Tråd bedømmelse:
  • 0 Stemmer - 0 Gennemsnit
  • 1
  • 2
  • 3
  • 4
  • 5
Sektion Exploit Sektion?
13-11-2014, 23:50 (Denne besked var sidst ændret: 17-03-2015, 02:16 af Doctor Blue.)
#1
Exploit Sektion?
Kunne det tænkes, at vi kunne få en sektion udelukkende til exploits?
Så der kunne være hjælp af hente hvis man ønsker selv at skrive/ændre i eksisterende exploits, eller hjælp til at køre diverse scripts samt diskussioner om nyopdagede og offentliggjorte exploits og sårbarheder.

Der er jo som udgangspunkt Heartbleed og Shellshock, men også nogle af de nyere såsom Winshock, MyBB, IPB og IE som er kommet frem i løbet af de sidste par dage/uger.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
14-11-2014, 01:03
#2
RE: Exploit Sektion?
Det er egentlig det pentesting-sektionen er tænkt til :)
"SQL injection, XSS, CSRF, LFI, RFI, Buffer overflows, server hacking[..]" bla bla. Det er egentlig bare en håndfuld keywords jeg fyrede af i beskrivelsen fordi jeg var lidt træt af at skrive på det tidspunkt. Den kunne godt trænge til at være en forklaring i stedet for en opremsning.
Sektionen har allerede tråde om alle mulige slags exploits. Der er noget om SQLi/XSS, Java drive-by, file inclusion, opsætning af firewalls, fuzzing, netværks- og vuln-mapping osv. Et eller andet sted føler jeg lidt at jeg har ramt plet med mine 7 kategorier. "Andet" forummet er mest fyldt med tråde jeg aldrig har fået flyttet og så lidt om datamining (Jeg overvejer at udvide bruteforcing forummet til også at omfatte datamining og batch processing, da det er et af mine yndlingsområder).
Er der nogen særlig grund til, at du ikke mener, at Pentesting opfylder dit behov? :)

Det vælter frem med interessante exploits lige pt. særligt i OpenSSL, og det er faktisk meget spændende at følge med i.
Mangler du hjælp?
Regler |  E-mail (PGP)
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
14-11-2014, 10:35
#3
RE: Exploit Sektion?
Tænkte mere på en slags database-lignende struktur. Noget i stil med "[CVE-xxxx-xxxx] - Flash RCE". Så kan man selv vælge hvilke exploits/sårbarheder der er værd at diskutere. Synes bare det ville passe dårligt ind, som det ser ud nu. Kunne man ikke lave en undergruppe i selv samme sektion, der bare hedder exploits?
Det er jo ikke for at liste alle exploits der offentliggøres, da folk selv kan finde frem til disse. Det er mere for at kunne kigge lidt på specifikke eksempler.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
14-11-2014, 11:14
#4
RE: Exploit Sektion?
(14-11-2014, 10:35)MalcolmXI Skrev: Tænkte mere på en slags database-lignende struktur. Noget i stil med "[CVE-xxxx-xxxx] - Flash RCE". Så kan man selv vælge hvilke exploits/sårbarheder der er værd at diskutere. Synes bare det ville passe dårligt ind, som det ser ud nu. Kunne man ikke lave en undergruppe i selv samme sektion, der bare hedder exploits?
Det er jo ikke for at liste alle exploits der offentliggøres, da folk selv kan finde frem til disse. Det er mere for at kunne kigge lidt på specifikke eksempler.

Tænker det ville være fint med en undersektion hvor man kunne diskuterer sådan noget.

Men så skal den også kun udelukket være til det formål.
[Billede: rGvl8UM.png]
Find alle beskeder fra denne bruger
Citer denne besked i et svar
14-11-2014, 11:38
#5
RE: Exploit Sektion?
Jeg kan godt se hvad du mener, men jeg forstår stadig ikke helt hvad der er galt med at oprette en tråd med en sådan titel i Pentesting > Diskussion. Jeg er meget konservativ når det kommer til at oprette nye sektioner. Vi er trodsalt stadig et ret lille forum. Desuden, hvis et par stykker begynder at navngive tråde på den måde, så følger de fleste andre også med. Det skete i hvert fald i Show Off forummet til at begynde med. Folk satte den automatisk til [SQLi] og [XSS] efterfulgt af sidens navn. Godtnok har jeg selv været indover og rette i case så det så lidt konsistent ud, men ellers fungerede det okay af sig selv. Det skal så siges at jeg bevidst har valgt at lade være med at oprette præfikser til FI, SQLi og XSS, da det ikke er noget jeg synes Shellsec direkte skal opfordre til.

Hvad med en CVE præfiks? Jeg synes selv at en dedikeret undersektion er ret meget at gøre ud af et emne der næsten ikke bliver diskuteret herinde. Det kunne eventuelt følges op af en regel om at CVE-prefixen altid skal følges af et nummer. Således bliver trådens titel til at være noget i stil med "[CVE] 2014-6271 - Shellshock".
Mangler du hjælp?
Regler |  E-mail (PGP)
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
14-11-2014, 12:21
#6
RE: Exploit Sektion?
Kunne sku nok godt overgive mig.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
14-11-2014, 18:04
#7
RE: Exploit Sektion?
Nu har jeg i hvert fald tilføjet en præfiks. Som med alt andet, så vil jeg oprette en ny sektion til det hvis jeg synes der kommer nok af slagsen :)
Mangler du hjælp?
Regler |  E-mail (PGP)
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
14-11-2014, 22:20 (Denne besked var sidst ændret: 15-11-2014, 17:18 af rained.)
#8
RE: Exploit Sektion?
Jeg håber også på en exploit sektion.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
04-03-2015, 23:21
#9
RE: Exploit Sektion?
ja det lyder som en fin ide. jeg vil gerne være med til at lave exploit
Find alle beskeder fra denne bruger
Citer denne besked i et svar
« Ældre | Nyere »




User(s) browsing this thread: 1 Gæst(er)