Aller au contenu

« Wenvjgol » : différence entre les versions

De JVFlux
← Modification précédente
VisuelWikicode
Lightman (discussion | contributions)
332 modifications
Edwado (discussion | contributions)
Kheys
50 modifications
faille wenvjgol
 
(23 versions intermédiaires par 11 utilisateurs non affichées)
Ligne 1 : Ligne 1 :
Le cookie '''wenvjgol''' (''logjvnew'' à l'envers) est un [[Cookies de JVC|cookie]] sur JVC qui permet d'enregistrer les informations de connexion d'un membre afin qu'il puisse se connecter sur chaque page de [[jeuxvideo.com]].
Le cookie '''wenvjgol''' (''logjvnew'' à l'envers) était  un [[Cookies de JVC|cookie de Jeuxvideo.com]] qui permettait d'enregistrer les informations de connexion d'un membre afin qu'il puisse se connecter sur chaque page de [[jeuxvideo.com]].


== Structure ==
== Structure ==
Ligne 27 : Ligne 27 :
* ''login'' est invariable.
* ''login'' est invariable.
* ''MasTerShadow'' est le pseudo.
* ''MasTerShadow'' est le pseudo.
* ''815775125'' est un identifiant unique lié au pseudo.
* ''815775125'' est un identifiant unique de 9 chiffres lié au pseudo.


À l'origine de problèmes de sécurité, il fût plus tard renommé en ''mocoedivxuejgol'' (la même chose à l'envers), le nombre à la fin étant alors remplacé par un hash, qui ne dépendait plus seulement du pseudo mais aussi du mot de passe. Le ''wenvjgol'' actuel lui succéda par la suite.
À l'origine de problèmes de sécurité, il fût le [http://www.jeuxvideo.com/forums/1-13-8477141-1-0-1-0-0.htm 14 mars 2006] renommé en ''mocoedivxuejgol'' (la même chose à l'envers), le nombre à la fin étant alors remplacé par un hash, qui ne dépendait plus seulement du pseudo mais aussi du mot de passe. Le ''wenvjgol'' actuel lui succéda en 2010.
 
== Faille technique ==
 
Il était possible d'accéder au compte de quiconque sur certains endpoints, via la création de cookies à la main.
Nécessairement, il fallait créer un cookie de ce type :
 
764616$058FluxBB$124
 
On peut constater qu'au début, il y a l'ID du compte, ensuite, son pseudo, puis par la suite, un nombre qui était hardcodé dans les sources de l'ancien Jeuxvideo.com.
Grâce à la génération de ce type de cookies, il était possible de :
 
* modifier l'avatar de quiconque (une validation par un admin restait nécessaire)
* modérer un forum de façon plus ou moins anonyme (entre autre sur ForumJV où les boutons de suppression, gestion d'épingles/kicks étaient présents)
* création de tokens anti-CSRF valides pour le compte concerné
 
Cette faille sera patchée sur ForumJV suite à une exploitation par [[edwado]], mais la faille ne sera pas patchée sur Jeuxvideo.com pour des raisons inconnues.


== Sources historiques ==
== Sources historiques ==
Ligne 37 : Ligne 53 :
* http://www.jeuxvideo.com/forums/1-50-5094709-2-0-1-0-0.htm#message_5095186
* http://www.jeuxvideo.com/forums/1-50-5094709-2-0-1-0-0.htm#message_5095186


[[Catégorie:Expression]]
{{SectionRéférences}}
{{TableauCatégorieFonctionnementJVC}}
 
[[Catégorie:Fonctionnement technique de Jeuxvideo.com]]

Dernière version du 4 mars 2026 à 17:22

Le cookie wenvjgol (logjvnew à l'envers) était un cookie de Jeuxvideo.com qui permettait d'enregistrer les informations de connexion d'un membre afin qu'il puisse se connecter sur chaque page de jeuxvideo.com.

Structure[modifier | modifier le wikicode]

Ils est sous la forme : 

764616$058FluxBB$124f2ff78b712e2c53fd7b17c2cbfbf4552

Ce qui donne, après décodage : 

764616:FluxBB|f2ff78b712e2c53fd7b17c2cbfbf4552

Où :

  • 764616 est l'identifiant de l'utilisateur dans la base de données.
  • FluxBB est le pseudo.
  • f2ff78b712e2c53fd7b17c2cbfbf4552 est un hash généré à partir de l'identifiant et du mot de passe.

Historique[modifier | modifier le wikicode]

Le cookie s'appelait à l'origine logjeuxvideocom, il ressemblait à ceci : 

login:MasTerShadow|815775125|

Où :

  • login est invariable.
  • MasTerShadow est le pseudo.
  • 815775125 est un identifiant unique de 9 chiffres lié au pseudo.

À l'origine de problèmes de sécurité, il fût le 14 mars 2006 renommé en mocoedivxuejgol (la même chose à l'envers), le nombre à la fin étant alors remplacé par un hash, qui ne dépendait plus seulement du pseudo mais aussi du mot de passe. Le wenvjgol actuel lui succéda en 2010.

Faille technique[modifier | modifier le wikicode]

Il était possible d'accéder au compte de quiconque sur certains endpoints, via la création de cookies à la main. Nécessairement, il fallait créer un cookie de ce type : 

764616$058FluxBB$124

On peut constater qu'au début, il y a l'ID du compte, ensuite, son pseudo, puis par la suite, un nombre qui était hardcodé dans les sources de l'ancien Jeuxvideo.com. Grâce à la génération de ce type de cookies, il était possible de :

  • modifier l'avatar de quiconque (une validation par un admin restait nécessaire)
  • modérer un forum de façon plus ou moins anonyme (entre autre sur ForumJV où les boutons de suppression, gestion d'épingles/kicks étaient présents)
  • création de tokens anti-CSRF valides pour le compte concerné

Cette faille sera patchée sur ForumJV suite à une exploitation par edwado, mais la faille ne sera pas patchée sur Jeuxvideo.com pour des raisons inconnues.

Sources historiques[modifier | modifier le wikicode]

Références[modifier le wikicode]

Récupérée de "https://jvflux.fr/index.php?title=Wenvjgol&oldid=172796"