Skip to content
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

d0z.me – le raccourcisseur d’URL qui « boom » les serveurs

Tu aurais voulu découvrir cette astuce avant tout le monde ? Alors rejoins-moi sur Patreon !

Ben Schmidt est un passionné de sécurité informatique et il a un problème.

En effet, Ben n’a pas confiance dans les raccourcisseurs d’URL. Vous savez ces services comme TinyURL ou Bit.ly qui permettent de transformer une adresse internet plutôt longue en quelque chose de très court destiné à être envoyé sur les réseaux sociaux. Et pour illustrer son propos, Ben a mis au point un PoC (Proof of concept) de raccourcisseur d’URL capable de lancer une attaque DDoS contre un site web.

En effet, via son site d0z.me, n’importe qui peut créer une url réduite qui au premier coup d’oeil parait normale mais qui en réalité, lorsqu’elle est appelée charge 2 iframes. L’une avec le site à afficher et l’autre avec le site à attaquer, qui n’est pas visible. Le script provoque alors une légère modification de l’attribut d’un tag IMG présent sur la page à attaquer afin de forcer le navigateur de celui qui ouvre cette URL à envoyer de manière continue des requêtes HTTP au serveur hébergeant le site. Imaginez que cette URL soit ouverte par des centaines de personnes de manière quasi simultanée et boom, le serveur tombe !

Je rejoins donc Ben pour vous dire de vous méfier de ces raccourciceurs d’URL. Tout d’abord en tant qu’utilisateur, parce que si vous vous amusez à mettre des liens raccourcis sur toutes vos pages web, le jour où le service ferme, vos liens seront tous morts (sauf si 301Work existe toujours). Mais aussi en tant que cliqueur fou, car on a vu par le passé des URL raccourcies renvoyer vers des tentatives de scams/phishing, mais aussi carrément vers des pages capables d’exploiter une faille de votre navigateur et de vous infecter avec un petit malware (au fait, y’a un nouveau 0Day IE ici). Il existe des outils comme ce script GreaseMonkey qui permet automatiquement dans les pages de faire apparaitre les URL raccourcies en URL « normale ». Le cas du DDoS est nouveau mais vu que Ben a mis les sources à dispo, ça risque de faire des petits 😉

[Source et photo]

Envie de te mettre aux cryptomonnaies ?

Tu as envie de te mettre aux cryptomonnaies mais tu ne sais pas par où commencer ni sur quelle plateforme te créer un compte ?

Il en existe beaucoup qui sont sérieuses et qui te permettront d’acheter des cryptomonnaies en toute sécurité, d’investir et faire du trading si tu le souhaites.

Mais si je ne devais en garder que deux qui sont fiables, faciles à prendre en main, fortement sécurisées et en français, ce serait :

Bitpanda et Binance


Les articles du moment