Discussion :

[laurentg2003]

Bonjour,
Ma question est surement au mauvais endroit mais je trouve pas le topic adéquat
quand j'ouvre une image gif ou jpg avec notePade
je vois des signes ,du code ce qui est logique

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Ñ£H“*]Ê´©Ó§P£JJµªÕ«X³jÝʵ«×

c'est quoi exactement ?

Merci

[SpaceFrog]

le code binaire de l'image ...

[laurentg2003]

Merci
Je m'en doutais mais pourquoi ce n'est pas sous la forme 00000011
c'est interprété c'est ça?
il y a moyen de reconvertir en binaire?
c'est lisible avec un code java pour accéder au donnée binaire?

[SpaceFrog]

dis nous plutot le but final ...

[laurentg2003]

Je fais une application facebook avec iframe dans la page index de facebook
et j'utilise moi même des iframes d'ou un probleme de same origin policy
donc j'utilise document.domain ="xxx.com" le soucis ça rend mon application ultra vulnérable donc je voudrais utiliser une csrf
et au lieu de passer par des iframes charger un gif qui contient mon script
je sais que c'est possible c'est utilisé pour acceder auw web service
sous la form oImage= new image(); oImage.src="xxxxx.js"
mais c'est vraiment afficher la src dans le code alors que placer du js dans des commentaires gif dans un fichier gif masque tout
Donc mon but c'est de faire cela
voilà merci

[Bovino]

Mais quel est l'intérêt de passer par une fausse image plutôt que par une balise script

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
var oScript = document.createElement('script');
oScript.type = 'text/javascript';
oScript.src = 'ici pas de restriction SOP';
document.getElementsByTagName('head').appendChild(oScript);

[SpaceFrog]

...
moi je dis ça pue et ça n'a rien à faire ici ...

[laurentg2003]

@bovino oui tu as raison c'est le plus simple et en l'encapsulant dans une methode je peux l'appeler quand je veux
@SpaceFrog c'est des methodes de hackers j'avoue
mais pourquoi ne pas les utiliser dans un but honnête
avec ce genre de réaction la sécurité des apllications web est la grande absente de ce style de forum
j'ai etudié les injections xss et bien m'en a pris mon appli sur facebook donc dans un domaine proche du domaine racine en contenait 2
et les amis qui vont ajouter mon appli se serait simplemengt fait hacker leur token...
A ne pas vouloir en parler
Il y a des failles énormes partout avec les imputs ajax et les frameworks
On ne peut pas développer en mettant en peril les données ,le navigateur voir le pc des visiteurs....

[Invité]

c'est quoi un csrf

[SpaceFrog]

Les utiliser ... ça te regarde, mais les divulguer sur developpez

La methode de Beef est certainement plus honnête

[Bovino]

De toute façon, à utiliser une fausse image gif avec du code JavaScript dedans, tu vas vite te retrouver blacklisté par Google et les navigateurs...

@mekal : Cross Site Request Forgery

[laurentg2003]

le truc c'est qu'un hacker s'en moque d'être blacklisté dans un sens ça l'arrange...
space frog tu as raison après chaque méthode est honnête si c'est utiliser avec des buts honnêtes
ce que je veux dire aussi c'eszt que pour développer des applis web sécurisé on est obligé d'apprendre tout ça ça me semble logique
je m'interresse juste à la sécurité
mais tu as raison pas ici
sinon avec script c'est trés bien merci

[Invité]

effectivement ca parait tordue