Quantcast
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Enorme faille de sécurité dans le protocole JAR. Les applications web 2.0 sont touchées !

Un hacker de chez GnuCitizen vient de trouver une énorme faille de sécurité dans le protocole JAR. Quand je parle de protocole, je veux dire que JAR permet d’accèder à des fichiers dans un fichier compressé. (Zip… ou autre, vous verrez après)Pour accèder à ce fichier, il suffit d’appliquer la syntaxe suivante :

 

jar:[url vers l'archive]![chemin vers le fichier]

La première partie pointe vers l’url ou se trouve le fichier archive et le paramètre « chemin vers le fichier » qui commence le plus souvent par un / .

Par exemple, si dans l’archive, nous avons un repertoire Pictures dans lequel il y a une image a.jpg, on aura quelquechose comme ça

jar:https://domain.com/path/to/jar.jar!/Pictures/a.jpg

Voilà pour l’intro… Vous l’aurez compris, le fichier a.jpg s’ouvrira avec comme chemin celui de l’archive… donc un truc comme ça

https://domain.com/path/to/a.jpg

Alors, quel est le problème ? Le problème c’est que n’importe quelle application web (même les plus grosses) qui autorise l’upload de fichiers JAR/ZIP est potentiellement vulnérable à un Cross Scripting permanent. Tout le monde est vulnérable… Des web mails, aux systèmes d’upload de fichiers en passant par des outils de travail collaboratif… Bref, pas mal de trucs web 2.0. (Google et Microsoft sont par exemple faillibles)

Là ou ça devient marrant, c’est que si vous prenez un format de fichier OpenOffice (odt) ou le format Open Document de Microsoft, on se rends compte qu’eux aussi sont basé sur la norme ZIP. Il suffit donc de créer un document avec Word avec de format ouvert, de le renommer avec l’extension Zip pour pouvoir l’ouvrir et en changer le contenu. C’est à dire qu’un attaquant pourrait inclure simplement une page HTML « démoniaque » à l’intérieur. Ensuite, il lui suffit de redonner la bonne extension au fichier (.doc ou .odt) et de l’envoyer sur le site de sa victime via n’importe quel formulaire.

L’attaquant n’aura alors plus qu’à appeler son fichier directement avec le protocole JAR pour lancer sa page HTML.

Un autre intérêt peut être aussi de passer outre les antivirus en utilisant une extension non reconnue par ces derniers, et il est aussi possible d’encapsuler les jars entre eux, ou d’y placer d’autres type de protocoles data: pour échapper aux radars…

Vous l’aurez compris, c’est une faille très très grâve qui touche tout le monde ! Le seul moyen de se protéger, c’est de véritablement vérifier le contenu de ce qu’upload vos utilisateurs, mais parfois, cela est impossible surtout avec des formats comme les .odt ou .doc. Vous devez donc les renommer, les ouvrir, verifier leur contenu. Tout ceci est évidement temporaire le temps que les sociétés d’antivirus et d’IDS se mettent à la page… Je pense quand même qu’ils ont un peu de boulot !

Toutes les infos sont ici


MacWay fête ses 30 ans et qui dit 30 ans dit JEU CONCOURS !

Le grand jeu anniversaire est disponible sur macway.com ! Tentez de remporter un MacBook Air jusqu’au 11 Octobre 2020 !
D’autres lots sont également mis en jeu, avec notamment une trottinette Force Moov , un casque Bose QuietComfort 35.
Bonne nouvelle : il n’y a pas de perdant, puisque chaque participant recevra un bon d’achat de 10€ !
Tirage au sort le 12 Octobre 2020.

En Savoir +



Un korbenaute trouve son nouveau job via Laou et ça c’est cool

— Article sponsorisé par Laou (mais basé sur des faits réels) —

Salut les amis, vous vous souvenez de mes articles concernant le service Laou ? Et bien j’ai appris récemment qu’au moins un de mes lecteurs (les meilleurs lecteurs du monde à la base donc ils ont un bonus en charisme) a trouvé un nouveau travail grâce à ça. Et ça fait vraiment, mais alors vraiment, plaisir.

