Code dans image gif [Résolu]

laurentg2003 · 21/04/2011, 12h28

Bonjour,
Ma question est surement au mauvais endroit mais je trouve pas le topic adéquat
quand j'ouvre une image gif ou jpg avec notePade
je vois des signes ,du code ce qui est logique

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Ñ£H“*]Ê´©Ó§P£JJµªÕ«X³jÝÊµ«×

c'est quoi exactement ?

Merci

SpaceFrog · 21/04/2011, 12h33

le code binaire de l'image ...

laurentg2003 · 21/04/2011, 12h39

Merci
Je m'en doutais mais pourquoi ce n'est pas sous la forme 00000011
c'est interprété c'est ça?
il y a moyen de reconvertir en binaire?
c'est lisible avec un code java pour accéder au donnée binaire?

SpaceFrog · 21/04/2011, 12h42

dis nous plutot le but final ...

laurentg2003 · 21/04/2011, 14h10

Je fais une application facebook avec iframe dans la page index de facebook
et j'utilise moi même des iframes d'ou un probleme de same origin policy
donc j'utilise document.domain ="xxx.com" le soucis ça rend mon application ultra vulnérable donc je voudrais utiliser une csrf
et au lieu de passer par des iframes charger un gif qui contient mon script
je sais que c'est possible c'est utilisé pour acceder auw web service
sous la form oImage= new image(); oImage.src="xxxxx.js"
mais c'est vraiment afficher la src dans le code alors que placer du js dans des commentaires gif dans un fichier gif masque tout
Donc mon but c'est de faire cela
voilà merci

Bovino · 21/04/2011, 14h24

Mais quel est l'intérêt de passer par une fausse image plutôt que par une balise script

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
var oScript = document.createElement('script');
oScript.type = 'text/javascript';
oScript.src = 'ici pas de restriction SOP';
document.getElementsByTagName('head').appendChild(oScript);

SpaceFrog · 21/04/2011, 14h25

...
moi je dis ça pue et ça n'a rien à faire ici ...

laurentg2003 · 21/04/2011, 15h31

@bovino oui tu as raison c'est le plus simple et en l'encapsulant dans une methode je peux l'appeler quand je veux
@SpaceFrog c'est des methodes de hackers j'avoue
mais pourquoi ne pas les utiliser dans un but honnête
avec ce genre de réaction la sécurité des apllications web est la grande absente de ce style de forum
j'ai etudié les injections xss et bien m'en a pris mon appli sur facebook donc dans un domaine proche du domaine racine en contenait 2
et les amis qui vont ajouter mon appli se serait simplemengt fait hacker leur token...
A ne pas vouloir en parler
Il y a des failles énormes partout avec les imputs ajax et les frameworks
On ne peut pas développer en mettant en peril les données ,le navigateur voir le pc des visiteurs....

mekal · 21/04/2011, 15h32

c'est quoi un csrf

SpaceFrog · 21/04/2011, 15h34

Les utiliser ... ça te regarde, mais les divulguer sur developpez

La methode de Beef est certainement plus honnête

Bovino · 21/04/2011, 15h43

De toute façon, à utiliser une fausse image gif avec du code JavaScript dedans, tu vas vite te retrouver blacklisté par Google et les navigateurs...

@mekal : Cross Site Request Forgery

laurentg2003 · 21/04/2011, 16h10

le truc c'est qu'un hacker s'en moque d'être blacklisté dans un sens ça l'arrange...
space frog tu as raison après chaque méthode est honnête si c'est utiliser avec des buts honnêtes
ce que je veux dire aussi c'eszt que pour développer des applis web sécurisé on est obligé d'apprendre tout ça ça me semble logique
je m'interresse juste à la sécurité
mais tu as raison pas ici
sinon avec script c'est trés bien merci

mekal · 21/04/2011, 16h12

effectivement ca parait tordue

21/04/2011, 12h28	#1
laurentg2003 Membre habitué Inscription : janvier 2007 Messages : 225 Détails du profil Informations personnelles : Localisation : France, Gironde (Aquitaine) Informations forums : Inscription : janvier 2007 Messages : 225 Points : 115 Points : 115	Code dans image gif Bonjour, Ma question est surement au mauvais endroit mais je trouve pas le topic adéquat quand j'ouvre une image gif ou jpg avec notePade je vois des signes ,du code ce qui est logique Code : Sélectionner tout - Visualiser dans une fenêtre à part Ñ£H“*]Ê´©Ó§P£JJµªÕ«X³jÝÊµ«× c'est quoi exactement ? Merci __________________ "Il n'existe que deux choses infinies, l'univers et la bêtise humaine... mais pour l'univers, je n'ai pas de certitude absolue." (Albert Einstein / 1879-1955)
	00

21/04/2011, 12h33	#2
SpaceFrog Rédacteur/Modérateur Développeur Web Php Mysql Html Javascript CSS Apache - Intégrateur - Analyste Programmeur Inscription : mars 2002 Messages : 30 009 Détails du profil Informations personnelles : Sexe : Localisation : Royaume-Uni Informations professionnelles : Activité : Développeur Web Php Mysql Html Javascript CSS Apache - Intégrateur - Analyste Programmeur Secteur : Industrie Informations forums : Inscription : mars 2002 Messages : 30 009 Points : 45 094 Points : 45 094	le code binaire de l'image ... __________________ Ma page Developpez Président du CCMPTP (Comité Contre le Mot "Problème" dans les Titres de Posts) Deux règles du succès: 1) Ne communiquez jamais à quelqu'un tout votre savoir... Votre post est résolu ? Alors n'oubliez pas le Tag réalisations :www.planet-languages.com\|www.saftair.com\| www.ouestisol.fr \| www.sebemex.fr \| www.extramiante.fr \| www.sistac-alizay.fr \| www.acoustishop.fr \| www.litt.fr \| www.ouestventil.fr
	00

21/04/2011, 12h39	#3
laurentg2003 Membre habitué Inscription : janvier 2007 Messages : 225 Détails du profil Informations personnelles : Localisation : France, Gironde (Aquitaine) Informations forums : Inscription : janvier 2007 Messages : 225 Points : 115 Points : 115	Merci Je m'en doutais mais pourquoi ce n'est pas sous la forme 00000011 c'est interprété c'est ça? il y a moyen de reconvertir en binaire? c'est lisible avec un code java pour accéder au donnée binaire? __________________ "Il n'existe que deux choses infinies, l'univers et la bêtise humaine... mais pour l'univers, je n'ai pas de certitude absolue." (Albert Einstein / 1879-1955)
	00

21/04/2011, 12h42	#4
SpaceFrog Rédacteur/Modérateur Développeur Web Php Mysql Html Javascript CSS Apache - Intégrateur - Analyste Programmeur Inscription : mars 2002 Messages : 30 009 Détails du profil Informations personnelles : Sexe : Localisation : Royaume-Uni Informations professionnelles : Activité : Développeur Web Php Mysql Html Javascript CSS Apache - Intégrateur - Analyste Programmeur Secteur : Industrie Informations forums : Inscription : mars 2002 Messages : 30 009 Points : 45 094 Points : 45 094	dis nous plutot le but final ... __________________ Ma page Developpez Président du CCMPTP (Comité Contre le Mot "Problème" dans les Titres de Posts) Deux règles du succès: 1) Ne communiquez jamais à quelqu'un tout votre savoir... Votre post est résolu ? Alors n'oubliez pas le Tag réalisations :www.planet-languages.com\|www.saftair.com\| www.ouestisol.fr \| www.sebemex.fr \| www.extramiante.fr \| www.sistac-alizay.fr \| www.acoustishop.fr \| www.litt.fr \| www.ouestventil.fr
	00

21/04/2011, 14h10	#5
laurentg2003 Membre habitué Inscription : janvier 2007 Messages : 225 Détails du profil Informations personnelles : Localisation : France, Gironde (Aquitaine) Informations forums : Inscription : janvier 2007 Messages : 225 Points : 115 Points : 115	Je fais une application facebook avec iframe dans la page index de facebook et j'utilise moi même des iframes d'ou un probleme de same origin policy donc j'utilise document.domain ="xxx.com" le soucis ça rend mon application ultra vulnérable donc je voudrais utiliser une csrf et au lieu de passer par des iframes charger un gif qui contient mon script je sais que c'est possible c'est utilisé pour acceder auw web service sous la form oImage= new image(); oImage.src="xxxxx.js" mais c'est vraiment afficher la src dans le code alors que placer du js dans des commentaires gif dans un fichier gif masque tout Donc mon but c'est de faire cela voilà merci __________________ "Il n'existe que deux choses infinies, l'univers et la bêtise humaine... mais pour l'univers, je n'ai pas de certitude absolue." (Albert Einstein / 1879-1955)
	00

21/04/2011, 14h25	#7
SpaceFrog Rédacteur/Modérateur Développeur Web Php Mysql Html Javascript CSS Apache - Intégrateur - Analyste Programmeur Inscription : mars 2002 Messages : 30 009 Détails du profil Informations personnelles : Sexe : Localisation : Royaume-Uni Informations professionnelles : Activité : Développeur Web Php Mysql Html Javascript CSS Apache - Intégrateur - Analyste Programmeur Secteur : Industrie Informations forums : Inscription : mars 2002 Messages : 30 009 Points : 45 094 Points : 45 094	... moi je dis ça pue et ça n'a rien à faire ici ... __________________ Ma page Developpez Président du CCMPTP (Comité Contre le Mot "Problème" dans les Titres de Posts) Deux règles du succès: 1) Ne communiquez jamais à quelqu'un tout votre savoir... Votre post est résolu ? Alors n'oubliez pas le Tag réalisations :www.planet-languages.com\|www.saftair.com\| www.ouestisol.fr \| www.sebemex.fr \| www.extramiante.fr \| www.sistac-alizay.fr \| www.acoustishop.fr \| www.litt.fr \| www.ouestventil.fr
	00

