6 mois pour en arriver à ca !

Suite au topic sur ogame :
http://board.ogame.fr/thread.php?threadid=318663&threadview=0&hilight=&hilightuser=0&page=1

et
http://board.ogame.fr/thread.php?threadid=210247&hilight=skexces

Posté le 30.03.2006 :
De tjfast : Bonjour j'aimerais savoir si il est possible de mettre des sons sur la page d'accueil de notre alliance si oui comment?
De GrenXIII : Ce n'est malheureusement pas possible.
De Feoban : c'est possible mais extremement complex, Skexces (ex-modo uni6) l'avai fait sur la page de son ally... Apres comment il avai fait, ca j'en sais rien...

Voici ce que j'avais dit voici 6 mois :

2/ On peut se faire voler son compte dans ogame même. C'est à dire que ogame est HYPER sensible au cross- scripting (XSS). Il suffi d'un texte d'alliance piégé, d'un logo d'alliance piégé, d'une url de forum d'alliance piégée ou d'un skin trafiqué pour vous piquer votre Identifiant de session, connaitre votre pc, votre browser, votre ip, etc...la liste est longue. Ensuite, il n'y a plus qu'à se connecter sur le pigeon qui a oublié de mettre check IP et mettre son email pour recuperer le password. Je tiens à signaler que ceci est véridique car je l'ai testé avec le consentement de certains joueurs uni6 FR aussi bien sur le forum GameForge que sur Ogame. Et à vrai dire, ils ont été vert... J'ai dis qu'ogame était une passoire, moi ? nann....

Je reviens 6 mois apres, et qu'est ce que je vois ? Les superbes failles sont toujours la !
vous vous doutez bien que si on peut inserer des videos ou sons à la place des images, on peut aussi inserer d'autres trucs, comme des script (Cross Scripting).

Cette faille a été dite le 30.03.2006, et le staff FR n'a pas sursauté !
C'est vrai que c'etait une animation entierement en javascript+son, et des joueurs de l'univers 6, l'avaient vu à l'époque. GF savait parfaitement qu'il était possible de mettre des scripts dans la page d'alliance, mon animation d'alliance en était la preuve flagrante.

Vous croyez toujours que des comptes top50 sans hotmail, sont volés par magie ? Il faut etre un temps soit peu lucide, lorsque vous avez un compte top10+email wanadoo+personne ne semble s'etre connecté sur votre compte d'apres le modo, ca devient hautement improbable que ca soit la faute des utilisateurs, mais plutot une faille dans le jeu permettant de recuperer le mot de passe et de changer l'email.

http://www.porjes.com/idocs/images/_IMG.html
<IMG SRC="../graphics/pumpkin.gif" ALT="picture of a pumpkin" HEIGHT=100 WIDTH=100 onLoad="alert('loaded')">

Maintenant, que vous savez qu'il est possible d'inserer du son/video grace aux balises bbcode, je pense que vous devinerez tout seul comment inserer du javascript avec un joli submit.form() pour changer l'email dynamique d'un joueur quelque soit son email (donc de vous faire renvoyer son mot de passe)

Il n'y a pas que la balise bbcode IMG qui est joliement buggé.

GF incompétent ? GF refusant d'admettre que son jeu est troué ? GF refusant les backup du des hack-non Hotmail ? GF disant que c'est toujours la faute des utilisateurs ?
Sans blague...

