Tråd bedømmelse:
  • 0 Stemmer - 0 Gennemsnit
  • 1
  • 2
  • 3
  • 4
  • 5
Idéer til mere aktivitet på forummet?
02-02-2014, 15:10
#21
RE: Idéer til mere aktivitet på forummet?
Det afhænger vel lidt af, hvilket land der specifikt er tale om... Sagen om Andrew Auernheimer og at&t er et fint eksempel på, at der er hold i det du siger i eksempelvis USA og sikkert også andre lande - men jeg kan ikke se, hvordan det at tilfjøje en apostrof for at skaffe sig en sql fejl eller eksempelvis at tilføje et andet domæne i url for at se, om et parameter har rfi, strider imod de paragraffer der netop er blevet nævnt - hvis man gør det med /etc/passwd eller lignende, kan det dog godt give mening, hvad du nævner

Af de eksempler vi har set i dk, har jeg dog kun set nogle artikler i eksempelvis version2 og nogle af indlæggene herinde på ss, men der er det ikke blevet set negativt på, medmindre folk har gjort admin opmærksomme på fejlen og bagefter exploitet, efter de ikke har fixet, hvilket dog også giver ret god mening eller eksempelvis et tidligere medlem her på ss, der prøvede at blackmaile lectio til at give ham belønning for de xss fejl, han rapporterede.

Dog er det helt bestemt interresant at diskutere det nu her, så man har lidt baggrundsviden og undgår at dumme sig :)
GOOD LUCK EBOLA-CHAN
I LOVE YOU EBOLA-CHAN
Find alle beskeder fra denne bruger
Citer denne besked i et svar
02-02-2014, 15:15 (Denne besked var sidst ændret: 02-02-2014, 15:25 af Doctor Blue.)
#22
RE: Idéer til mere aktivitet på forummet?
(02-02-2014, 15:10)R3dpill Skrev: Det afhænger vel lidt af, hvilket land der specifikt er tale om... Sagen om Andrew Auernheimer og at&t er et fint eksempel på, at der er hold i det du siger i eksempelvis USA og sikkert også andre lande - men jeg kan ikke se, hvordan det at tilfjøje en apostrof for at skaffe sig en sql fejl eller eksempelvis at tilføje et andet domæne i url for at se, om et parameter har rfi, strider imod de paragraffer der netop er blevet nævnt - hvis man gør det med /etc/passwd eller lignende, kan det dog godt give mening, hvad du nævner

Af de eksempler vi har set i dk, har jeg dog kun set nogle artikler i eksempelvis version2 og nogle af indlæggene herinde på ss, men der er det ikke blevet set negativt på, medmindre folk har gjort admin opmærksomme på fejlen og bagefter exploitet, efter de ikke har fixet, hvilket dog også giver ret god mening eller eksempelvis et tidligere medlem her på ss, der prøvede at blackmaile lectio til at give ham belønning for de xss fejl, han rapporterede.

Dog er det helt bestemt interresant at diskutere det nu her, så man har lidt baggrundsviden og undgår at dumme sig :)

Desværre er det sådan, at selvom det ikke giver mening og kan være rimeligt svært at tyde i lovbekendtgørelsen, så bliver det anmeldt i mange tilfælde og man kan godt blive dømt for det.
Så risikoen er der jo, om du kan se det eller ej. Jeg mener bare at det er trist.

Jeg vil så også sige at de gange hvor jeg har arbejdet whitehat har jeg aldrig været længere ude end en apostrof før jeg har spurgt om lov til at fortsætte, fordi så kan jeg arbejde uden anonymizer og i øvrigt undgå en masse bøvl.
Hvis det eneste man har gjort er at sætte en apostrof én gang kan man i alle tilfælde bare sige at man ramte knappen ved en uheld fordi den sidder ved siden af enter :)
Indsættelse af persisterende XSS er naturligvis en driftsforstyrrelse, så det skal man aldrig røre ved uden tilladelse hvis man regner med at fortælle webmasteren om det, det samme gælder alle de huller der nærmest kun kan findes ved at forsøge at exploite dem (LFI/RFI).
Den her tråd giver enormt meget stof til eftertanke, og jeg tænker at jeg måske vil sammenfatte lovgivningen omkring emnet og oprette et hjælpedokument om det.

Vi kan også sagtens gøre det officielt at der er nogle udfordringer ind i mellem, det er bare min erfaring at der ikke er så mange der gider dem når det kommer til stykket.

