Hola a todos,

Ando finalizando mi proyecto fin de carrera en seguridad en Web 2.0 el cual incluye el desarrollo de un pequeño site del tipo red social. Ahora mismo tengo la beta publicada, y la idea es atacarlo y realizar una nueva version mejorando la seguridad.

Sentios libres de experimentar con editado y por favor, documentad vuestros ataques y posteadlos aqui o al email del administrador. Cualquier sugerencia de cualquier tipo es bienvenida (pero preferiblemente sobre aspectos de seguridad, ya se que la funcionalidad del sitio es muy pobre :D )

Gracias de antemano. Nos vemos por aqui.

Hay un problema con eso que comentas. Cuando se realiza una auditoría de seguridad de caja negra (como es este caso), el máximo responsable de la web a la que se le realizan los ataques (que en el caso de una empresa ha de ser su director) ha de autorizar por escrito dicha auditoría en un contrato formal. De no ser así, se podría inculpar al auditor y no podría salir de la cárcel en caso de no disponer de ese documento.

¿Por qué es esto así? Por ejemplo, porque yo puedo decir que pongo a disposición mi página, http://google.es para que la hackeéis sin problema. O porque alguien de dentro de una empresa tenga intereses particulares (distintos de la propia empresa) y solicite una prueba de intrusión sin conocimiento de los máximos responsables.

Por todo ello, las personas que realizan auditorías de seguridad se pueden ver implicadas en embrollos legales poco deseables.

Otro ejemplo, ¿dónde tienes alojada esta web de pruebas? ¿En una máquina de tu propiedad? ¿Con una conexión de tu propiedad? ¿En un servicio de housing? ¿En uno de hosting?

¿Qué ocurriría si fuese un servidor compartido y yo me hiciese con el anfitrión que contiene al resto de clientes?

Siento ser yo el censor, pero por todos estos motivos he borrado el enlace. Si quieres auditar tu código, normalmente primero se entrega dicho código para que el auditor realice las pruebas que considere oportunas (de caja negra o cualesquiera otras), pero con sus propios medios e instalaciones.


Salu2

Y, por encima de todo, a los auditores les gusta tener un plato de comida caliente todos los días encima de la mesa. No sé si me explico.

es verdad, no sabemos si realmente el dominio ni el host era tuyo, o era de alguien para que lo atacaramos. Bueno la unica solucion seria que en tu pc montaras un servior con la agina alojada y que aportaras un documento legal que acreditase que es de tu propiedad, pero es mucho lío. Me parece que ir a un foro de seg infrmatica y pedir que te ataquen es que te mastiquen la comida no?

Salu2

Vamos por partes ;)

Estas cosas evidentemente están pensadas, la maquina es mía, solo aloja este site, desarrollado por mi, la conexión es mía, pero lo mas importante y sencillo de todo, es que una pequeña pasada por encima de las condiciones de uso (o simplemente el footer en cualquier pagina) elimina cualquier duda, pues dice que la pagina fue creada con el propósito de ser atacada.

Respecto a lo de que otros hagan mi trabajo, se puede estar muy descuidado, llevo bastante tiempo trabajando en este proyecto y todavía le queda (incluyendo mis propios intentos de ataque) y bueno, lo del plato de comida, estoy seguro de que son capaces de ganárselo sin tener que hacer el tonto con aplicaciones de tres al cuarto, esto es simplemente para el que quiera hacer practicas las haga y el resultado pueda beneficiarnos a ambos.

¿Queda algun aspecto por aclarar?¿Tengo que renunciar a la colaboracion del foro? Prefiero saberlo cuanto antes y asi no malgasto tiempo escribiendo, pero la verdad que yo no veo el problema.

Gracias. Saludos!

Pues, como bien dice en el comentario de J8, haz un escrito formal, con una copia de tu DNI, acreditando que tu eres responsable de lo que pase, blablabla y tal y tal, etcétera. Pero hecho a mano, claro está. Si los moderadores lo consienten, sube una foto de los documentos escaneados. Mira, aunque tu digas que no hay de que preocuparse, hay gente por internet que su punto fuerte es mentir, y lo hacen muy bien. Juegan con la confianza de la gente, parciendo que todo es verdad. No digo que estés mintiendo, pero necesitamos asegurarnos bien, ya que atacar una web es un delito, y si no es tuya, los miembros de hackhispano que la ataquen se verán implicados en el delito.

@: Greco

la pagina si fue creada para ser atacada,y es publico el acceso a la misma, el caso es que hay distinta legislacion judicial en la que se puede encuadrar el hecho.

Pero el ataque sera a un Pc o Mac o lo que sea y ahi ya es puro derecho privado el que regula el grado del delito.

sugiero que pongas en la pagina
una autorizacion por escrito
que se pueda descargar

Buena idea. Moderadores: ¿Estáis de acuerdo?

Hare caso de todas estas indicaciones en cuanto tenga una segunda version de la pagina algo mejorada, porque alguna gente de otros foros ya se ha entretenido en hacerla polvo (tampoco es que fuera demasiado complicado, visto lo visto) asique pasaremos directamente al segundo asalto si os parece :) En cuanto lo tenga listo todo actualizo.

Gracias!

Hasta pronto (espero)

Yo intentaría pasar a mi aplicación web, primero un test de vulnerabilidades. Y luego lo iría pregonando por ahí "vacilando", en el buen sentido de la palabra, de que los mejores tests de penetración han fracasado ante mi "maravillosa creación". Y si una vez mostrado al público, se logra encontrar un fallo, felicitaría al descubridor, y como mínimo lo incluiría en los créditos de dicha aplicación.

Antes de pasar un test nunca lo enseñaría, pues "quedas malamente" ante el público. Es sólo un consejo.

Un saludo.