Lightshot, un fail de conception - Hacking Screenshot

in #fr6 years ago (edited)

Hello les Chicas & Chicos !

J'ai récemment vu sur le net, plusieurs articles qui parle d'une erreur de conception de la part de Lightshot. Si vous ne connaissez pas, c'est tout simplement un soft de screenshot assez cool, qui permet d'upload automatiquement ces screens..

Le problème viens de la façon dont Lightshot génère les url.

Exemple :
https://prnt.sc/abcdef
https://prnt.sc/abcdeg
https://prnt.sc/abcdeh
https://prnt.sc/abcdei
https://prnt.sc/abcdej [...]

Tu a trouvé ?

Les url sont totalement prévisible, et du coup il est très simple de créer un programme qui génère ces url, parser le html de la page, télécharger l'image et jouer a l’espion..

C'est donc ce que j'ai fait !


Apres quelque heures de parsing :

Tout ça pour quoi ? Pour vous dire de ne pas upload n'importe quoi sur lightspot et sur n'importe quel site du genre..
J'ai même trouvé une carte de crédit... WARNING !

A bientôt ! :p

ps : je ne donnerais pas le programme que j'ai fait, pour évité a des petit malin de fouiller la ou il faut pas :p
ps2 : ne faite pas ça ! c'est pas très légal et vous pouvez avoir des soucis.

Edit 1 :
Source : https://korben.info/attention-a-ne-pas-uploader-de-trucs-sensibles-sur-prnt-sc-lightshot.html

Edit 2 : Je n'ai pas utiliser le programme d'un autre. Mon script est fait en NODEJS contre du python (senges sur github). Preuve a l'appuis : http://prntscr.com/jtbivg

Edit 3 : Voila le code source de mon script : https://github.com/lucaspojo/lightshot-crawler

#dev #hack #screenshot #nodejs
6 years ago in #fr by
$0.33
  • Past Payouts $0.33, 0.00 TRX
  • - Author $0.26, 0.00 TRX
  • - Curators $0.07, 0.00 TRX
8 votes
Reply 9
Sort:  
  • Trending
    • [-]
     6 years ago 

    Il aurait été sympa de citer la source, en l'occurence Korben

    $0.10
    • Past Payouts $0.10, 0.00 TRX
    • - Author $0.10, 0.00 TRX
    • - Curators $0.00, 0.00 TRX
    5 votes
    Reply
    [-]
     6 years ago 

    Voila, article modifié.

    [-]
     6 years ago 

    Parfait. C'est toujours plus fairplay de citer ses sources.

    $0.08
    • Past Payouts $0.08, 0.00 TRX
    • - Author $0.08, 0.00 TRX
    • - Curators $0.00, 0.00 TRX
    6 votes
    Reply
    [-]
     6 years ago 

    Merci pour la précision, @hatuvera, et enchanté de faire ta connaissance ! Lucas s'était abstenu de le faire car l'essentiel de son article se nourrit d'un script qu'il a créé (il ne s'est pas servi du code proposé sur GitHub), ce qui, en sus de la rédaction elle-meme, place cette publication dans la catégorie des productions originales. Mais je t'accorde que mentionner Korben, Naïm Gallouj et/ou Charles Senges est aussi nécessaire :-) La bonne journée á toi !

    $0.00
      Reply
      [-]
       6 years ago 

      You just received a Tier 0 upvote! Looking for bigger rewards? Click here and learn how to get them or visit us on Discord
      If you would like to opt out of receiving comments reply with STOP

      $0.00
        Reply
        [-]
         6 years ago 

        Intéressant, @peneinc ! Ca nous rappelle que la meilleure maniére de préserver la confidentialité de données sur Internet est... de ne pas les transmettre par Internet ;-) De la meme facon qu'en ce qui concerne les échanges monétaires, et contrairement á ce que prétendent les États, la sureté se trouve du coté de l'usage du bon vieux papier...

        Ah, as-tu retravaillé le code du script fourni par Charles Senges ?

        $0.00
          Reply
          [-]
           6 years ago 

          Euh... et tu as fait quoi de la carte de crédit ? LOL

          $0.00
            Reply
            [-]
             6 years ago 

            @roxane je me suis payer un pc a 9000$. Non elle était expiré depuis 2013.

            $0.02
            • Past Payouts $0.02, 0.00 TRX
            • - Author $0.02, 0.00 TRX
            • - Curators $0.01, 0.00 TRX
            1 vote
            Reply