EDIT: Jeg kan faktisk se at komogvind endelig har taget sig sammen til at lappe den latterlige fejl.
Mangler du hjælp?
Regler |  E-mail (PGP)
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
03-02-2014, 16:11 (Denne besked var sidst ændret: 03-02-2014, 22:18 af BlimBlamBlar.)
#23
RE: Idéer til mere aktivitet på forummet?
Jeg sendte spørgsmålet til DKCERT og her er deres svar i sin helhed (er code tags mon det rigtige?):

Ups....DKCERT gutten brød sig ikke om den helt store offentliggørelse af hans besked, men jeg må gerne dele den i en mere lukket kreds, så hvis nogen vil have en kopi af hans besked så send mig lige en PM.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
03-02-2014, 16:44
#24
RE: Idéer til mere aktivitet på forummet?
Forskellen på quote og code er, at code skifter fonten til monotype og sætter en maksimal højde på boksen. Quote boksen vil altid udvide sig så den passer til indholdet, og det gør det lidt mere læservenligt, men det er mig ikke så vigtigt.

Det jeg umiddelbart får ud af hans svar, er at det per definition er lovligt så længe man ikke ser ud som om man forsøger at gøre skade (og ikke har nogen former for exploit kits osv.). Der hvor det så bevæger sig ud i det ulovlige er hvor man ender med at gøre skade selvom det ikke var intentionen, og det kommer man ekstremt let til. Han kan selvfølgelig have ret i det med et aggressivt IDS, men på den anden side ville de nok også få fikset fejlen hvis den gik i gang, så fra et etisk synspunkt vil jeg ikke mene det er en reel skade. Resten af arbejdet er trodsalt politiets, så der spilder man ikke noget arbejdstid.
Så vi kan nok konkludere at selvom det i teorien er lovligt, så forstyrrer det sandsynligvis det firma man tester og selv hvis man ikke gør, kan politiet under en ransagning finde andre ting der er bevis nok til en dom.
Så vi lader være.
Mangler du hjælp?
Regler |  E-mail (PGP)
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
03-02-2014, 17:00
#25
RE: Idéer til mere aktivitet på forummet?
En IDS skal per definition trigger på forsøg på SQLi. Men IDSer kan snydes, så når vi ser forsøg på noget, så tager vi det alvorligt, for måske har IDSen bare fanget et klodset forsøg, mens en masse andet er røget igennem.
Derfor bruger vi tid på det, og kan vi sende regningen videre, så gør vi det...og du, som uden tilladelse har angrebet os, får den.

Men hvis din intention er at fortælle om fejlen, men ikke når det inden politiet banker på døren, så har du et problem. Og hvis du ikke finder noget og derfor ikke informerer os, så får du også et problem, fordi du så har forsøgt et angreb og ikke kan bevise, at du forsøgte noget gray hat agtigt. Ligesom det også er ulovligt bare at planlægge et røveri.

Og gør du reel skade, som får en database til at gå ned eller som generer kunderne, og vi mister omsætning, så får du igen regningen.

Så, lad være! Få en tilladelse FØRST, ikke bagefter.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
03-02-2014, 18:18 (Denne besked var sidst ændret: 03-02-2014, 18:20 af R3dpill.)
#26
RE: Idéer til mere aktivitet på forummet?
tak for din post omkring din mail-korrespondence :) så blev man jo en anelse klogere på det

Og ja, vi har jo stadig en masse andre lovlige alternativer... DVWA, hackthissite og identiske lovlige forsøgskaniner, som vi jo stadig kan bruge til at arrangere noget med

edit: og selvfølgelig også de alternativer, som blimblamblar nævner - dog er det ikke den slags, jeg har de største kompetencer i, så DVWA, HTS osv. er tættere på noget af det, jeg kan hjælpe med nogle udfordringer i :)
GOOD LUCK EBOLA-CHAN
I LOVE YOU EBOLA-CHAN
Find alle beskeder fra denne bruger
Citer denne besked i et svar
03-02-2014, 19:07
#27
RE: Idéer til mere aktivitet på forummet?
Jeg vil også mene, man helt skal lade være. Det er sådan set en pæn tanke, at ville hjælpe virksomheder. Men mon ikke, de allerede har fast aftale med en pen-tester, hvis de er økonomisk afhægig af deres online service.

