Messages de Teuchasec

Le 22 mai 2022 à 21:42:00 :

Le 22 mai 2022 à 21:41:09 :
J'attends toujours l'autre qui dit que c'est simple de trouver la faille évidente https://fotoforensics.com/

Un khey l'avait déjà trouvé quand on parlé de cybersec je m'en souviens

Donne la réponse si jamais il trouve pas stp je suis curieux

non

C'est une faille évidente, c'est comme si tu demandais à un matheux le théorème de pythagore

J'attends toujours l'autre qui dit que c'est simple de trouver la faille évidente https://fotoforensics.com/

Un khey l'avait déjà trouvé quand on parlé de cybersec je m'en souviens

Le 22 mai 2022 à 21:32:08 :

Le 22 mai 2022 à 21:29:19 :

Le 22 mai 2022 à 21:26:44 :

Le 22 mai 2022 à 21:24:17 :

Le 22 mai 2022 à 21:17:02 :

Le 22 mai 2022 à 21:06:36 :

Le 22 mai 2022 à 21:04:16 :

Le 22 mai 2022 à 21:01:04 :

Le 22 mai 2022 à 20:58:25 :

Le 22 mai 2022 à 20:54:00 :
C'est dur de trouver des 0 day hein même pour des mecs qui sont dans le milieu, il faut être un petit génie et avoir mass de connaissance, c'est pas donné à n'importe qui.

N'importe quoi, trouver des 0 days c'est juste une question de temps, les 3/4 des logiciels qu'on utilise sont complètement troué ...

ça dépend de quoi il parle, y'a trouver des vuln sur chrome et trouver des vuln dans des softs de merde

Ba regarde log4shell, n'importe quel étudiant en info aurait pu trouver cette vuln, pourtant c'est probablement la vulnérabilité de la décennie ....

Non mais khey... C'est facile de dire "ah ouais mais c'est évident je l'aurais trouvé" sauf que personne ne l'a trouvé ( ou alors elle était exploité par des mecs qui l'ont jamais signalé enfin tu m'as compris)

En vrai y en a tout les jours des exemples comme ça tu suis CVE mitre à chaque minutes t'as des vuln de merde qui ont des conséquences désastreuses ... La semaine dernière chez un client grand compte tu pouvais faire du path traversal et une élévation de privilège locale à l'application et pourtant c'est une entreprise qui investit des millions en cybersécu ... Le problème de la sécu c'est que 1) les devs sont pas formés, 2) Ils ont une pression de malade en terme de livraison et les merge request ne sont pas toujours vérifié comme il faut.

les soft sont pas mis à jour parce que tout se casse la gueule sinon. Après y'a CVE et CVE de là à dire que c'est facile de trouver des RCE, fais du bug bounty tu vas devenir millionnaire

Faire du bug bounty c'est pas que trouver des RCE loin de là, le mec qui gagne le plus d'argent en bug bounty ne fait que des xss, sqli, ...

non mais je parle de toi qui dit que c'est facile de trouver des vuln

Ba une xss c'est une vuln une sqli aussi

je parle de critique quoi

Le 22 mai 2022 à 21:26:44 :

Le 22 mai 2022 à 21:24:17 :

Le 22 mai 2022 à 21:17:02 :

Le 22 mai 2022 à 21:06:36 :

Le 22 mai 2022 à 21:04:16 :

Le 22 mai 2022 à 21:01:04 :

Le 22 mai 2022 à 20:58:25 :

Le 22 mai 2022 à 20:54:00 :
C'est dur de trouver des 0 day hein même pour des mecs qui sont dans le milieu, il faut être un petit génie et avoir mass de connaissance, c'est pas donné à n'importe qui.

N'importe quoi, trouver des 0 days c'est juste une question de temps, les 3/4 des logiciels qu'on utilise sont complètement troué ...

ça dépend de quoi il parle, y'a trouver des vuln sur chrome et trouver des vuln dans des softs de merde

Ba regarde log4shell, n'importe quel étudiant en info aurait pu trouver cette vuln, pourtant c'est probablement la vulnérabilité de la décennie ....

Non mais khey... C'est facile de dire "ah ouais mais c'est évident je l'aurais trouvé" sauf que personne ne l'a trouvé ( ou alors elle était exploité par des mecs qui l'ont jamais signalé enfin tu m'as compris)

En vrai y en a tout les jours des exemples comme ça tu suis CVE mitre à chaque minutes t'as des vuln de merde qui ont des conséquences désastreuses ... La semaine dernière chez un client grand compte tu pouvais faire du path traversal et une élévation de privilège locale à l'application et pourtant c'est une entreprise qui investit des millions en cybersécu ... Le problème de la sécu c'est que 1) les devs sont pas formés, 2) Ils ont une pression de malade en terme de livraison et les merge request ne sont pas toujours vérifié comme il faut.

les soft sont pas mis à jour parce que tout se casse la gueule sinon. Après y'a CVE et CVE de là à dire que c'est facile de trouver des RCE, fais du bug bounty tu vas devenir millionnaire

Faire du bug bounty c'est pas que trouver des RCE loin de là, le mec qui gagne le plus d'argent en bug bounty ne fait que des xss, sqli, ...

non mais je parle de toi qui dit que c'est facile de trouver des vuln

Le 22 mai 2022 à 21:22:39 :
ok magalie

Le 22 mai 2022 à 21:17:02 :

Le 22 mai 2022 à 21:06:36 :

Le 22 mai 2022 à 21:04:16 :

Le 22 mai 2022 à 21:01:04 :

Le 22 mai 2022 à 20:58:25 :

Le 22 mai 2022 à 20:54:00 :
C'est dur de trouver des 0 day hein même pour des mecs qui sont dans le milieu, il faut être un petit génie et avoir mass de connaissance, c'est pas donné à n'importe qui.

N'importe quoi, trouver des 0 days c'est juste une question de temps, les 3/4 des logiciels qu'on utilise sont complètement troué ...

ça dépend de quoi il parle, y'a trouver des vuln sur chrome et trouver des vuln dans des softs de merde

Ba regarde log4shell, n'importe quel étudiant en info aurait pu trouver cette vuln, pourtant c'est probablement la vulnérabilité de la décennie ....

Non mais khey... C'est facile de dire "ah ouais mais c'est évident je l'aurais trouvé" sauf que personne ne l'a trouvé ( ou alors elle était exploité par des mecs qui l'ont jamais signalé enfin tu m'as compris)

En vrai y en a tout les jours des exemples comme ça tu suis CVE mitre à chaque minutes t'as des vuln de merde qui ont des conséquences désastreuses ... La semaine dernière chez un client grand compte tu pouvais faire du path traversal et une élévation de privilège locale à l'application et pourtant c'est une entreprise qui investit des millions en cybersécu ... Le problème de la sécu c'est que 1) les devs sont pas formés, 2) Ils ont une pression de malade en terme de livraison et les merge request ne sont pas toujours vérifié comme il faut.

les soft sont pas mis à jour parce que tout se casse la gueule sinon. Après y'a CVE et CVE de là à dire que c'est facile de trouver des RCE, fais du bug bounty tu vas devenir millionnaire

Le 22 mai 2022 à 21:18:47 :

Le 22 mai 2022 à 21:12:02 :

Le 22 mai 2022 à 21:08:44 :

Le 22 mai 2022 à 21:06:36 :

Le 22 mai 2022 à 21:04:16 :

Le 22 mai 2022 à 21:01:04 :

Le 22 mai 2022 à 20:58:25 :

Le 22 mai 2022 à 20:54:00 :
C'est dur de trouver des 0 day hein même pour des mecs qui sont dans le milieu, il faut être un petit génie et avoir mass de connaissance, c'est pas donné à n'importe qui.

N'importe quoi, trouver des 0 days c'est juste une question de temps, les 3/4 des logiciels qu'on utilise sont complètement troué ...

ça dépend de quoi il parle, y'a trouver des vuln sur chrome et trouver des vuln dans des softs de merde

Ba regarde log4shell, n'importe quel étudiant en info aurait pu trouver cette vuln, pourtant c'est probablement la vulnérabilité de la décennie ....

Non mais khey... C'est facile de dire "ah ouais mais c'est évident je l'aurais trouvé" sauf que personne ne l'a trouvé ( ou alors elle était exploité par des mecs qui l'ont jamais signalé enfin tu m'as compris)

Résumé de cette histoire ?

Faille dans un morceau de logiciel imbriqué dans pleins de gros logiciel qui permet de lancer des commandes à distance en gros

Donc avec cette faille si je comprends bien tu pouvais utiliser le logiciel vulnérable pour opérer sur les autres logiciels rattachés au logiciel vulnérable ?

C'est ça d'ou la criticité du truc

https://youtu.be/DA9b-_iH2UA?t=16

on est d'accord que y'a un air ?