Et le plus beau foutage de gueule que je n'ai jamais vu :

v0.74a
- Les sondes ne peuvent plus transporter de ressources
- Lors du stationnement chez un allié (pour les univers où ceci est activé), le système vérifie si la cible du stationnement est soumise à la protection des joueurs faibles
- Correction de bugs mineurs dans le menu Options
v0.73e
- Les pages d'alliances sont chargées sans utilisation de l'id de session
- Correction d'un bug de répétition de texte d'alliance
- Il est de nouveau possible d'effacer des planètes avec le navigateur Opera
- Les logos d'alliances doivent dorénavant être dans un des formats suivants : Bitmap (extension .bmp), PNG (.png), Tiff (.tif ou .tiff), JPEG (.jpg ou .jpeg) et GIF (.gif)
- Les mêmes règles s'appliquent aux images utilisées dans le texte d'alliance

GF s'est foutu joliement de votre poire en disant avoir corriger des failles, alors qu'elles sont toujours là. Je considère que GF n'a rien corrigé du tout, et n'a fait que cette annonce que pour "calmer les esprits", en disant "vous voyez, on a fait quelque chose".

Je persiste et signe, si vous avez le malheur d'aller sur une page d'alliance piégé par XSS (insertion de script malsain), quelque soit votre email et check IP coché ou non coché, vous pouvez vous faire voler/detruire votre compte.
Je persiste et signe que GF s'est joliement foutu de votre gueule depuis 6 mois concernant un bon paquet de compte top50 hacké, qui le sont, exclussivement par leur faute et leur incompétence en programmation/sécurité.

Ah oui, derniere chose, l'insertion en XSS/Javscript sur une image d'alliance marche très bien pour changer l'email d'un modo et recuperer son mot de passe.

Ayant été un joueur de l'univers 6 ayant testé ca, je confirme ca marche :p. J'ai toujours pas compris comment sa marche, et j'espére pouvoir le comprendre, pour essayer de me défendre contre l'indefendable...et vi, maintenant, je note chaque page d'alliance ou j'ai été.... Periode de terreur ou pas? a vous de décider :p moi je vais bichonner mon ptit compte a bientot 1M de points, en esperant que 1 an de travail ne soit pas réduit a néan d'un jour a l'autre...

Allez et le plus beau, concernant GF et le staff FR qu'ils sont parfaitement au courant de cette faille depuis des mois !

http://board.ogame.fr/thread.php?threadid=318663&threadview=0&hilight=&hilightuser=0&page=5

De Grizzly
Moderateur
posté aujourd'hui
Bonsoir,
Mettre de la musique sur sa page d'alliance est formellement prohibé, puisqu'il faut utiliser une faille javascript d'ogame, c'est donc considéré comme du bug using et passible d'un blocage à vie.
Inutile de donner des solutions pour écouter de la musique sur sa page d'alliance, car qui dit mettre de la musique dit hacker des comptes tout aussi facilement.
Ca sera pour une autre fois, donc

Donc la prochaine fois que vous aurez un compte ogame volé avec un email non hotmail, je crois que vous pourrer leur balancer leur propre dire dans la tronche. Et qu'ils ne viennent pas dire qu'ils ne sont pas au courant, là, ce sont leurs mots.

Avez vous vu un message vous alertant : "Attention depuis 6 mois, il y a une faille monumentale dans la page d'alliance permettant de vous volez votre compte, surtout n'y allez plus. Mais de toute facon, comme vous y allez, si vous etes hacké, ca sera encore de votre faute" ? ^^

Le staff FR n'a même pas eu la descence de prevenir les joueurs que tous les comptes sont en dangers potentiel enorme en passant par une page d'alliance quelque soit votre email, commandant ou pas, ckeck ip ou pas !

Ca fait 6 mois que je le dis...C'est pas grave...

Si ca, ce n'est pas de l'avoeux, moi je suis Jeanne d'Arc

Et mon compte uni2 a été detruit par NRJ à l'epoque, suite à mon post, avec comme raison "demagogie envers GF et le staff FR". Là, c'est un avoeux que la demagogie ne venait pas de moi, mais bel et bien d'eux, car ils sont au courant. Il n'y a jamais eu mensonge de ma part...et NRJ le savait très bien !

Hum,chez moi (uni 6),quand je met ton code,il me vire les < (mais pas les > )...

geod24 a écrit:Hum,chez moi (uni 6),quand je met ton code,il me vire les < (mais pas les > )...

