Hors-sujet

Je viens de faire le challenge "Réseau - Authentification twitter". Alors surpris que l’on puisse trouver un mdp Twitter aussi facilement, j’essaye en me logant sur mon compte et en capturant les paquets. En fouillant un peu je tombe sur un paquet OSCS avec une trame HTTP et trois champs : issuerNameHash / issuerKeyHash / serialNumber
exemple : 5128fg90af0254757cccd9656462a212e759793b. Ça ressemble à du cryptage SHA1 / MD5.

Ma question est donc : à l’époque de la création du challenge, le user:password était-il vraiment juste crypté en base64, ou le défi a-t-il été rendu plus simple pour être réalisable ?

Merci !

C’est pas mieux aujourd’hui, le mot de passe peut tout à fait être récupéré en clair avec une attaque MITM. Mais c’est normal que tu l’ai pas trouvé dans ta capture réseau, il est crypté par TLS. Il faut forcer l’http pour pas qu’il soit crypté.

Qu’est-ce que tu veux dire par "forcer l"http" ? Si on écrit http dans l’url au lieu de https Twitter corrige automatiquement en https...

Effectivement il y a des règles HSTS qui obligeront ton navigateur a utilisé la version HTTPS. En revanche tu peux duper l’utilisateur en faisant une MITM. De cette manière la connexion entre le serveur et le pc du pirate sera en HTTPS et la connexion entre le pc du pirate et le pc de la victime sera en HTTP.
Donc la victime transfert ses identifiants en clair et le pirate les transmet au serveur en crypté.
Tu peux tester ce genre d’attaques avec l’outile Bettercap de d’evilsocket (disponible sur GitHub). :)

Bonjour,
Lorsque je veux valider l’épreuve Authentification twitter, alors que je trouve le bon mot de passe , le challenge me renvoie une erreur. J’ai tout essayé, copier/coller, recopiage, vérifier si je n’avais pas mis d’espace mais rien ne fonctionne. Je suis tombé sur un ancien post qui indiqué le même problème, pouvez-vous m’éclairer svp.
bonne journée