Lightshot, un fail de conception - Hacking Screenshot

in #fr6 years ago (edited)

Hello les Chicas & Chicos !

J'ai récemment vu sur le net, plusieurs articles qui parle d'une erreur de conception de la part de Lightshot. Si vous ne connaissez pas, c'est tout simplement un soft de screenshot assez cool, qui permet d'upload automatiquement ces screens..

Le problème viens de la façon dont Lightshot génère les url.

Exemple :
https://prnt.sc/abcdef
https://prnt.sc/abcdeg
https://prnt.sc/abcdeh
https://prnt.sc/abcdei
https://prnt.sc/abcdej [...]

Tu a trouvé ?

Les url sont totalement prévisible, et du coup il est très simple de créer un programme qui génère ces url, parser le html de la page, télécharger l'image et jouer a l’espion..

C'est donc ce que j'ai fait !


Apres quelque heures de parsing :

Tout ça pour quoi ? Pour vous dire de ne pas upload n'importe quoi sur lightspot et sur n'importe quel site du genre..
J'ai même trouvé une carte de crédit... WARNING !

A bientôt ! :p

ps : je ne donnerais pas le programme que j'ai fait, pour évité a des petit malin de fouiller la ou il faut pas :p
ps2 : ne faite pas ça ! c'est pas très légal et vous pouvez avoir des soucis.

Edit 1 :
Source : https://korben.info/attention-a-ne-pas-uploader-de-trucs-sensibles-sur-prnt-sc-lightshot.html

Edit 2 : Je n'ai pas utiliser le programme d'un autre. Mon script est fait en NODEJS contre du python (senges sur github). Preuve a l'appuis : http://prntscr.com/jtbivg

Edit 3 : Voila le code source de mon script : https://github.com/lucaspojo/lightshot-crawler

Sort:  

Il aurait été sympa de citer la source, en l'occurence Korben

Voila, article modifié.

Parfait. C'est toujours plus fairplay de citer ses sources.

Merci pour la précision, @hatuvera, et enchanté de faire ta connaissance ! Lucas s'était abstenu de le faire car l'essentiel de son article se nourrit d'un script qu'il a créé (il ne s'est pas servi du code proposé sur GitHub), ce qui, en sus de la rédaction elle-meme, place cette publication dans la catégorie des productions originales. Mais je t'accorde que mentionner Korben, Naïm Gallouj et/ou Charles Senges est aussi nécessaire :-) La bonne journée á toi !

You just received a Tier 0 upvote! Looking for bigger rewards? Click here and learn how to get them or visit us on Discord
If you would like to opt out of receiving comments reply with STOP

Intéressant, @peneinc ! Ca nous rappelle que la meilleure maniére de préserver la confidentialité de données sur Internet est... de ne pas les transmettre par Internet ;-) De la meme facon qu'en ce qui concerne les échanges monétaires, et contrairement á ce que prétendent les États, la sureté se trouve du coté de l'usage du bon vieux papier...

Ah, as-tu retravaillé le code du script fourni par Charles Senges ?

Euh... et tu as fait quoi de la carte de crédit ? LOL

@roxane je me suis payer un pc a 9000$. Non elle était expiré depuis 2013.