Cherche un peu, la solution est dans le post : http://board.ogame.fr/thread.php?threadid=318663&threadview=0&hilight=&hilightuser=0&page=1
^^

Il faut juste mettre les bons caractères au bon endroit pour injecter un javacript (et d'autres choses)

Le bbcode ?

http://board.ogame.fr/thread.php?threadid=222030&threadview=0&hilight=dynsrc&hilightuser=0&page=8

Originally posted by vincs
serai-t-il possible d'ajouter cela à la FAQ :


pour le fond dans la page d'alliance :
[fc]ffffff style=' background-image: url(url d'image); background-position: top center; background-repeat: repeat; display: block;'[/fc]
les 6 premiers "f" indiquent la couleur du texte (en héxadécimal)

ça c'est pour mettre un compteur de visites :


et ça pour la musique (uniquement sur IE, et ne fonctionne que s'il est inscrit en dernier dans la page, l'utilisateur doit regarder tout en bas pour déclencher la musique) :

url du son height="0" width="0" " alt=""/>

pour les musique je croi qu'il n'y a que les .mp3 qui sont lu

et dites pas que ça marche pas sur ogame.fr je l'ai fait pour la page du cstm dans l'uni9

Voilà, maintenant, inserez ce que vous voulez comme script javascript avec des onload, mouseover, etc...
D''ailleurs, je te conseille d'aller faire un tour sur http://www.w3schools.com/default.asp, concernant les DOM et XML, qui permettent de modifier le code source d'une page à volonté.
comme ce type de code (example) qui permet de retirer toutes les balises IFRAME de pub d'une page web:

Code:


   var iframenode = document.getElementsByTagName('iframe');
   for (var i = 0; i < iframenode.length; i++){
      iframenode[i].parentNode.removeChild(iframenode[i]);
   }

D'autres fonctions existent permettant de modifier, deplacer ou creer des TAGS.

Sinon, il y a aussi une bonne FAQ pour modifier les tags HTML à sa guise sur : http://fr.selfhtml.org/javascript/objets/node.htm

Est-ce vraiment une bonne idée que de poster des éclaircissements qui vont aider les gens à tricher ? (quels que soient les motifs et justifications apportés, recevables ou pas - il me semble que même si le but est louable, les moyens employés pour y parvenir ne le sont pas )

lorelei a écrit:Est-ce vraiment une bonne idée que de poster des éclaircissements qui vont aider les gens à tricher ? (quels que soient les motifs et justifications apportés, recevables ou pas - il me semble que même si le but est louable, les moyens employés pour y parvenir ne le sont pas )

Vois tu, depuis au moins 6 mois cette faille existe, n'a toujours pas été corrigé et des joueurs avaient contacté GF lors de l'affaire Saint Seiya, alors je crois qu'il y a prescription depuis belle lurette...

Je l'avais annoncé voici 6 mois, ils n'ont rien fait
Des joueurs ont contacté GF voici 6 mois, il n'ont rien fait (ah si, juste un message d'alerte pour les skins. woaaaa)

Ce qui n'est pas louable en revanche, c'est 6 mois de non-correction sur une faille ultra-critique permettant de changer l'email dynamique à sa guise, et que d'avoir été criminel de n'avoir jamais prévenu aucun joueur qu'aucun n'était à l'abri en passant sur les pages d'alliances (avoeux de Grizzly)
Et encore plus criminel de ne pas admettre que des comptes top50 non Hotmail, ont été surement piraté depuis 6 mois par leur faute et que ceux, qui avaient des comptes commandants, n'ont jamais été remboursé.
A chaque fois, la réponse a été "si tu as été hacké, c'est de ta faute, jamais de la notre".

Quand tu arrives à ce stade d'incompétence, de criminalité et de mensonges envers tous les joueurs depuis 6 mois, je crois qu'il y a prescription.

