Shellsec

Fuld version: WhiteHat day - Pwn2Help
Du ser lige nu en skrabet udgave af vores indhold. Se den fulde version med ordentlig formatering.
Sider: 1 2
Som alle nok ved blev en masse sider videreredigeret til shellsec.pw i går.
Dette sætter os i dårligt lys i offentligheden og nye brugere får det forkerte indtryk.

Jeg ville derfor blot foreslå at vi afholdte en Whitehat dag, hvor vi alle joiner IRC og sammen finder en helvedes masse targets.
Herefter rapporteres alle sikkerheds fejl til sidernes admins. Herefter samler vi en tråd hvor hver bruger kan få credit for sine fund. Dog først når admins har rettet deres sikkerheds fejl, så det ikke bliver misbrugt af hackere med dårlige intentioner.

Det er blot et forslag. Så kan vi også bruge vores viden til noget positivt :)

Jeg tænker evt. at vi måske laver nogle kategorier over hvor seriøs sårbarheden er, og uddeler point efter det.
Herefter tager vi sidens alexa ranking(eller noget lignende) og regner det sammen.
Så kunne shellsec admins evt. sponsorere en gave til dem som har fundet de største huller, og rapporteret dem til sidernes admins.

Hvad synes i ?
Lyder som en god idé.
Efter mange sider blev redirected til ShellSec, så har siden et dårligt ry.
Kan godt forstå, at du som Administrator gerne vil lave om på det!
Lyder som en god idé, jeg er frisk hvis det foregår en dag hvor jeg har tid :)
Ideen. er fin nok. Jeg syntes bare ofte folk er fuldstændig ligeglade når man fortæller dem om om sikkerhedhuller på deres site.
(27-10-2013, 18:37)Spagnum Skrev: [ -> ]Ideen. er fin nok. Jeg syntes bare ofte folk er fuldstændig ligeglade når man fortæller dem om om sikkerhedhuller på deres site.

Kender den følelse alt for godt :)
(27-10-2013, 18:37)Spagnum Skrev: [ -> ]Ideen. er fin nok. Jeg syntes bare ofte folk er fuldstændig ligeglade når man fortæller dem om om sikkerhedhuller på deres site.

det kommer vel an på hvad slags sider det er, og om de gemmer mange kundeoplysninger/andet, som kan misbruges. Hvis det fx. er velgørenhedsprojekter eller steder, hvor man enten bruger cpr-numre eller kreditkort, så tror jeg højst sandsynligt de fleste webmasters tager det mere seriøst... kan dog stadig ikke være sikker nok - men jeg synes også det er en fin idé, som nok kan hjælpe med at balancere forummet lidt :)
(27-10-2013, 18:47)nevada Skrev: [ -> ]det kommer vel an på hvad slags sider det er, og om de gemmer mange kundeoplysninger/andet, som kan misbruges. Hvis det fx. er velgørenhedsprojekter eller steder, hvor man enten bruger cpr-numre eller kreditkort, så tror jeg højst sandsynligt de fleste webmasters tager det mere seriøst... kan dog stadig ikke være sikker nok - men jeg synes også det er en fin idé, som nok kan hjælpe med at balancere forummet lidt :)

Nej, det tager de det skam ikke mere alvorligt af.
Det eneste der kan gøre at det bliver fikset i den situation, er at du skriver til ledelsen at du har fortalt webmasteren om en fejl der kunne [indsæt skrækscenarie her] og at han nægtede at ordne det. Så plejer det at blive fikset relativt hurtigt ^^
(27-10-2013, 18:37)Spagnum Skrev: [ -> ]Ideen. er fin nok. Jeg syntes bare ofte folk er fuldstændig ligeglade når man fortæller dem om om sikkerhedhuller på deres site.

Har det på samme måde... og det ender altid med at jeg bliver sur over de bare er ligeglade... også kommer man til at hacke siden^^
Whitehat day den sidste Fredag i hver måned!
Brint it on!
Som der var en der skrev til mig på twitter, så kræver det jo en tilladelse at penteste og det bliver nok derfor mere en greyhat dag.
Dog synes jeg stadig at vi skal gøre det, så længe vi med 100% sikkerhed ikke ødelægger noget :)

Det med at folk ikke altid er taknemmelige er selvfølgelig ærgerligt, men synes stadig vi skal gøre det. Jeg vil godt ligge bogen "Secrets of reverse engineering" i puljen, til den som vinder.

Jeg tænker noget med at vi måske kun tester for web applications. Fordi hvis vi skal ned og teste i exploits på deres software som f.eks ftp, kan meget gå galt.
Dog kunne man tjekke overfladisk for usikre versioner via evt. nmap. Der skader man heller ikke nogle.

Også tænker jeg også at vi laver noget med at man skal kunne bevise at man har fundet en vuln.
Vi kan vi have et dommerpanel som bestemmer hvor seriøs den er samtidig med om den er der.(Doctor Blue og Jeg eventuelt)
Sider: 1 2