Le 22 mai 2022 à 21:08:44 :

Le 22 mai 2022 à 21:06:36 :

Le 22 mai 2022 à 21:04:16 :

Le 22 mai 2022 à 21:01:04 :

Le 22 mai 2022 à 20:58:25 :

Le 22 mai 2022 à 20:54:00 :
C'est dur de trouver des 0 day hein même pour des mecs qui sont dans le milieu, il faut être un petit génie et avoir mass de connaissance, c'est pas donné à n'importe qui.

N'importe quoi, trouver des 0 days c'est juste une question de temps, les 3/4 des logiciels qu'on utilise sont complètement troué ...

ça dépend de quoi il parle, y'a trouver des vuln sur chrome et trouver des vuln dans des softs de merde

Ba regarde log4shell, n'importe quel étudiant en info aurait pu trouver cette vuln, pourtant c'est probablement la vulnérabilité de la décennie ....

Non mais khey... C'est facile de dire "ah ouais mais c'est évident je l'aurais trouvé" sauf que personne ne l'a trouvé ( ou alors elle était exploité par des mecs qui l'ont jamais signalé enfin tu m'as compris)

Résumé de cette histoire ?

Faille dans un morceau de logiciel imbriqué dans pleins de gros logiciel qui permet de lancer des commandes à distance en gros

Le 22 mai 2022 à 21:04:16 :

Le 22 mai 2022 à 21:01:04 :

Le 22 mai 2022 à 20:58:25 :

Le 22 mai 2022 à 20:54:00 :
C'est dur de trouver des 0 day hein même pour des mecs qui sont dans le milieu, il faut être un petit génie et avoir mass de connaissance, c'est pas donné à n'importe qui.

N'importe quoi, trouver des 0 days c'est juste une question de temps, les 3/4 des logiciels qu'on utilise sont complètement troué ...

ça dépend de quoi il parle, y'a trouver des vuln sur chrome et trouver des vuln dans des softs de merde

Ba regarde log4shell, n'importe quel étudiant en info aurait pu trouver cette vuln, pourtant c'est probablement la vulnérabilité de la décennie ....

Non mais khey... C'est facile de dire "ah ouais mais c'est évident je l'aurais trouvé" sauf que personne ne l'a trouvé

Le 22 mai 2022 à 21:00:45 :

Le 22 mai 2022 à 20:57:37 :

Le 22 mai 2022 à 20:56:30 :

Le 22 mai 2022 à 20:47:49 :
Peut être parce que 3 k c'est le salaire à l'embauche en cybersec ?
En freelance/bugbounty tu peux te faire 10-20k par mois...
Perso J'ai 3ans d'xp en entreprise, tout les jours je fais ce que j'aime, je gagne 5k/mois c'est à dire plus que je ne peux dépenser, pourquoi je risquerais ma carrière pour gagner de l'argent que je ne pourrais de toute façon dépenser ?

De plus les gens n'ont pas l'air de le savoir mais quand tu rentre dans le milieu de la sécurité offensive, tu obtiens l'accréditation très secret voir OTAN donc t'es fiché par la DGSI ...

C'est intéressant khey, tu peux en dire plus ?

Y a pas grand chose à dire de plus ... Tu deviens pas non plus agent secret ou des conneries comme ça mais vu que t'es emmené à travailler sur des organismes d'importance vitale, tu passe forcément par ces accréditations

Ces accréditations ? J'ai rien trouvé sur google c'est positif ?

Le 22 mai 2022 à 20:56:30 :

Le 22 mai 2022 à 20:47:49 :
Peut être parce que 3 k c'est le salaire à l'embauche en cybersec ?
En freelance/bugbounty tu peux te faire 10-20k par mois...
Perso J'ai 3ans d'xp en entreprise, tout les jours je fais ce que j'aime, je gagne 5k/mois c'est à dire plus que je ne peux dépenser, pourquoi je risquerais ma carrière pour gagner de l'argent que je ne pourrais de toute façon dépenser ?

De plus les gens n'ont pas l'air de le savoir mais quand tu rentre dans le milieu de la sécurité offensive, tu obtiens l'accréditation très secret voir OTAN donc t'es fiché par la DGSI ...

hein ? J'ai pas compris ta phras

Le 22 mai 2022 à 20:58:25 :

Le 22 mai 2022 à 20:54:00 :
C'est dur de trouver des 0 day hein même pour des mecs qui sont dans le milieu, il faut être un petit génie et avoir mass de connaissance, c'est pas donné à n'importe qui.

N'importe quoi, trouver des 0 days c'est juste une question de temps, les 3/4 des logiciels qu'on utilise sont complètement troué ...