Une partie des comptes hacké non-hotmail+check IP, avaient le droit de demander le backup et/ou le remboursement de leur compte commandant, car il était probable que la faille vienne du jeu (avoué par Grizzly), et non pas d'un quelconque trou de sécurité sur l'ordinateur des utilisateurs.

Je viens de réussir pour l'image de fond,avec ce code:

Code:


[fc]ffffff style=' background-image: url(http://starwarsaga.free.fr/Films/Episode%204/Photos/EP4_EtoileMort.jpg); background-position: top center; background-repeat: repeat; display: block;'[/fc]

Pour la musique et le compteur,je fais chou blanc pour le moment...

http://board.ogame.fr/thread.php?threadid=318663&threadview=0&hilight=&hilightuser=0&page=5

Originally posted by cestcommeca

Tu serais en train de dire qu'à l'heure actuelle, il existe de telles failles de "sécurité" (entre guilemets car "sécurité" est un bien grand mot) sur Ogame qu'il suffirait que je parcours une page d'alliance pour me faire hacker mon compte ??

cela devient vraiment trop important ce que vous dîtes.
si une telle faille existe, alors cela peu donner accès a toutes formes de piraterie genre pirater les données des cartes bancaire lors d'un achats du mode commandant.

Hum, pas con, je n'avais pas songé à cette histoire de carte bancaire.
Sans avoir de certitude, je dirais que oui.
Le principe de la faille initiale est de créer une IFRAME avec un bout de javascript en submit.form() pour changer l'email dynamique sur la page option.
Je pense, sans en etre certain, que ce même principe est possible pour page d'achat commandant.

J'explore la piste :
là, il ne s'agit plus d'inserer un IFRAME dans la page alliance, mais plutot de redefinir les FRAMES de la pages principale. Comme par exemple, inserer une FRAME de Zero hauteur en dessous du menu.
Dans cette supposé frame en dessous du menu, il serait possible de mettre du javascript, style :
http://www.toutjavascript.com/savoir/savoir03.php3
parent.frames["frame1"].window.location=nom_page1;

Afin de faire des appel entre frame/pages.
A partir de là, il est surement possible de faire un script d'écoute d'évenement lorsque la page d'achat commandant est activé. Tout ce qui serait tapé ou entré dans la page d'achat du compte commandant, serait enregistré/traité par cette FRAME en dessous du menu.

Reste à savoir si la communication entre une page http et https est possible.

Si, c'est possible, et je le pense à 60%, ca demande de bonnes connaissances en javascript+XML+DOM
Pourquoi je penses que c'est possible :
- La communication entre FRAME / IFRAME est possible en javascript
- L'enregistrement d'évenements est possible d'une FRAME à l'autre en javascript+XML
- L'insertion de code/script à partir de la page d'alliance est possible en javascript+DOM

Oui effectivement, ces problemes la on les connait...
Oui la GF ne se bouge pas...
tu veux faire quoi? des tools pour permettre au premier noob venu detruire des comptes ou recupérer les CB de certains, qui tu ferais tourner par p2p ou sur ftp?
si oui, c'est pas forcement une bonne idée de le clamer haut et fort, si non, tes chances de faire réagir la GF sont malheureusement nulles...

- Les pages d'alliances sont chargées sans utilisation de l'id de session

cross scripting autant que tu veux, sans l'id pas de pass...

papyner a écrit:

- Les pages d'alliances sont chargées sans utilisation de l'id de session

cross scripting autant que tu veux, sans l'id pas de pass...

Et ca, dans la page alliance, c'est du boudin, peut etre ? :

Code:

 <option value="/game/allianzen.php?session=7475da9d8a69&cp=xxxxx&mode=&gid=&messageziel=&re=0" selected>xxxxxxx    [x:xxx:x]</option>

Je n'ai pas l'impression que tu as tout lu et tout compris. Je ne parle pas d'ID dans l'URL, mais de script en javascript injectable dans la page alliance et dont tu peux recuperer le code source HTML complet de toute la page, pour y detruire/créer/modifier/lire les tags HTML à ta guise.
Et dont la programmation en javascript permet la communication entre FRAME, comme dans un moulin à vent, y compris de recuperer l'ID session dans n'importe quel code HTML (le code HTML de la liste deroulante des planetes sur toutes les pages qui contient l'ID session), ou bien même dans l'URL de leftmenu, ou encore dans la page FRAMESET de depart.

effectivement il existe des problemes...
mais aurais-tu par hasard des solutions a apporter? ou au moins des idées?