21/04/2011, 15h31	#8
laurentg2003 Membre habitué Inscription : janvier 2007 Messages : 225 Détails du profil Informations personnelles : Localisation : France, Gironde (Aquitaine) Informations forums : Inscription : janvier 2007 Messages : 225 Points : 115 Points : 115	@bovino oui tu as raison c'est le plus simple et en l'encapsulant dans une methode je peux l'appeler quand je veux @SpaceFrog c'est des methodes de hackers j'avoue mais pourquoi ne pas les utiliser dans un but honnête avec ce genre de réaction la sécurité des apllications web est la grande absente de ce style de forum j'ai etudié les injections xss et bien m'en a pris mon appli sur facebook donc dans un domaine proche du domaine racine en contenait 2 et les amis qui vont ajouter mon appli se serait simplemengt fait hacker leur token... A ne pas vouloir en parler Il y a des failles énormes partout avec les imputs ajax et les frameworks On ne peut pas développer en mettant en peril les données ,le navigateur voir le pc des visiteurs.... __________________ "Il n'existe que deux choses infinies, l'univers et la bêtise humaine... mais pour l'univers, je n'ai pas de certitude absolue." (Albert Einstein / 1879-1955)
	00

21/04/2011, 15h32	#9
mekal Membre chevronné Krusty Inscription : mai 2009 Messages : 472 Détails du profil Informations personnelles : Nom : Krusty Localisation : France Informations forums : Inscription : mai 2009 Messages : 472 Points : 617 Points : 617	c'est quoi un csrf __________________ programmer n'est pas connaitre tous les moindres détails d'un langage mais savoir exploiter sous toutes ses facettes ce que l'on connait.
	00

21/04/2011, 15h34	#10
SpaceFrog Rédacteur/Modérateur Développeur Web Php Mysql Html Javascript CSS Apache - Intégrateur - Analyste Programmeur Inscription : mars 2002 Messages : 30 009 Détails du profil Informations personnelles : Sexe : Localisation : Royaume-Uni Informations professionnelles : Activité : Développeur Web Php Mysql Html Javascript CSS Apache - Intégrateur - Analyste Programmeur Secteur : Industrie Informations forums : Inscription : mars 2002 Messages : 30 009 Points : 45 094 Points : 45 094	Les utiliser ... ça te regarde, mais les divulguer sur developpez La methode de Beef est certainement plus honnête __________________ Ma page Developpez Président du CCMPTP (Comité Contre le Mot "Problème" dans les Titres de Posts) Deux règles du succès: 1) Ne communiquez jamais à quelqu'un tout votre savoir... Votre post est résolu ? Alors n'oubliez pas le Tag réalisations :www.planet-languages.com\|www.saftair.com\| www.ouestisol.fr \| www.sebemex.fr \| www.extramiante.fr \| www.sistac-alizay.fr \| www.acoustishop.fr \| www.litt.fr \| www.ouestventil.fr
	00

21/04/2011, 15h43	#11
Bovino Responsable Développement Web Didier Mouronval Développeur Web Inscription : juin 2008 Messages : 13 806 Détails du profil Informations personnelles : Nom : Didier Mouronval Âge : 41 Localisation : France, Gironde (Aquitaine) Informations professionnelles : Activité : Développeur Web Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : juin 2008 Messages : 13 806 Points : 35 803 Points : 35 803	De toute façon, à utiliser une fausse image gif avec du code JavaScript dedans, tu vas vite te retrouver blacklisté par Google et les navigateurs... @mekal : Cross Site Request Forgery __________________ Pas de question technique par MP ! Tout le monde peut participer à developpez.com, vous avez une idée, contactez-moi ! Vous possédez un blog et aimeriez diffuser vos billets sur le forum, contactez-moi ! Mes formations video2brain : La formation complète sur JavaScript • JavaScript et le DOM par la pratique • PHP 5 et MySQL : les fondamentaux Mon livre sur jQuery
	00

21/04/2011, 16h10	#12
laurentg2003 Membre habitué Inscription : janvier 2007 Messages : 225 Détails du profil Informations personnelles : Localisation : France, Gironde (Aquitaine) Informations forums : Inscription : janvier 2007 Messages : 225 Points : 115 Points : 115	le truc c'est qu'un hacker s'en moque d'être blacklisté dans un sens ça l'arrange... space frog tu as raison après chaque méthode est honnête si c'est utiliser avec des buts honnêtes ce que je veux dire aussi c'eszt que pour développer des applis web sécurisé on est obligé d'apprendre tout ça ça me semble logique je m'interresse juste à la sécurité mais tu as raison pas ici sinon avec script c'est trés bien merci __________________ "Il n'existe que deux choses infinies, l'univers et la bêtise humaine... mais pour l'univers, je n'ai pas de certitude absolue." (Albert Einstein / 1879-1955)
	00

21/04/2011, 16h12	#13
mekal Membre chevronné Krusty Inscription : mai 2009 Messages : 472 Détails du profil Informations personnelles : Nom : Krusty Localisation : France Informations forums : Inscription : mai 2009 Messages : 472 Points : 617 Points : 617	effectivement ca parait tordue __________________ programmer n'est pas connaitre tous les moindres détails d'un langage mais savoir exploiter sous toutes ses facettes ce que l'on connait.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email