Внимание! Подготавливается конкурс

Discussion in 'Уязвимости' started by Iceangel_, 16 Dec 2009.

  1. Iceangel_

    Iceangel_ Elder - Старейшина

    Joined:
    9 Jul 2006
    Messages:
    496
    Likes Received:
    533
    Reputations:
    158
    Уважаемые форумчане! Мы с jokester`ом решили устроить для вас конкурс, заключающийся в исследовании php движков на безопасность.
    Это замечательная возможность наполнить форум полезной информацией и удобный случай вам показать свои знания и проявить активность.
    Т.к. одним из главных критериев при поступлении в РОА является умение находить уязвимости в коде,
    то и победителю конкурса будет дана возможность вступить в группу РОА.
    Возможность участвовать в конкурсе будет одна, один двиг на исследование, за "плагиат" мгновенная дисквалификация.
    Как в любом соревновании, необходимо иметь систему оценки, по которой найденные вами уязвимости будут конвертироваться в баллы.
    На данный момент мы считаем, что в критерии нужно включить популярность движка, опасность уязвимости
    и оригинальность уязвимости(т.е. что-нибудь типа include($_GET['file']) и хитро выверенный баг будут иметь разный "вес" при подсчете баллов)
    Интересно услышать ваше мнение по поводу аспектов, требующих внимания.


    Предварительный список участников:

    schwarze
    banana
    Root-access
    mailbrush
    Byte_
    mr.The
    Strilo4ka
    m0Hze
    [ DSU ]
    [NiGHT]DarkAngel
    Shaitan-Devil
    wolmer
    Xcontrol212
    547
    Rubaka
    RulleR
    Twoster
    shell_c0de
    +StArT+
    Basurman

    Если вас нету в этом списке, но имеется желание учавствовать, отписываемся в данной теме.
     
    #1 Iceangel_, 16 Dec 2009
    Last edited: 3 Jan 2010
    4 people like this.
  2. [ DSU ]

    [ DSU ] Elder - Старейшина

    Joined:
    22 Oct 2007
    Messages:
    103
    Likes Received:
    96
    Reputations:
    88
    Ограничение по времени есть? =)
     
  3. Kakoytoxaker

    Kakoytoxaker Elder - Старейшина

    Joined:
    18 Feb 2008
    Messages:
    1,038
    Likes Received:
    1,138
    Reputations:
    350
    Что хотелось-бы добавить Если конкурс всё-таки стартует (тоесть если есть интерес к этому и кол-во участников наберётся нормальное):

    По поводу главного приза. Если будет приемлимое количество участников то в РОА кто-то пройдёт 100%, НО!!! учтите, что если на первом месте окажется какой-нибудь товарищ, который успел себя скомпрометировать на форуме до такой степени. что в группу ему ход заказан, то ему достанутся только титул победителя, ну и крестики в репу, конечно. А в РОА пойдёт человек, который занял второе место, но с нормальной репутацией (не крестиками!) и без косяков.
    Я попрошу всех на эту тему не разглагольствовать и не задавать глупых вопросов типо "А что значит скомпрометировать?" или "А я пройду?". Этот пункт не обсуждается, даже не пытайтесь, все вопросы на эту тему буду тереть из топика без ответов и демагогию по этому поводу развести не дам. Тоесть конечной инстанцией останемся мы, и если вдруг случится именно такой вариант, я всем поясню потом почему так произошло. Ну и конечно вступление в группу дело добровольное, и если Вам это не нужно, то никто Вас силком тащить туда не будет.

    Далее.
    Что касается всяких хакеров, которые: "Да чо там в РОА делать...", "Да я бы запросто...".
    Просто не нужно это дерьмо сдесь описывать, я заранее согласен, что вы неибически круты, и вам просто в этой группе делать нечего, а то-бы вы давно... ну и так далее. Тоесть не нужно сдесь тешить своё самолюбие и показывать как вы круто умеете потрепать языком, просто закройте этот топик.

    По поводу исполнений кода в булках и WP, и прочих 0дей чудобагах. НЕНАДО! Тоесть во избежании тупорылых постов, про дешёвую рабочую силу, я сразу говорю, что кто не хочет участвовать ненадо тут писать эту вашу охинею, что:
    "Да я ща могу исполнение кода в IPB выложить и выиграть, но мне просто не надо..."
    или
    "Да щас прям, нашли дураков. Я тут вам ничо небуду выкладывать..."
    Не хотите ничего делать, не нужно мешать другим. Если вы считаете, что кому-то в группах позарез понадобились ваши мегакрутые баги, то тоже просто закройте топик, это не для вас.
    Никто не просит чего-то особенного, если будет найдено действительно что-то стоящее оно уйдёт выше, все остальное осядет в паблике, никто с вас ничего не требует, ненужно хватать что-то мегапопулярное, достаточно взять среднинький движок баги от которого и так попали-бы в паблик и разобрать его полностью.