Indecis a écrit:effectivement il existe des problemes...
mais aurais-tu par hasard des solutions a apporter? ou au moins des idées?

la solution est toute trouvé, il suffi de regarder le code PHP de la balise bbcode [IMG] dans phpbbforum ou leur forum burning board (ogame)
6 mois qu'ils ont le code PHP [IMG] a leur disposition sous les yeux et sur leur propre serveur dans un forum correct, et 6 mois qu'ils ne sont pas foutu de regarder comment c'est fait.

la tu me parles d'une solution technique qui effectivement n'est pas bien compliquée, je parlais de solution pour faire réagir la GF...

ah faire reagir GF ....

J'ai beau reflechir, je crois que toute la diplomatie normale et standard a été largement vu en long, en large et en travers pendant 6 mois.
Tout a été essayé, de la gueulante, à la diplomatie en passant par prevenir GF
Résultat rien...
Et encore pire, ils ont feind d'avoir annoncé la correction dans les pages d'alliance pour calmer les esprits, alors qu'ils n'ont rien fait du tout, et se sont contenté de juste rajouter 1 ligne de code "alerte ceci est un skin extererieur, blabla"

Mis à part la violence verbale et le piratage en mass pour les faire reagir, je ne vois plus grand chose....Vu que c'est leur pognon, là, ils reagiront.
Je sais, c'est con à dire....
As tu d'autres solutions ? Car moi, je n'en vois plus aucune.

on est d'accord, la seule solution pr obtenir une réaction, ca serait un piratage global...
cependant il me semblerait assez paradoxal d'agir de cette facon si le but veritable de l'action etait justement d'empecher autant que faire ce peut le piratage...

M'enfin ça serait pas la première fois ...

Regardez Yasser Harafat, l'a fait pareil avec le terrorisme pour dicuter avec l'ONU ! ^^


---> Si Quelqu'un à encore a dire des conneries pareils qu'il passe sont chemin merci..

tout compte fait, si, il reste encore 1 solution, mais ca va etre le véritable parcours du combatant : prevenir les journaux/site web specialisé.
Pour les journaux de jeux pc, de temps en temps, mais c'est excessivement rare, ils parlent d'un jeux online gratuit, comme ce fut le cas de Fondation. Mais bon, c'est vraiment ponctuel, et uniquement si le jeux en vaut la chandelle (en positif). Autant sir, tres peu de chance qu'Ogame les interesse.
En revanche, il existe des sites web qui font des articles sur les jeux pc et les jeux online. Un article bien salé peut faire chier GF. Mais vu la quantité de sites web de ce type, je me vois mal taper à la porte de 40 sites web pour leur demander de faire un article. Le temps de reponse, d'enquete, d'aller-retour email, etc...et ceci 40 fois, ca va nous prendre le bouchon serieusement.

De plus, je ne suis pas sur que cela fera reagir GF, car une tres grosse majorité des ogameurs sont une clientelle excessivement jeune (suffi de regarder le style d'ecriture et la mentalité sur le forum). Ce type d'article ne fera que mettre en garde les bons joueurs soucieux de la qualité du jeu....c'est à dire une minorité de joueurs. Le gros des troupes restera là, sans jamais lire une seule ligne de ces articles.

Conclusion : parcours du combattant qui ne fera que faire reagir qu'une certaine clientele d'ogame (la plus petite). Est ce que ca en vaut vraiment la peine ?

Je pense aussi que le piratage de masse est la meilleure solution pour les faire reagir,mais sinon..