ça dépend de quoi il parle, y'a trouver des vuln sur chrome et trouver des vuln dans des softs de merde

Le 22 mai 2022 à 20:52:02 :

Le 22 mai 2022 à 20:50:07 :

Le 22 mai 2022 à 20:47:50 :

Le 22 mai 2022 à 20:45:38 :

Le 22 mai 2022 à 20:44:48 :

Le 22 mai 2022 à 20:43:15 :

Le 22 mai 2022 à 20:42:13 :

Le 22 mai 2022 à 20:40:20 :
Ceux qui parlent de se faire de la tunes, y'a pas de tune sans travail. En France pour gagner beaucoup de tunes en informatique c'est :

Bac+5 + certification d'expert + portfolio = gros gros salaire

Plus bluepilled que ça c'est possible ?

écoute tout ceux qui ont fait ça gagne 5 à 10k net par mois en France en freelance. Mais pour gagner ces salaires faut avoir ce que j'ai enuméré au-dessus.

Non mais faut pas non plus faire croire aux gens que la tune sans travail ça existe pas.

A quel moment j'ai dit ça ? Pour arriver à ces salaires faut travailler. Mais pour travailler autant se diriger vers un domaine ou on a un minimum d'apétance

Bah tu l'as littéralement écrit relis ton post

oui je confirme, l'argent sans travail ça n'existe pas.

L'héritier il a beaucoup taffé pour gagner sa tune ?

l'héritier n'a rien fait pour produire cette argent.

Le 22 mai 2022 à 20:47:50 :

Le 22 mai 2022 à 20:45:38 :

Le 22 mai 2022 à 20:44:48 :

Le 22 mai 2022 à 20:43:15 :

Le 22 mai 2022 à 20:42:13 :

Le 22 mai 2022 à 20:40:20 :
Ceux qui parlent de se faire de la tunes, y'a pas de tune sans travail. En France pour gagner beaucoup de tunes en informatique c'est :

Bac+5 + certification d'expert + portfolio = gros gros salaire

Plus bluepilled que ça c'est possible ?

écoute tout ceux qui ont fait ça gagne 5 à 10k net par mois en France en freelance. Mais pour gagner ces salaires faut avoir ce que j'ai enuméré au-dessus.

Non mais faut pas non plus faire croire aux gens que la tune sans travail ça existe pas.

A quel moment j'ai dit ça ? Pour arriver à ces salaires faut travailler. Mais pour travailler autant se diriger vers un domaine ou on a un minimum d'apétance

Bah tu l'as littéralement écrit relis ton post

oui je confirme, l'argent sans travail ça n'existe pas.

Le 22 mai 2022 à 20:47:49 :
Peut être parce que 3 k c'est le salaire à l'embauche en cybersec ?
En freelance/bugbounty tu peux te faire 10-20k par mois...
Perso J'ai 3ans d'xp en entreprise, tout les jours je fais ce que j'aime, je gagne 5k/mois c'est à dire plus que je ne peux dépenser, pourquoi je risquerais ma carrière pour gagner de l'argent que je ne pourrais de toute façon dépenser ?

oui voilà tu fais red team + bug bounty en part time tu peux bien vivre.

Vouloir faire du black c'est absurde

Le 22 mai 2022 à 20:44:48 :

Le 22 mai 2022 à 20:43:15 :

Le 22 mai 2022 à 20:42:13 :

Le 22 mai 2022 à 20:40:20 :
Ceux qui parlent de se faire de la tunes, y'a pas de tune sans travail. En France pour gagner beaucoup de tunes en informatique c'est :

Bac+5 + certification d'expert + portfolio = gros gros salaire

Plus bluepilled que ça c'est possible ?

écoute tout ceux qui ont fait ça gagne 5 à 10k net par mois en France en freelance. Mais pour gagner ces salaires faut avoir ce que j'ai enuméré au-dessus.

Non mais faut pas non plus faire croire aux gens que la tune sans travail ça existe pas.

A quel moment j'ai dit ça ? Pour arriver à ces salaires faut travailler

Le 22 mai 2022 à 20:42:13 :

Le 22 mai 2022 à 20:40:20 :
Ceux qui parlent de se faire de la tunes, y'a pas de tune sans travail. En France pour gagner beaucoup de tunes en informatique c'est :

Bac+5 + certification d'expert + portfolio = gros gros salaire

Plus bluepilled que ça c'est possible ?

écoute tout ceux qui ont fait ça gagne 5 à 10k net par mois en France en freelance. Mais pour gagner ces salaires faut avoir ce que j'ai enuméré au-dessus.

N'importe quel domaine de l'informatique si vous avez tout ce que j'ai enuméré vous aurez des salaires de 5 à 10k net en freelance