Denne side bruger cookies
Dette forum bruger cookies. Hvis du er registreret, bruges de til at huske hvem du er logget ind som. Hvis ikke, gemmer vi dit sidste besøgstidspunkt. Besøgstidspunktet bruges bl.a. til at holde øje med, hvilke tråde du allerede har læst. Cookies er små tekstdokumenter, som bliver gemt i din browser og udgør ingen sikkerhedsrisiko. Tryk "Mere Information" nedenfor, for en liste over de cookies vi sætter. Du har mulighed for at fravælge cookies ved at klikke på knappen "Blokér Cookies" i bunden af denne boks.

En ikke-personhenførbar cookie vil blive gemt i din browser, uanset dit valg (Medmindre du ikke foretager et). Således undgår du at blive spurgt igen. Du kan til enhver tid ændre dit valg via linket i bunden af siden.

Tråd bedømmelse:
  • 0 Stemmer - 0 Gennemsnit
  • 1
  • 2
  • 3
  • 4
  • 5
WhiteHat day - Pwn2Help
28-10-2013, 15:30
#11
RE: WhiteHat day - Pwn2Help
Hvis man er i whitehat humør er det en god idé at sætte sine scripts til at køre dry-run, altså for eksempel at exploite men hvor man planter en hello-world i stedet for en shell. Ellers er man jo ude i at rode i private filer og sådan, men det er jo bare et spørgsmål om moral.
Selvfølgelig burde vi ikke bare opfordre til whitehat aktivitet, men simpelthen diskvalificere brugere der har gjort noget skadeligt på siden.
Husk på at en vuln kan bevises i form af en HTML kommentar eller lignende, hvor ingen vil opdage det uden at gøres opmærksom på det.

<!-- Like this -->
Mangler du hjælp?
Regler |  E-mail (PGP)
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
04-11-2013, 01:15
#12
RE: WhiteHat day - Pwn2Help
Her er, til dem som er interesserede, lidt info om, hvordan andre håndterer og informerer om de sikkerhedshuller, de finder.

CERT/CC - CERT Coordination Center - http://www.cert.org/kb/vul_disclosure.html
Full Disclosure Policy - RFP v2 (RainForest Puppy Policy) - http://www.wiretrip.net/p/libwhisker.html
OIS (Organization for Internet Safety) - http://www.symantec.com/security/OIS_Gui...losure.pdf
ZDI (Zero Day Initiative) - http://www.zerodayinitiative.com/advisor...re_policy/

Det er officielle dokumenter, og man kan bruge det eller lade være. Det er ikke et regelsæt, men et forsøg på at ensarte hvordan sikkerhedshuller offentliggøres. (Og sikkert så de selv får nogle 0Days først, så de kan tjene penge på, at informere high profile kunder, om dem først.) :)

Der er nogle fordele ved at offentliggøre sikkerhedshuller, gennem sådanne organisationer, for det er ikke alle firmaer, der tager det lige pænt. Det giver nogle muligheder for at være anonym, i tilfælde af, at virksomheden vil sagsøge en. Andre virksomheder værdsætter dog informationen, og sætter pris på, de får en chance for at lukke hullet, før fejlen offentliggøres. You know the drill..

Men hvis i keder jer, kan i jo skimme det igennem. :)
---
Writing a shellcode decoder stub in assembly is like talking gibberish in such a way that it is still perfectly intelligible. - iTick
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
04-11-2013, 11:30
#13
RE: WhiteHat day - Pwn2Help
Fin information iTick, det vil jeg læse igennem ved lejlighed.
Har indimellem tænkt over hvordan man skulle release et seriøst 0day hvis jeg en dag skulle gå hen at finde et.
Don't learn to hack, hack to learn
Find alle beskeder fra denne bruger
Citer denne besked i et svar
04-11-2013, 22:03
#14
RE: WhiteHat day - Pwn2Help
Hey, det lyder vildt fedt! Synes vi burde gøre det! :)
Find alle beskeder fra denne bruger
Citer denne besked i et svar
« Ældre | Nyere »




User(s) browsing this thread: 1 Gæst(er)