Petit « hack » Twitter en 10 minutes
Je voulais vous partager un petit « hack » de Twitter que j’ai réalisé l’autre jour afin de savoir en live qui regardait mon curriculum vitae en PDF ou tout autre fichier (selon mes besoins.). Ce petit hack est assez simple à comprendre, il suffit simplement de créer un fichier dynamique chargeant le fichier source du document (pdf, doc, rar, avi etc.) et envoyant grâce à l’API de Twitter différentes informations sur le visiteur visionnant ce fichier.
Ce petit tip, je l’avais réalisé il y a quelques années sur un projet d’Honeypot basé web afin de voir quelles méthodes de récolte d’information utilisaient le plus souvent les attaquants, quelles étaient leur fréquence d’attaque, leur origine, les keywords utilisés etc. sur des fichiers autres que dynamiques.
Pour ce qui est de ce hack, quelques points divers à respecter :
- Il faut créer un compte Twitter pour véhiculer les notifications, il doit être protégé pour une meilleure sécurité des informations (adresses IP etc.)
- Ne pas charger les fichiers à partir d’une variable (sait-on jamais, les imbéciles, cela existe)
- Créez un .htaccess permettant d’interpréter le code présent dans les fichiers disposés dans le dossier (avec AddType application/x-httpd-php .pdf .doc etc.)
Bref, la petite « classe » que j’ai créée comme tout bon dev à partir de quelques autres sources est disponible dans ce fichier. Et voici un petit aperçu de ce que cela donne dès que quelqu’un regarde mon CV en PDF :
Notifications sur le service Twitter
Je sais, pour un billet c’est assez lamentable… Mais avec SRC, j’ai plus trop de temps à faire des recherches et tests en lab. dans le domaine de la sécurité informatique ou dans d’autres domaines… dur
dur..
Rien qu’avec ce mot on reconnaît bien là un SRC :)
En tout cas ça à l’air plutôt sympa ton tip !