Profitez de l'offre Black Friday d'Hostinger : www.hostinger.fr/underscore Et avec le code promo "UNDERSCORE", vous avez 10 % de réduction sur les plans de 12 mois et plus !

Dommage qu’on ne voit pas la démonstration à la fin du hack en live !

Franchement super vidéo, vous avez géré ! le curseur de la technicité du discours est très bien positionné, elle reste intéressante sans être trop simple, bravo.

J'ai cru que mon chat pouvait pirater un streamer...

Super intéressant de voir toute l'enquête pour arriver à valider une faille comme ça, merci !

La réponse "Oui, mais ici, on est dans un environnement sécurisé, on s'en balance de rajouter des sécurités", c'est une réponse que j'ai souvent eu y compris de part des informaticien censé s'y connaitre. J'ai même vu mieux encore "Oui mais si quelqu'un faisait ça, il risquerait gros" (Ce qui n'est même pas vraiment vrai, disons que l'entreprise risque sans doute plus, surtout si c'est un pirate bien caché basé en Russie...) notamment quand je leur dis, je pense que je pourrais arriver à faire quelques chose.

Alors il y a quand même quelques failles dans cette explication. 1- OBS Websocket est une fonction inactive par défaut. Il faut que l'utilisateur l'active manuellement préalablement. 2- généralement on active le mot de passe qu'il faut échanger chiffré en sha256 durant le handshake 3- Les fonctions via OBS WS sont strictement limitées à des fonctions interne à OBS et aux plugins qui veulent en intégrer volontairement. Donc pas possible de sortir du soft même après intrusion. Par exemple la fonction de contrôle UPNP à toujours été refusée d'implémentation par sécurité en anticipation de ce attaques. Donc oui il y avait une faille XESS, mais depuis la création du plugin il y a de la prévention sur le sujet et des limitations. Et c'est encore plus le cas depuis que c'est devenu une feature officielle l'année dernière (OBS 28) Sans parler du fait que la plupart des logiciels qui exploitent OBS WS forcent l'utilisation du mot de passe.

Où est la fin de la vidéo ? On n'a pas le fin mot de l'histoire ? ???

ce moment ou tu te rend compte que tu aurai aussi pu avoir la même faille sur ton stream a une fonction prêt xD

En voyant le titre, je me doutais bien que Benjamin Code serait présent sur la vidéo ! J'avais déjà vu cette histoire quelque part

C'est un peu comme lorsque tu fais une base de données en SQL, si tu laisses l'utilisateur interagir avec, il faut faire attention à la façon dont on fait cette requête. Donc jamais (dans python and sqlite3) faire un format string sinon tu injectes du code comme tu veux.

« Il a pas dit bonjour du coup il s’est fait niquer sa mère »

La démo est sympa par contre il affiche un username, pas un message du chat… Ça m'étonnerait que twitch accepte des chevrons dans les pseudos

Comment pirater un streamer grâce à son chat ? Etape 1 : Habituer le chat de la victime a ne manger que de la viande de boeuf cuite venant du boucher à l'heure du stream. Etape 2 : Arreter de donner à manger au chat Etape 3 : Attendre que le chat foute le dawa pendant le live du streamer parce que c'etait l'heure de bouffer !!!

Merci, grâce à vous je viens de détecter une faille xss dans mon code sur une app d'overlay twitch pour obs... j'avais test les balises scripts mais pas le onload... je viens d'afficher une grosse paire de b.... dans mon obs juste en testant, le onload ne s'est pas exécuté mais bon... ça reste problématique

Je précise pour certains que le contrôle d'OBS via le websocket est uniquement possible que si le serveur serveur websocket est activé et sans mot de passe

Avec le onload tu peut charger un script "Remote JavaScript Console" et prendre le control a distance de la console javascript ciblé.