    Ну и возможно в РОА отправится не только победитель, а кто-то ещё, в любом случае, своим участием в конкурсе вы обратите на себя внимание.

    Ну а пока, мы хотели-бы обсудить с Вами, есть ли желающие поучаствовать, стоит ли вообще это затевать и услышать Ваши предложения по поводу формулы по которой будут вычисляться баллы. У меня пока идея слепить что-то из кол-ва сайтов по дорку в выдаче гугла и коэффицентов тоесть например SQL коэффицент 1 LFI 1,5 в админке баги ставить коэффицент пониже, т.к. там их побольше, у и т.д. вобщем ждём обсуждения и предложений
     
    1 person likes this.
  4. schwarze

    schwarze Member

    Joined:
    1 Dec 2008
    Messages:
    64
    Likes Received:
    38
    Reputations:
    5
    Я бы принял участие, даже если не попаду в РоА (ход заказан). Ради фана.
     
  5. InDuStRieS

    InDuStRieS Banned

    Joined:
    15 Mar 2009
    Messages:
    529
    Likes Received:
    253
    Reputations:
    32
    банан попросил передать,что он будет участвовать.
     
  6. Root-access

    Root-access Elder - Старейшина

    Joined:
    18 Jun 2008
    Messages:
    194
    Likes Received:
    195
    Reputations:
    91
    Интересно. Я бы не отказался поучаствовать.

    Вопросы:

    1. Надо будет копать определённый движок? Если да, то какого плана движок? Есть ли он в багтреках?
    2. Опять же, вопрос о времени.

    Уязвимости по степени критичности по-моему надо отсортировать примерно так:
    1. RFI
    2. SQL-I
    3. LFI
    4. Active XSS/Change Password XSRF
    5. Passive XSS/XSRF
    6. Path Disclosure

    Ещё можно добавить Information Leakage, но непонятно, насколько критичной может быть утечка.

    Да и вообще, наверное стоит выставлять баллы по ситуации, ведь это лишь примерная сортировка - может оказаться так, что даже пассивная xss полезнее sql-инъекции.
     
  7. Kakoytoxaker

    Kakoytoxaker Elder - Старейшина

    Joined:
    18 Feb 2008
    Messages:
    1,038
    Likes Received:
    1,138
    Reputations:
    350
    [x60]unu
    Ты я смотрю как-раз из тех самых особо одарённых хакеров. Прочитай мой пост полностью. Я как раз для таких господ уже всё что вы скажете написал там, и про булку, и про дешёвую силу. Придумай что-то пооригинальнее.

    Движок выбираете сами, мы ничего давать не будем
    Тоесть может получиться так, что кто-то будет копать одно и то-же, выясним в конце.
     
    #7 Kakoytoxaker, 16 Dec 2009
    Last edited: 16 Dec 2009
  8. [Raz0r]

    [Raz0r] Elder - Старейшина

    Joined:
    25 Feb 2007
    Messages:
    425
    Likes Received:
    484
    Reputations:
    295
    Предлагаю:
    1. Выполнение кода (eval(), RFI, LFI, etc)
    2. Выполнение команд (exec(), system(), etc)
    3. SQL-инъекции
    4. Path traversal (чтение произвольных файлов; запись - к 1му пункту)
    5. XSS
    6. CSRF
     
  9. Root-access

    Root-access Elder - Старейшина

    Joined:
    18 Jun 2008
    Messages:
    194
    Likes Received:
    195
    Reputations:
    91

    Тогда возникают новые вопросы...

    1. Можно ли, выбрав движок, высылать уязвимости которого участник уже выкладывал (нашёл сам), скажем, обзор делал?

    2. Возникает некоторая дискриминация, правда добровольная - у всех будут разной сложности движки, может у кого-то они дырявые и мелки, а у других хорошо пропатчены и громоздки.
    Впрочем, наверное в конечном итоге важны лишь найденные уязвимости, степень их оригинальности, а не то, какой движок копался.
     
