Petite séance de grey hacking pédagogique
samedi 25 octobre 2014 à 10:17KraZhtest, le 25/10/2014 à 10:17
Petit script "hackaton" fait tout d'une traite sinon rien!
C'est un mail bomber (pas tapé!) d'un genre spécial. Il suffit d'indiquer le mail du destinataire, le code va générer plusieurs email aléatoire, des messages aléatoires, et envoyer le tout, plusieurs centaines de fois par minutes, en boucle infinie.
C'est du php, du javasript, méthode ajax, l'un se servant des variables de l'autre et inversement.
J'ai utilisé 3 librairies javascript: zepto.js pour changer mes éléments dans le DOM et utiliser ses sélecteurs, chance.js pour générer des variables aléatoires, et Qurl.js pour modifier l'adresse url à la volée et créer les requêtes ajax.
http://zeptojs.com/
http://chancejs.com/
https://github.com/ryanburnette/Qurl
Résultat:
{pic http://user23.net/links/shoot/Petite%20s%C3%A9ance%20de%20grey%20hacking%20p%C3%A9dagogique.png pic}
Le code complet est ici: http://user23.net/bin/?562da383dbae32e1#s6PPrjF9VvEgEByvWq0Kp0D6/gmLtLXjoHGfwZpmA0E=
C'est évident qu'il y a certaines limitations, le serveur mail va se faire blacklister mais c'est très souvent déjà le cas sur les serveurs mutualisés, les messages arriveront donc dans le dossier spam sur gmail par exemple, du fait aussi des adresses "spoofées". Mais sur d'autres c'est pas la même histoire!
A ce stade il suffirait de récupérer une liste d'adresses valides, de joindre une pièce jointe de 10 ou 20 mo, pour complètement saturer une boite email et la rendre inutilisable, mais bon je m’arrête là. ;)
Petit script "hackaton" fait tout d'une traite sinon rien!
C'est un mail bomber (pas tapé!) d'un genre spécial. Il suffit d'indiquer le mail du destinataire, le code va générer plusieurs email aléatoire, des messages aléatoires, et envoyer le tout, plusieurs centaines de fois par minutes, en boucle infinie.
C'est du php, du javasript, méthode ajax, l'un se servant des variables de l'autre et inversement.
J'ai utilisé 3 librairies javascript: zepto.js pour changer mes éléments dans le DOM et utiliser ses sélecteurs, chance.js pour générer des variables aléatoires, et Qurl.js pour modifier l'adresse url à la volée et créer les requêtes ajax.
http://zeptojs.com/
http://chancejs.com/
https://github.com/ryanburnette/Qurl
Résultat:
{pic http://user23.net/links/shoot/Petite%20s%C3%A9ance%20de%20grey%20hacking%20p%C3%A9dagogique.png pic}
Le code complet est ici: http://user23.net/bin/?562da383dbae32e1#s6PPrjF9VvEgEByvWq0Kp0D6/gmLtLXjoHGfwZpmA0E=
C'est évident qu'il y a certaines limitations, le serveur mail va se faire blacklister mais c'est très souvent déjà le cas sur les serveurs mutualisés, les messages arriveront donc dans le dossier spam sur gmail par exemple, du fait aussi des adresses "spoofées". Mais sur d'autres c'est pas la même histoire!
A ce stade il suffirait de récupérer une liste d'adresses valides, de joindre une pièce jointe de 10 ou 20 mo, pour complètement saturer une boite email et la rendre inutilisable, mais bon je m’arrête là. ;)