00:02 Prenez le contrôle du logiciel de streaming d'un streamer via un seul message dans le chat. 01:55 Affichage du nom du dernier abonné sur un panneau LED dans un décor 3D 03:49 La vidéo traite d'une faille XSS qui permet d'injecter du JavaScript dans le site Web de quelqu'un d'autre. 05:35 Le langage de balisage HTML permet l'intégration de balises de script capables d'exécuter du JavaScript. 07:20 Streamer peut être piraté en affichant du contenu inapproprié dans son flux. 09:10 La désactivation de la sécurité dans le chat permet de pirater le site Web d'un streamer. 10:54 La vidéo explique comment contourner les mesures de sécurité dans Chrome et accéder à la machine d'un streamer. 12:35 En ne disant pas bonjour à Obs, je me suis fait avoir et j'ai désormais la possibilité de communiquer avec Obs à partir d'un message de chat Twitch. 14:11 Utiliser des boutons pour envoyer des messages dans le chat et automatiser les changements de scène dans OBS. 15:50 Paramètres de streaming et vulnérabilités de sécurité du réseau local 17:37 L’élévation des privilèges dans un réseau local est un enjeu majeur en cybersécurité.

Lancer un live à sa place oh mon dieu haha, ca me rappelle le mmorpg new world où un mec avait trouvé qu'il pouvait faire du code via le chat du jeu...

Bonjour, petite question : Il est précisé au début dans le twitt du début de vidéo que le hacker doit s'abonner avec un username contenant une balise si j'ai bien compris pour exploiter la faille XSS. Mais dans le reste de la vidéo, je ne crois pas que cela soit utilisé, sinon, comment accompagner la balise d'une image .png ou .jpeg par exemple si l'on souhaite afficher une image sachant qu'un pseudo ne peut contenir que du texte ? Si ce n'est pas avec un abonnement et un pseudo comprenant des balises, comment le hacker de la vidéo a procédé pour que exploiter .innerHTML ? Et si ça l'est ,comment a-t-il inséré une image ? Merci pour votre réponse

Ha c'était juste un xss, je m'attendais a des dingueries 😂

au lieu du onload= avec une image valide, utilise onerror= avec un src=x ;)

mec y a un truc que je comprend pas, a quel moment tu peux mettre onload="func()" comme username sur twitch... ou bien il utilise le parametre message ?

Il n’empêche que le code initial c'était récupérer l'username, en sachant que sur twitch seul les alphanumériques ne peuvent être utilisé. Ça rend tout le POC caduc.

C'est beaucoup de blabla pour rien au final la faille n'a jamais existé, néanmoins c'est exactement le genre de scénario que je dois imaginer tous les jours sur mes programmes de bug bounty, et la faille XSS est présente dans au moins 80% des cibles, parfois trés dur à trouver avec une payload bien précise, mais parfois très facile à repéré, et les possibilités sont infime, le sujet n'est pas abordés, mais si la scène de benjamin été heberger sur un serveur on aurait trés bien pu fetch des fichiers ou des clés avec une simple requete FILE:///

Allez-y les devs, prenez tout ce que vous offre Google, ils sont tellement bienveillants.

ouuuuaaaaaais neolectron lets fuckinggg gooooo

Bravo Benjamin 👏

@micode l’histoire est ding mais la miniature est l’intitulé de la cest du génie ton génie banalise son génie alors le mec c’est vraiment un génie . La Prouesse technique est la mais l’histoire est mal raconté. Comme français d’ailleurs

Pourquoi ta pas assayer la faille revershelle en mettant un lien sur l'image suite a la faille XSS

Incroyable!

merci a mon professeur de m'avoir fait découvrir cette chaine youtube

Très interessant par contre le nombre de "du coup" dans l'audio est assez impressionnant 🤣 Je serait curieux de connaitre le nombre 😅

Comment "ne pas" pirater un streamer grâce à son chat. Belle démonstration, mais on parle d'un pseudo twitch, pas d'un message, donc aucun risque pour Benjamin. Dommage, il passe pour un amateur dans la vidéo alors que son bout de code, oui pas le plus sécurisé, n'est pas vulnérable dans ce contexte.

J'aimerai tellement que cette dernière phrase soit prise en compte par les acteurs de la tech française qui se cachent bien trop souvent avec un : "oui mais les conditions pour accéder à la machine sont trop complexes" tout ça pour laisser la porte grande ouverte avec des produits ULTRA obsolètes...

très intéressent👏

Pour une fois que le placement de produit n’est pas une arnaque qui consiste a dépouiller monsieur moyen (trade republic)

C'est la version geek-twitch de "J'te marrave à la récré! - Ah ouais?! Que d'la gueule!; L'autre sors un bâton de son sac carambar"

a tout les streamer qui on codé un panneau led ! Kappa

Le mécanisme de CORS bloque sans doute l'appel aux autres serveurs qui tournent sur localhost puisqu'ils sont sur d'autres ports non ?