Lorsqu’un de mes tutos permet de débloquer une situation ou que je fais découvrir un nouveau site, ça fait zizir et j’ai l’impression d’avoir été utile de manière concrète. Mais si quelqu’un trouve un travail grâce à une de mes infos c’est forcément encore mieux. Parce que l’impact sur la vie de la personne en question est beaucoup plus grand. D’ailleurs, aider les gens à trouver un emploi a toujours été une de mes envies, raison pour laquelle j’ai lancé RemixJobs dès 2010 (longtemps site de référence pour le recrutement web et informatique). Et si ce dernier vient de mourir de sa belle mort, il est possible que je vous réserve l’une ou l’autre surprise sur le sujet bientôt.

Laou recherche d'emploi dans le numérique

Tout ça pour en revenir à Laou. Pour les nouveaux venus je rappelle qu’il s’agit d’une plateforme de recrutement spécialisée dans l’IT en région. Si vous voulez découvrir le travail en province et/ou quitter le stress de la capitale, Laou vous aidera non seulement à trouver un nouvel emploi sur mesure, mais prendra aussi un tas de « soucis » à sa charge : vous trouver un logement, trouver un boulot à votre conjoint, gérer le déménagement, vous faire découvrir votre ville d’adoption … Et cerise sur le gâteau tous les frais sont à la charge de votre futur employeur.

Maintenant la partie la plus cool de l’histoire. Elle concerne Steven, développeur fullstack de 25 ans.

Sans trop entrer dans des détails perso, Steven est originaire du sud de la France et était monté à Paris pour se faire une expérience pro. Il n’y arrive pas vraiment et a un peu de mal à s’y faire un cercle d’amis. Du coup il se dit que Laou pourrait être une option et qu’il va essayer de trouver son boulot rêvé : gameplay developper dans le secteur du jeu vidéo. Sans succès dans un premier temps, car sans expérience c’est tout de suite plus compliqué.

Quitter Paris en 2020 avec Laou

En discutant un peu avec Charlotte, la personne en charge de son dossier, il se rend compte qu’il est plus important pour lui de quitter Paris et d’avoir un cadre de vie adapté que de trouver l’intitulé de boulot exact qu’il recherche. Il est prêt à faire ses classes avant. Et là BAM tout décolle, il reçoit plusieurs propositions dans diverses régions de l’hexagone.

Après plusieurs échanges et un suivi, régulier Laou lui paie une nuit d’hôtel pour lui permettre de rencontrer ce qui sera son futur employeur, be-ys. En plus c’est situé à Clermont-Ferrand #AuvergneRepresent. Juste pour vous situer un peu le dévouement de Laou, le train de Steven est arrivé avec 3 heures de retard à Clermont, et pour s’assurer que tout se passerait bien pour lui, Charlotte était à la gare, de nuit, juste pour l’accueillir. C’est ça le service Laou, du sur mesure et de la flexibilité.

Service Settlesweet

Une fois le contrat signé c’est au tour de Settlesweet de prendre le relais. Settlesweet est le partenaire de Laou pour tout ce qui se touche à la recherche de logement, ce sont eux qui prennent en charge cet aspect de A à Z. Le principe est simple : leur algorithme va analyser une quinzaine de sites d’annonces selon vos critères personnalisés afin de vous trouver le logement le plus adapté à vos envies.

Ensuite, un Home Matcher dédié à votre recherche se chargera de prendre rendez-vous pour les visites et de déposer vos candidatures, le tout en vous tournant les pouces. Settlesweet est entièrement gratuit pour les déménagements dans le cadre d’un nouvel emploi ou d’une mutation. 

Au final il se sera passé quelques mois entre la lecture de mon article et son premier jour de travail. Ce qui est plutôt pas mal, surtout en considérant la pandémie qui a retardé beaucoup de choses. J’espère que Steven lira cet article et qu’il n’hésitera pas à nous partager avec ses mots la manière dont il a vécu tout le processus, ça ferait plaisir !


MacWay fête ses 30 ans et qui dit 30 ans dit JEU CONCOURS !

Le grand jeu anniversaire est disponible sur macway.com ! Tentez de remporter un MacBook Air jusqu’au 11 Octobre 2020 !
D’autres lots sont également mis en jeu, avec notamment une trottinette Force Moov , un casque Bose QuietComfort 35.
Bonne nouvelle : il n’y a pas de perdant, puisque chaque participant recevra un bon d’achat de 10€ !
Tirage au sort le 12 Octobre 2020.

En Savoir +