Hors-sujet
Authentification twitter
Je viens de faire le challenge "Réseau - Authentification twitter". Alors surpris que l’on puisse trouver un mdp Twitter aussi facilement, j’essaye en me logant sur mon compte et en capturant les paquets. En fouillant un peu je tombe sur un paquet OSCS avec une trame HTTP et trois champs : issuerNameHash / issuerKeyHash / serialNumber
exemple : 5128fg90af0254757cccd9656462a212e759793b. Ça ressemble à du cryptage SHA1 / MD5.
Ma question est donc : à l’époque de la création du challenge, le user:password était-il vraiment juste crypté en base64, ou le défi a-t-il été rendu plus simple pour être réalisable ?
Merci !
Authentification twitter
C’est pas mieux aujourd’hui, le mot de passe peut tout à fait être récupéré en clair avec une attaque MITM. Mais c’est normal que tu l’ai pas trouvé dans ta capture réseau, il est crypté par TLS. Il faut forcer l’http pour pas qu’il soit crypté.
Authentification twitter
Effectivement il y a des règles HSTS qui obligeront ton navigateur a utilisé la version HTTPS. En revanche tu peux duper l’utilisateur en faisant une MITM. De cette manière la connexion entre le serveur et le pc du pirate sera en HTTPS et la connexion entre le pc du pirate et le pc de la victime sera en HTTP.
Donc la victime transfert ses identifiants en clair et le pirate les transmet au serveur en crypté.
Tu peux tester ce genre d’attaques avec l’outile Bettercap de d’evilsocket (disponible sur GitHub). :)
Authentification twitter
Bonjour,
Lorsque je veux valider l’épreuve Authentification twitter, alors que je trouve le bon mot de passe , le challenge me renvoie une erreur. J’ai tout essayé, copier/coller, recopiage, vérifier si je n’avais pas mis d’espace mais rien ne fonctionne. Je suis tombé sur un ancien post qui indiqué le même problème, pouvez-vous m’éclairer svp.
bonne journée