Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Stegosploit ou comment se faire poutrer par une simple image

Voici un nouveau type d’attaque qui utilise à la fois de la stéganographie et une technique nommée Polyglots pour pouvoir lancer un exploit sur un serveur.

Baptisée Stegosploit, cette technique imaginée par Saumil Shah consiste à encoder le payload dans une image JPG ou PNG (partie stéganographie), puis à le faire décoder par le navigateur au moment de la lecture de l’image (Polyglots).

La technique Polyglots consiste à placer une entête HTML de type Content-Type: text/html dans l’image pour que le navigateur l’interprète comme du HTML / Javascript, exécutant par la même occasion le code malicieux.

stegosploit_diagram

Et vous vous en doutez, c’est parfaitement indétectable par les antivirus pour le moment. Si la technique vous intéresse, le chercheur en sécurité Ange Albertini a mis en ligne une démo de tout ça (zip) où un simple Gif ou BMP exécute un Hello World en javascript.

Capture d'écran 2015-11-09 09.55.27

Vous trouverez toutes les explications techniques sur Stegosploit ici.

Source


Travis Touch – Traducteur Électronique Intelligent avec 105 langues

Traductions faciles & Hotspot Internet

105 Langues

Travis Touch est le traducteur intelligent par excellence qui tient dans la paume de votre main. Créez des liens significatifs avec les personnes que vous rencontrez. Que ce soit pour vos loisirs ou les affaires, Travis Touch permet un monde sans barrières linguistiques, traduisant à partir de 105 langues, plus que n’importe quel autre appareil.

Travis Touch écoute ce que vous dites, le traduit dans la langue sélectionnée et lit la traduction en temps réel par son haut-parleur. Votre interlocuteur peut alors s’exprimer dans sa propre langue et Travis traduira pour vous.

En Savoir +



Réponses notables

  1. Sous son air “simple”, cette technique utilise beaucoup de concepts très intéressants, que ce soit pour de l’offuscation, ou concernant les différents formats utilisés.
    Lorsque j’en avais entendu parler, cette technique nécessitait un loader externe. L’aspect polyglot n’était pas encore d’actualité (et donc cette technique ne présentait, finalement, pas beaucoup d’intérêt)
    Je conseille vivement la lecture du lien fourni (http://stegosploit.info/).
    Merci pour le partage @Korben !

Continuer la discussion sur Korben Communauté

4 commentaires supplémentaires dans les réponses

Participants

Comment découper une carte SIM sans la bousiller

vec certains téléphone, ça devient une vraie galère au niveau des cartes SIM. Entre la SIM classique (MiniSIM), la MicroSIM et la NanoSIM, difficile de s’y retrouver et surtout de passer d’une plus grande à une plus petite sans devoir attendre que les opérateurs veuillent bien se donner la peine de vous l’envoyer…

Lire la suite


6 outils pour cloner un disque dur sous Windows et Linux

Cloner c’est facile… Bon, ok, cloner un bébé, c’est déjà plus complexe mais un disque dur, c’est l’enfance de l’art… Alors bien sûr le logiciel le plus connu pour ça, est Ghost de Symantec mais au prix de 999,99 euros HT (j’déconne, je ne connais pas le prix en vrai), c’est déjà plus rentable de se mettre à cloner son petit frère artisanalement dans le garage…

Lire la suite