Très intéressant 😄

Benjamin Code, le développeur frontend qui ne connaît pas la diff entre innerHtml et innerText 🥵

Haha bien joué ! 👏👏

J'ai du mal a comprendre, Benjamin a seulement fait un outil qui affiche le pseudo des gars du tchat, y'avait pas d'input, du comment il aurait pu faire tout ça ? S'il avait mis un truc pr envoyer un message j'aurais compris mais c'est pas ça là ... Ou alors j'ai mal compris ?

LOL le recyclage de la vidéo de Benjamin code ! Micode, tu perds ta fraîcheur. Et t’as pas les reins pour jouer les Steve Jobs. Hardisk était bourrin, mais il était sincère. La gentillesse de Benjamin rayonne et éclaire le monde. Faut que tu trouves ta voie, mon grand. C’est ça qu’on veut : de la sincérité, de la fraîcheur… la candeur des joies de Mathieu, avec les accents aigus de sa voix lorsqu’il est étonné. Tu deviens sérieux, professionnel… de mon temps, on disait « commercial » 😢 Sinon, on retourne regarder la télé 😂🎉

Bonjour, j'ignorais qu'il était possible de se faire pirater par son chat, je comprends mieux maintenant son regard absorbé lorsqu'il me regardait jouer à STRAY 😮

Ça se voit Benjamin il a le seum

Très intéressant

Bizarre qu'il l'a pas entendu venir.

C’est génial 😂

Incroyable !!! Vraiment très intéressant !

Ce qui arrive quand on n'applique pas le NTUI : Never Trust User Input ;-)

C'est très spécifique, on peut pas faire ça à tout les streameurs

Je suis le douanier du code, j’ai une exigence inouïe…. Redescend un peu frère 😂

Que je comprenne bien, cela veut dire que Benjamin aurait un firewall qui autorise l'entrée d'un utilisateur dans son réseau local sans qu'il en soit averti ?

Je m'attendais à ce que le hackeur ait utilisé un mini robot accroché à un vrai chat pour hacker le streamer ... Déception ... (joke)

à 1:13 tu fouilles dans ton nez ? (mon meilleur commentaire depuis des années) Sinon le contenu de ta chaine est très souvent super sympa !

On en parle du fait que Benjamin s'est fait hacker par Pedro Pascal ?

c’est Manu de la chaîne manus_js ?

Grace à son chat? Il faut être fort pour dresser un chat ! Un chien encore, je veux bien, mais un chat ! C'est chaud.

Apparemment Underscore_ est passé d'une chaîne de vulgarisation à une page de geeks invétérés pour les geeks de la mort. Perso, je comprends plus rien depuis plusieurs vidéos et à vrai dire, je me fous un peu des sujets désormais.

"Bien intentionné" alors qu'il lui a demandé une bonne rançon

Les gars j’ai découvert une grosse faille d’une enorme entreprise il y a un site pour se faire rémunérer ? Ou je dois les appeler ?

ya un problème dans les explications non ? Il sort une XSS, qui est une faille localisé navigateur et la en l'occurence il s'en sert pour une communication Websocket, ce qui reste coté navigateur en utilisant les commandes qu'OBS permet d'utiliser, et d'un coup ça part sur des explications comme quoi il aurait pu avoir accès à tous les services non sécurisés du réseau local, faut m'expliquer comment avec une XSS classique il peut avoir un accès à la machine ou aux services du réseau, à aucun moment il parle d'une RCE, on est sur une XSS, donc soit j'ai pas tout suivi soit c'est bullshit. Et pour l'élévation de privilège c'est justement le principe de tomber sur des accès restreints et de trouver des méthodes pour élever ces privilèges... Le mec il dit "si t'as un mdp, un token etc.. tu peux pas faire l'élévation de privilège alors que c'est justement pour ça que l'élévation de privilège existe, pour contourner les restrictions en place. N'importe quoi est raconté dans cette vidéo non ? Ou alors je suis mal réveillé

4:33 : wtf j'ai lu certains de ces tweets sans savoir qu'il était un membre d'Underscore_ :o