Autant dire qu'on est mal barré pour que la GF se bouge

Bonjour skexces,

J'aurais peut-être une solution à ce problème de la page d'alliance, mais vu que tu es l'expert, j'aimerais que tu y jettes un oeuil :

Avec Firefox, se rendre dans le menu "Outils", "Options", onglet "Contenu", et à droite de "Charger les images", on clique sur "Exceptions", on écrit le site "http://ogame186.de/game/index.php?session=", on clique sur le bouton "Bloquer", et ainsi, toutes les images venant de ce site, c'est à dire toutes les images de toutes les pages de OGame.fr ne seront pas chargées, idem pour les pages d'alliances évidemment. Et vu que ce ne sera pas chargé, il en sera de même pour le script à l'intérieur de la page, et le compte ne pourra pas être hacké.

Qu'en dis-tu ?

Le seul inconvénient, ce que on ne sait plus voir les images des mines, mais ça ne sert à rien de les voir de toute façon lol...
Je préfère ne plus voir les images que de perdre mon compte.

Merci.

@Bonjouno

Pour Firefox : oui ton idée a du bon sens, mais cela signlfie jouer sans skin et sans voir les images d'alliances. D'ailleurs il y a de plus en plus d'alliance qui integre leur texte stylisé dans leurs images, avec de moins de texte pur. Le probleme, si tu fais cela, si une alliance a mis un texte important sous forme d'image, tu ne le verras pas...
Et la plus grosse boulette qui peut arriver avec ce genre d'image-texte, ce sont les pactes d'alliances. Ca serait con, d'attaquer car tu n'as pas vu le PNA dans le texte de l'image.

Je te le concois, ca doit etre rare, mais ca peut arriver

Pour IE : ca ne resout rien de tout, car la faille javascript est justement POUR IE. Et tant bien même que l'utilisateur interdise toutes les images d'ogame, ca ne resoudra en rien que le DYNSRC='script_hacl()' passera quand même. Les bloqueur d'images se font au niveau de la SRC, pas au niveau de DYNSRC.

skexces a écrit:@Bonjouno

Je parle à skexces !!

skexces a écrit:Pour Firefox : oui ton idée a du bon sens, mais cela signlfie jouer sans skin et sans voir les images d'alliances. D'ailleurs il y a de plus en plus d'alliance qui integre leur texte stylisé dans leurs images, avec de moins de texte pur. Le probleme, si tu fais cela, si une alliance a mis un texte important sous forme d'image, tu ne le verras pas...
Et la plus grosse boulette qui peut arriver avec ce genre d'image-texte, ce sont les pactes d'alliances. Ca serait con, d'attaquer car tu n'as pas vu le PNA dans le texte de l'image.

Les PNA sont très souvent tous classés dans la partie interne de notre forum, ce qui permet de ne pas à aller voir la page d'alliance.
Ps: Mon idée marche tous de même avec Firefox ?

skexces a écrit:POUR IE.

Donc, si j'ai Firefox, je ne cours aucuns dangers ?

skexces a écrit:
Et tant bien même que l'utilisateur interdise toutes les images d'ogame, ca ne resoudra en rien que le DYNSRC='script_hacl()' passera quand même. Les bloqueur d'images se font au niveau de la SRC, pas au niveau de DYNSRC.

Là tu me dépasses un peu. On ne peut pas élever la restriction des images jusqu'aux niveau de "DYNSRC" ?

Avec toutes ces manipulations de IFRAME et javascript, serait-il concevable de ne pas exécuter dans la page OGame les scripts qui permettent par exemple de calculer le temps de vol, etc.. , et d'en modifier le contenue de tel sorte à rendre le temps de vol = 1 seconde, un temps de construction réduit, un niveau de nanite en plus, ou d'autres applications de ce genre ?
Ce n'est qu'un exemple bien entendue. ( Je pense par exemple à l'exploitation de la faille avec la porte du saut spatiale et les boucliers ).