PDA

Просмотр полной версии : Предлагаю сделать правила оформления уязвимостей, вот кое что начеркал.


(dm)
06.07.2010, 15:31
1. Заголовок
[ Название скрипта(программы)]

2. Тело сообщения
2.1 Общая информация.
Название программы: [Название]
Сайт программы: [Ccылка на сайт разработчика]
Дорк: [Запрос для гугла]


2.2 Блок уязвимостей

2.2.1 Описание уязвимости
[Тип Уязвимости]
Уязвимые версии: [Перечисление проверенных уязвимых версий]
Зависимости: [Условия при которых будет работать уязвимость]

Путь до файла:
[ИСХОДНЫЙ КОД]
Исходный код с комментариями и указанием уязвимого участка.

2.2.2 Эксплоит
Эксплоит:
[КОД ЭКСПЛОЙТА]
Эксплоит может быть представлен в виде программы, в виде запроса, прикреплен в виде аттача и т.п.

2.2.3 Патч (по возможности)
Патч:
Путь до файла:
[ИСПРАВЛЕННЫЙ КОД]
Патч может быть представлен в виде исправленных файлов в аттаче, файлов созданных с помощью diff и т.п.

(dm)
06.07.2010, 15:36
Зависимости. Самый обязательный пункт.
да - точно.

Rebz
06.07.2010, 15:41
Ещё бы хорошо "фикс" добавить, по возможности ;)

oRb
06.07.2010, 15:42
По поводу заголовков топиков: лучше постить только название продукта. К примеру, нашел я в продукте "ТипоЦМС" версии 1.2.3.4 скл-инъекцию; Сделал соответствующий заголовок; Завтра кто-то найдет в этом же продукте другую уязвимость и получится непонятная ситуация: создавать новую тему или постить в той, которая не совсем подходит?

Ещё бы хорошо "фикс" добавить, по возможности ;)
Поддерживаю

(dm)
06.07.2010, 22:38
оке, обновил.

nikp
06.07.2010, 23:23
Так и делали все время, новым является только пункт 2.4 Патч.

Ну и тип уязвимости указывать удобнее не в заголовке, а рядом с описанием уязвимости, поскольку
уязвимостей м.б. несколько и разных типов.

Привык к такому шаблону:

Наименование, версия.
УРЛ на скачивание
[Дорк]

path/file
Код
[комментарии]
...
path/file
Код
[комментарии]

Тип уязвимости
зависимости

Пример эксплуатации
============
path/file
Код
[комментарии]
...
path/file
Код
[комментарии]

Тип уязвимости
зависимости

Пример эксплуатации
============

m0Hze
06.07.2010, 23:24
Хз, я привык постить в таком виде:

Название
Версия
Автор

Тип уязвимости

Файл
Код
Как юзать
..

Мне так намного легче, и читается легко.

(dm)
07.07.2010, 01:15
m0Hze и nikp, спасибо кое что поправил.