Dyrk.org
Do You Really Know

Bonsoir à vous fidèles lecteurs,

En parcourant le « back office » de ma BBOX … je me suis dit qu’il y avait un moyen tout simple d’identifier les abonnées BBOX …
Sans même avoir recours a un WHOIS sur l’adresse IP …

Il suffit de tester le chargement de l’une des images disponibles via l’administration de notre fameuse box !!!

Par exemple celle-ci :

http://192.168.1.254/medias/images/pictos/wifi-med.svg

Avec un petit code Javascript … que je peux mettre sur n’importe quelle page Web, je pourrais savoir, si je parviens à charger l’image, que la personne qui consulte mon site est chez Bouygues … est inversement.

[pastacode lang= »javascript » manual= »var%20BBoxDetect%20%3D%20function(success%2C%20error)%7B%0A%09var%20d%20%3D%20document%2C%20dom%20%3D%20d.getElementsByTagName(‘html’)%5B0%5D%2C%20img%20%3D%20d.createElement(‘img’)%3B%0A%09img.addEventListener(‘load’%2C%20success)%3B%0A%09img.addEventListener(‘error’%2C%20error)%3B%0A%09img.setAttribute(%22src%22%2C’http%3A%2F%2F192.168.1.254%2Fmedias%2Fimages%2Fpictos%2Fwifi-med.svg’)%3B%0A%09dom.appendChild(img)%3B%0A%09dom.removeChild(img)%3B%0A%7D%0A%0A%0A%2F*%20Main%20Code%20*%2F%0Avar%20success%20%3D%20function()%7B%20%20alert(%22Detection%20d’un%20abonn%C3%A9%20Bouygues%20!%22)%3B%20%20%7D%3B%0Avar%20error%20%20%3D%20function()%7B%20%20alert(%22Impossible%20de%20determiner%20si%20l’internaute%20est%20chez%20bouygue%22)%3B%20%7D%3B%0ABBoxDetect(success%2C%20error) » message= » » highlight= » » provider= »manual »/]

https://jsfiddle.net/La07kkem/1/

Un hacker peut exploiter ce genre de technique pour :

• Réaliser des pages de phishing très réaliste.
• Exploiter des vulnérabilités liées à cet opérateur.
• Eviter des traitements coté serveur