  10. Iceangel_

    Iceangel_ Elder - Старейшина

    Joined:
    9 Jul 2006
    Messages:
    496
    Likes Received:
    533
    Reputations:
    158
    Да, будет. Старт предположительно после НГ(т.к. сейчас у многих сессия), само ограничение зависит от ваших предложений

    Нет
     
    #10 Iceangel_, 16 Dec 2009
    Last edited: 16 Dec 2009
  11. mailbrush

    mailbrush Well-Known Member

    Joined:
    24 Jun 2008
    Messages:
    2,007
    Likes Received:
    996
    Reputations:
    155
    Хорошо придумано...
    Полностью поддерживаю! :)
     
  12. Byte_

    Byte_ Elder - Старейшина

    Joined:
    7 Sep 2008
    Messages:
    143
    Likes Received:
    34
    Reputations:
    2
    я бы поучаствовал, особенно если стартанёт конкурс на выходных!
    это пожалуй единственно пожелание.
     
  13. Kakoytoxaker

    Kakoytoxaker Elder - Старейшина

    Joined:
    18 Feb 2008
    Messages:
    1,038
    Likes Received:
    1,138
    Reputations:
    350
    [Raz0r]
    Да так нормально, но нужно прикрутить коэффицент как-то, оценить популярность движка. Ибо одно дело гостевуха писаная на коленке Васей, и другое что-то более менее профессиональное. Мы хотели по выдаче гугла, например, оценивать популярность движка и как то это связать с найденными багами, тоесть вывесть формулу по которой каждый может сам расчитать сколько баллов он набрал
    Ну а какая дискриминация? Каждый выбирает по силам себе. В любом случае незамеченным никто не останится :)
     
  14. Qwazar

    Qwazar Elder - Старейшина

    Joined:
    2 Jun 2005
    Messages:
    997
    Likes Received:
    905
    Reputations:
    587
    (Критичность бага * X * Y) * (кол-во страниц в гугле / 1000) .
    Где X=1 если нет зависимостей, X=0,7 если требуется Magic_quotes, X=0,5 (0,3?) если требуется Register_globals.
    И Y=1 если не нужно регистрации для эксплуатации, Y=0,8 если нужны стандартные права, Y=0,3 если нужны права модера/админа.
    Учёт только уникальных багов. (Т.е. кто первый выложил - того и баг)

    И критичность бага, как нибудь так:
    RFI - 100 баллов
    раскрытие пути - 5 баллов .

    Т.е. зависимость должна быть нелинейной.

    Как то так.

    З.Ы.
    Имхо для теста надо разрешать только базовую комплектацию, без доп модулей.

    Ну и надо правильно критичности багов расставить, чтобы раскрытие путей в вордпрессе не переплёвывало eval в каком нибудь менее популярном, но достаточно распространённом движке.
     
    #14 Qwazar, 16 Dec 2009
    Last edited: 17 Dec 2009
    2 people like this.
  15. m0Hze

    m0Hze Elder - Старейшина

    Joined:
    1 Nov 2008
    Messages:
    267
    Likes Received:
    644
    Reputations:
    208
    Помоему достаточно темы Энциклопедия уязвимых скриптов.От туда много народу попало\попадет в РОА.Нет я не против данной идеи,но в чом суть? Если движок выбираеш сам, никакого конкретного задания пока что нет.Если говорить серьезно,то я уже бегло пересмотрел весь список cmsmatrix.com, которые в фрии-ГПЛ распространении,и для меня суть учавствовать в конкурсе не очень видна :)
    Но для фана я поучаствую,по времени.
    *Это не подкол,а здравая критика.Я за конкретное задание,и конкретные движки.Ну во всяком случае для меня это будет очень хорошо,ибо сам я уже не знаю за что браться.*
    /*Ps2.Про хитровыверенные баги =) Ну вот в пример взял я движок.Пропарсил код,отсеял лишнее.Нашол банальную скули в логине, и инклуд прямо из ГЕТ-а.Несмотря на это,я ранее выкладывал уже уязвимости над которым исам ломал голову не один час, и даже не два.Так что,следует сказать что движки должны быть как минимум "популярны",и ни в коем случае нельзя позволять делать выбор участникам.пускай движки распределят "директорат" конкурса.Вот.*/
     
    #15 m0Hze, 16 Dec 2009
    Last edited: 16 Dec 2009
    1 person likes this.
  16. mr.The

    mr.The Elder - Старейшина

    Joined:
    30 Apr 2007
    Messages:
    1,093
    Likes Received:
    459
    Reputations:
    38
    я как бы намекаю, что в украине, изза карантина перенесли сессию намного после-нг. а поучаствовать я не откажусь.

