{-----------------------------------------------------------------------------} %% UNSECURE ACTIVE-X %% Malicious & hostile scripts... ** by DataHck & Cyberyo {-----------------------------------------------------------------------------} %% iNTRO %% Il vous est surement arrive lorsque vous vous connectez sur un site web de devoir confirmer si vous voulez faire confiance au site web en question. Souvent se cache un programme activeX derriere cette URL. Ce texte est la pour vous expliquer ce que ce genre de scripts peut faire. Plusieurs "langages" sont exploitables : VBScript, Java, JavaScript... On va voir comment les serveurs peuvent recuperer des infos sur leurs clients... %% aCTiVE-X ? Enjoy ! %% Les actions les + interessantes concernent evidemment les filez (operations d'I/O), l'OS (sploits/DoS) et les infos du client (ip,services..) comme par exemple : Creer/Supprimer un cookie Creer/Supprimer une cle dans la base de registre Lire la valeur d'une cle dans la base de registre Creer/Lire/Supprimer? un fichier Ouvrir une autre fenetre (woaw!) Fermer le browser (woooaawww!!!) Afficher l'ip du client Afficher l'hostname du client Afficher la version du browser Afficher les informations sur le systeme d'exploitation Afficher les proprietes du browser Afficher la configuration du browser Sniffer les urls ;) Spoofer une url Creer une connexion entre le client et le serveur (telnet,ftp,sendmail...) =) ... Bon y'en a d'autres (crasher un client, killer un applet etc..) , mais on s'interessera k'a celles la car elles vont nous aider a faire une page html tres "curieuse". %% cOOKiES %% Les cookies...hummm...kel interet ? bin c simple, on va creer un cookie pour 'marquer' un client. /* -- begin -- */