Y'a quand même des gros problèmes dans cette """faille""". Bon déjà faut désactiver la sécurité OBS, c'est du niveau "il se passe quoi si on essaie de véroler un PC après avoir désactivé son antivirus" mais passons. Il faut avoir retiré le MDP sur le serveur WS... Ouai bon là c'est même plus chercher la merde on est au delà la. Non on ne peux pas escape OBS avec ça, c'est strictement limité aux fonctions internes du logiciel. Non c'est pas applicable, un pseudo (peu importe le site pour le coup) ne peux pas contenir les charactères spéciaux requis pour effectuer cette attaque... . Et c'est sans parler du fait (et c'est une BASE) que vous ne connaissez pas la différence entre innerHTML et innerText, """l'attaque""" ne fonctionne que si le pseudo est affiché via innerHTML, hors PERSONNE ne mets d'input user dans innerHTML C'est dommage, ça aurait pu être sympa

Il l'a cherché aussi... Est-ce qu'il y a beaucoup de gens qui vont inclure du texte dans leur stream de la même manière que lui ? Je doute.

taurais pu meme essayer douvrir un cmd et passer en administrator et cacher ce reverse shell dans un autre process.

Passionnant

Oh oui ce mec!!!

Passionnant ^^

J'ai rien compris. Moi qui d'habitude comprend un peu en ne sachant rien du HTML, là vraiment j'ai rien pigé

Bonne vidéo comme toujours :) ! Tu nous régale. Le poto est trop fort, mais après il a pas dit bonjour.Il a pas dit bonjour Sur ce, je vous réfère à la chanson de Vlad - Bonjour

Une faille XSS c'est vraiment la base, c'est la honte pour un dev web de se faire encore avoir en 2023

Et du coup le résultat sur le live ??

Chat m'étonne même pas d'eux Me surprendront toujours ces félins ! 🐈

Si on a pas de chat, ca marche avec un chien ?

Mélangé avec l'IA, tu remplace le vrai Streamer sans que personne s'en rende compte et y faire dire n'importe quoi lol. C'est un peu dangereux.

Y’a eu la même faille sur minecraft

Hardisk à disparu ? Qu'est ce qu'il se passe ?

Que ce soit injecter du html ou du js, ça s'appelle toujours une XSS

"Comment pirater un streamer grâce à son chat" Ca marche aussi avec les chiens ?

tant qu'il a pas la possibilité de transformer le lien de DON en SON propre lien de don c'est pas intéressant

😼 Mon chat n'a pas compris

Je suis désolé, il fait son show mais c'est mal expliqué et on s'y perd. La vidéo n'est pas satisfaisante.

mais donc vu qu'il affiche seulement les noms, c'était inexploitable non..

benjamin est l exemple typique du dev front. Inquiet de rien et même quant on lui dis qu'il a un problème il fais comme si il n'existais pas

Comment ça mon reuf

Globalement les auto boot et les on load c’est l’enfer de la sécurité…

une chance que le haker a prévenu benjamin parceque dautre ne l,aurais pas fais et faire baucoup de dégats tant vie privé que monétaire (Ex vider les comptes banquaire)

Tous les logiciels de streaming ont une faille de sécurité..

Du coup on a besoin que son chat coopère en échange de croquette.

En français ça donne quoi ?😢😢

Tu fais quoi avec ton micro ? Tu le mange ? Faut vraiment que tu règle le son c’est très désagréable

moi je croyais qu'on ^pouvait le hack avec son chat son chaton son kitty son miaou quoi LOL

Stop avec les "du coup", par pitié. Manu était à fond pour battre les 2 autres au jeu de celui qui en sort le plus. 1 "du coup" entre chaque phrase. Purée. Il n'y a pas besoin de "du coup" pour faire des listes.

Tout support est piratable, avec plus ou moins de temps a disposition et des sécurité en place. Le cloudba bien été piraté plusieurs fois. Et d'autres industries plus ou moins bien sécurisé. Il y a aussi des portes d'accès dans beaucoup d'appareils connecté maintenant, ou il y a que tres peut de sécurité 😂.

Les "que y'avait" me font saigner les oreilles

sujet vu en live dans le stream et super sympa avec les goat benjamin x Manu. Par contre le minia maker se fout de la gueule un peu du monde en utilisant Pokimane avec ce titre... vous aviez pas moins cringe à proposer ?!

Et si le streameur a un chien?