    да, и обязательно ковырять какой-то один двиг? Но, нужно сделать какое-то ограничение, что бы не было 100500 багов в гостевухах от васи, и 1 xss в чём-то популярном.. Думаю 2-3 движка будет вполне достаточно.

    да, и я, допустим, нашел N багов в двиге. M из них было паблик, осталось N-M. Ещё K тоже было паблик, но я их не нашел\плохо искал и выложил и их тоже, вместе с остальными. Я согласен на N-M-K, но как-то не хочется, что бы была 'дисквалификация за "плагиат".'

    +нужно не забыть, сделать какое-то разграничение по двигам.. допустим 2 человека, независимо друг от друга нашли одни и те же баги в двиге. с одной стороны, такая двойная проверка это гуд, а с другой - никто не докажет, что они не кооперировались, а искали баги независимо друг от друга.


    вообщем, тут ещё много тонкостей.


    upd: да, и ещё. так как "конкурс, заключающийся в исследовании php движков на безопасность.", а я, к примеру, хочу ковырять платный двиг. нет, я понимаю, что мне его никто не купит, но как быть-то? Не факт, что в том нулёном двиге, который я найду, баг не был сделан специально, как бек-дор. Нужно как-то решить это, либо только с опен-сорсом работать, либо ещё как-то..
     
    #16 mr.The, 16 Dec 2009
    Last edited: 16 Dec 2009
  17. ElteRUS

    ElteRUS Elder - Старейшина

    Joined:
    11 Oct 2007
    Messages:
    367
    Likes Received:
    460
    Reputations:
    93
    +1 к m0Hze

    Добавлю, что было б здорово, чтобы это был не какой-то конкретный известный движок, а некий код, специально подготовленный для этого соревнования. Некая мини-цмс или что-то в этом роде. Вы б могли предусмотреть там баги, требующие особой смекалки и знаний для своего выявления (ну и + что-то попроще для новичков). Я понимаю, что для организаторов это в разы больше геморроя писать это все, но так бы было гораздо интереснее имхо. Потом можно было б в заранее оговоренный момент выложить эту цмс и дать конкретное время на поиски. Ну и по результатам баг-репортов определять победителей.
     
    1 person likes this.
  18. mailbrush

    mailbrush Well-Known Member

    Joined:
    24 Jun 2008
    Messages:
    2,007
    Likes Received:
    996
    Reputations:
    155
    ИМХО, 5-10 чел будут иметь первое место, если все будут ковырять один двиг...
     
  19. ElteRUS

    ElteRUS Elder - Старейшина

    Joined:
    11 Oct 2007
    Messages:
    367
    Likes Received:
    460
    Reputations:
    93
    Смотря какие будут баги =) Можно сделать временное ограничение пожестче. А первое место займет тот, кто первый пришлет наиболее полный баг-репорт. Нужно продумать все эти тонкости. Вообще конечно ты прав. Но если каждый будет выбирать себе движок сам, то уже можно идти ресерчить баги прямо сейчас (чем раньше начнешь тем больше найдешь) =)
     
  20. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    Все правильно пишите, но в идеале лучше:

    1. Набрать участников

    2. По кол-ву участников распределить предварительно отобранные зелеными движки, в которых они точно знают есть уязвимости, раскрыть которые можно, обладая средним уровнем и которых по какой-то причине нет в паблике (ненагуглить)

    3. Если таких движков найдется только 20 - значит и кол-во участников должно быть 20. Если одни и теже будут копать один и тот же двиг и находить одни и теже баги (заранее зная, что вероятно кто-то взял тот же двиг и найдет тоже самое теоретически) - то велика вероятность потери интереса к конкурсу вообще.

    Вот тогда будет и интересно, и наполнение уникальное и польза всем и стимул настоящий для участников - найти хоть один баг, которого нет в паблике (т.е. заранее оговорить, если найденный баг гуглится - нещиталово). И никаких совпадений даже теоретически. Вот это азарт и цель. Плюс отпадет (скорее всего) в большей части вероятность помощи со стороны (т.е. пока абсолютно непонятно, как будет вообще проверяться, что чел сам работал, а не закинул куда-нибудь и ему нашли, мейби и за деньги какие-то)

    PS: Просто рац предложение. Сам участвовать не буду из уважения к авторитетному мнению.
     
    #20 Pashkela, 17 Dec 2009
    Last edited: 17 Dec 2009
Loading...
Similar Threads - Внимание Подготавливается конкурс
  1. o314um
    Replies:
    3
    Views:
    1,537
  2. Iceangel_
    Replies:
    33
    Views:
    30,061
  3. SpySheriff
    Replies:
    3
    Views:
    1,516