Très interessant merci pour ce partage !
salut merci pour la vidéo mais pourquoi tu es sous Windows sachant que c'est le système d'exploitation avec le plus de failles