En af de ting, man skriver ind i en kontrakt, når man pentester, er "fordelingen" af ansvaret i tilfælde af, der sker noget.
Det er så nemt at få væltet en server eller et helt system, også selv om det er en lovlig pentest. Det kan også ske, selv om man kun scanner. Så skal man, sort på hvidt, aftale hvem som skal betale. Man kan her, også dele kontakt info med firmaets lokale it-mand, så man kan få systemet op igen hurtigt.

Det bør nok mere være en "tilfældighed", som gør, man finder et hul et sted. Eller hvis man som Doctor Blue, får sin originale kode tilsendt, hviket kun kan betyde, de gemmer dem i klar tekst.

Men tilbage til emnet. Jeg synes det er en god idé med nogle udfordringer. Mest fordi, de kan være rigtig lærerige.
Man kan evt. være et par stykker sammen om det, så man kan dele viden. Og rigtig god idé med en "tag" pokal.
Det kan altid lade sig gøre at lave noget hullet software, man kan lege med. Ellers kan man bare bruge en af de web sider som er bygget til det. Hvis man er mere til overruns eller noget, kan vi jo nok kode nogle programmer som kan exploites. Eller lege lidt med noget SQLi i et c++ program. For her findes de også. :)
Faktisk er det nok også godt, man har mere end et par dage til det. Så kan man give sig tid, og prøve lidt forskelligt af.
Så skal de hurtige nok bare ikke poste løsningen på første dag. :)
---
Writing a shellcode decoder stub in assembly is like talking gibberish in such a way that it is still perfectly intelligible. - iTick
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
04-02-2014, 09:59
#28
RE: Idéer til mere aktivitet på forummet?
(03-02-2014, 19:07)iTick Skrev: Eller hvis man som Doctor Blue, får sin originale kode tilsendt, hviket kun kan betyde, de gemmer dem i klar tekst.
Eller krypteret...altså RIGTIG krypteret med public key, og hvis den private nøgle så ikke ligger i DMZen men i en meget bedre beskyttet zone, så får en evt. hakker ikke meget ud af at dumpe databasen, heller ikke selvom han har fået grumt meget adgang til backend.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
04-02-2014, 10:01
#29
RE: Idéer til mere aktivitet på forummet?
(02-02-2014, 15:15)Doctor Blue Skrev: Den her tråd giver enormt meget stof til eftertanke, og jeg tænker at jeg måske vil sammenfatte lovgivningen omkring emnet og oprette et hjælpedokument om det.

Bestemt - Jeg ved ikke særlig meget om den danske lovgivning på området, mere den britiske, så det er interessant læsning. Og rigtig god ide med et hjælpedokument til siden brugere.
Don't learn to hack, hack to learn
Find alle beskeder fra denne bruger
Citer denne besked i et svar
04-02-2014, 15:42 (Denne besked var sidst ændret: 04-02-2014, 15:46 af iTick.)
#30
RE: Idéer til mere aktivitet på forummet?
(04-02-2014, 09:59)BlimBlamBlar Skrev: Eller krypteret...altså RIGTIG krypteret med public key, og hvis den private nøgle så ikke ligger i DMZen men i en meget bedre beskyttet zone, så får en evt. hakker ikke meget ud af at dumpe databasen, heller ikke selvom han har fået grumt meget adgang til backend.

Det har du ret i. :) Jeg har det bedst med, ikke selv at gemme andres passwords i læsbar format. Hvis man er erhvervsdrivende, er der selvfølgelig også en del regler for beskyttelse af de private info man opbevarer. Så kan man selvfølgelig bruge hashing, eller kryptering, alt efter hvad man synes.
Man kan sige.., bare man tænker over det, tager stilling til det og vægter det, ud fra hvor personlige info, koderne skal beskyttes. :)

Jeg skulle nok ikke have skrevet "Eller hvis man som Doctor Blue, får sin originale kode tilsendt, hviket kun kan betyde, de gemmer dem i klar tekst.", men i stedet "Eller hvis man som Doctor Blue, får sin originale kode tilsendt, hviket kan antyde, de gemmer dem i klar tekst.".
Ret skal være ret. :)
---
Writing a shellcode decoder stub in assembly is like talking gibberish in such a way that it is still perfectly intelligible. - iTick
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
« Ældre | Nyere »




User(s) browsing this thread: 1 Gæst(er)