RDot

RDot (https://rdot.org/forum/index.php)
-   Аудит Web-приложений/Web Application Security Audit (https://rdot.org/forum/forumdisplay.php?f=27)
-   -   Совместный аудит различных CMS (https://rdot.org/forum/showthread.php?t=30)

Iceangel_ 03.07.2010 16:41

Совместный аудит различных CMS
 
Здравствуйте, Товарищи!
Сия тема предназначена для совместного поиска пользователями багов в различных CMS. Основная цель данной темы - получение пользователями нового опыта при совместном аудите со специалистами нашего форума.
Суть такова: Вы в данной теме предлагаете движок, модератор проверяет соответствие критериям и либо апрувит движок и в конце данного сообщения выкладывается информация о движке и сроках проведения аудита, либо сразу отказывает без указания причин, поэтому не надо слать ВП и Джумлу в надежде на то, что кто-то будет искать баги за Вас.

Требования к пользователю:
1)20 тематических постов
2)Умение находить уязвимости в исходниках
3)Собственноручно найденные уязвимости в других CMS(данный факт должны подтверждать ваши посты\темы на форуме)

Требования к движку:

1)Не слишком высокая популярность
2)Вы уже находили в нем какую-либо уязвимость
3)Вес движка в архиве не более 2мб

Далее пользователь, предложивший движок, модератор и остальные добровольцы(принять участие может любой желающий) приступают к изучению сорцов подопытного движка.
Все найденные вами уязвимости должны быть проверены вами и обязательно должно присутствовать указание уязвимого кода с разъяснениями.
По окончанию сроков проведения все уязвимости будут собраны и выложены в отдельной теме, с указанием авторских копирайтов.

wildshaman 06.07.2010 10:20

Я считаю, от юзера надо требовать еще 1-2 найденные баги в данном предложенном движке. Ибо иначе это похоже на "поломайте за меня".
С чем связано ограничение на размер архива?

Iceangel_ 06.07.2010 20:25

Цитата:

Сообщение от wildshaman
Я считаю, от юзера надо требовать еще 1-2 найденные баги в данном предложенном движке.

Второй пункт в Требованиях к движку.

Цитата:

Сообщение от wildshaman
С чем связано ограничение на размер архива?

С занятостью мемберов, чтобы провести качественный анализ тех же 10-15мб потребуется очень большой срок времени.

Twost 20.09.2010 21:03

Кстати, а зря эта тема затихла, апну, может народ проявит интерес, вы когда то проводили такое соревнование с Iceangel_, правда так и не закончили! =))))
Довольно интересно было, мы взяли один движок и начали его одновременно копать, эдакий конкурс был на количество и качество найденных баг, намного интереснее, чем копать в одиночку, плюс дух соперничества и более качественный аудит! Советую подумать над этим, ведь много тут людей общаются между собой, возьмите движок и копайте вдвоем, потом выкладывайте, плюсов натыкать хватит всем, не переживайте, молодец будет не только тот, кто запостит ресерч, а и кто его проводил в команде.

ficrowns 01.10.2010 02:01

Twost, спасибо за идею! Мотивация супер)) завтра другу расскажу и предложу))

dasknix 26.12.2010 17:35

смысл топа не понятен.
другое дело вместе писать _боевые_ сплоеты по известным багам..
либо например собрались бы и создали стаф типа набор полезных
в работе тулз, не для пунктов а где каждый был бы реально полезен
и актуален

примеры
- скул-брутеры / дамперы (интеграция всего этого во что-то типа http://paste.org.ru/?4ww0lt)
- phpsploit (http://securityvulns.ru/files/phpsploitclass.php), ибо лично мне он кажется если не
очень то как минимум малоудобным

зы хорошо бы чтобы форум не резал пробелы, дабы сохранить всю ковайность форматирования

Nightmare 26.12.2010 18:08

А может и наоборот получиться. Человек нашёл в движке 2-3 серьёзные баги, скажем SQL и выполнение кода, начал проводить совместный аудит, в итоге ещё один человек нашёл раскрытие путей, и всё.
Зато оба вписаны как разобравшие движок вместе.
Ну думаю, намёк вы поняли.

Pashkela 26.12.2010 18:26

Для серьезных баг есть приват, а делить на серьезно/несерьезно в совместном поиске багов просто несерьезно, имхо. Ибо иногда и FPD достаточно для того, чтобы шелл залить, и иногда ОЧЕНЬ облегчает. Баги нельзя оценивать с точки зрения полезно/бесполезно, если это БАГИ. Сегодня не надо, прочитал мельком, а завтра молиться на этого человека будешь) Всё всегда по ситуации. А то, что FPD в разы меньше несет смысловой нагрузки, чем прочие уязвимости, это вроде и ежику понятно, нормальные люди не письками меряются, а создают некий архив уязвимостей, из которого каждый в итоге почерпнет для себя то, что ВДРУГ понадобилось, а уж по заслугам (раскопанным багам), их ЗНАЧИМОСТИ, и награда в виде определенного отношения, признания, авторитета в группе, но это не значит, что FPD теперь не надо искать. Там крошечка, тут кропарик - в итоге целый комплекс уязвимостей, мощное оружие и ОБЩИЙ инструмент для достижения нужных целей.

dasknix 26.12.2010 19:17

Цитата:

Сообщение от Nightmare (Сообщение 11603)
А может и наоборот получиться. Человек нашёл в движке 2-3 серьёзные баги, скажем SQL и выполнение кода, начал проводить совместный аудит, в итоге ещё один человек нашёл раскрытие путей, и всё.
Зато оба вписаны как разобравшие движок вместе.
Ну думаю, намёк вы поняли.

думаю то что ты описал характерно для тим, причем плотных, я догадываюсь
что у рдота тоже есть тима, но это скорее админы/модеры, т.к. проект в пабе

опять же, учитывая открытость данной конфы надеятся на то что тут будет
более 2-3х актуальных багов на движки используемые более чем на 2х ресах
имхо не приходится, кроме того думаю тулбокс и не так жалко делить с кем-то
как свежие баги на которых много людей делают деньги и спорить думаю никто
не будет, если же это для рейта то кроме как мяса которое сидит молча и снифает
фри стаф больше никого не добавится

зы по опыту многолетнего наблюдения за своим и чужими ресами
2Pashkela если говорить серьезно про мощное оружие то выход один - написать
парсер чекающий на новые месаги все конторы имеющие собстенные паблик траки
+ сдапмить все известные профильные базы (osvdb|iss|nsa|secunia|juniper|[tux/etc-relative])


Часовой пояс GMT +3, время: 05:47.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot