Resultados 1 al 10 de 10

Tema: Hack my site

  1. #1 Hack my site 
    Iniciado
    Fecha de ingreso
    Oct 2009
    Mensajes
    11
    Descargas
    0
    Uploads
    0
    Hola a todos,

    Ando finalizando mi proyecto fin de carrera en seguridad en Web 2.0 el cual incluye el desarrollo de un pequeño site del tipo red social. Ahora mismo tengo la beta publicada, y la idea es atacarlo y realizar una nueva version mejorando la seguridad.

    Sentios libres de experimentar con editado y por favor, documentad vuestros ataques y posteadlos aqui o al email del administrador. Cualquier sugerencia de cualquier tipo es bienvenida (pero preferiblemente sobre aspectos de seguridad, ya se que la funcionalidad del sitio es muy pobre )

    Gracias de antemano. Nos vemos por aqui.
    Última edición por j8k6f4v9j; 23-07-2010 a las 14:45
    Citar  
     

  2. #2  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Hay un problema con eso que comentas. Cuando se realiza una auditoría de seguridad de caja negra (como es este caso), el máximo responsable de la web a la que se le realizan los ataques (que en el caso de una empresa ha de ser su director) ha de autorizar por escrito dicha auditoría en un contrato formal. De no ser así, se podría inculpar al auditor y no podría salir de la cárcel en caso de no disponer de ese documento.

    ¿Por qué es esto así? Por ejemplo, porque yo puedo decir que pongo a disposición mi página, http://google.es para que la hackeéis sin problema. O porque alguien de dentro de una empresa tenga intereses particulares (distintos de la propia empresa) y solicite una prueba de intrusión sin conocimiento de los máximos responsables.

    Por todo ello, las personas que realizan auditorías de seguridad se pueden ver implicadas en embrollos legales poco deseables.

    Otro ejemplo, ¿dónde tienes alojada esta web de pruebas? ¿En una máquina de tu propiedad? ¿Con una conexión de tu propiedad? ¿En un servicio de housing? ¿En uno de hosting?

    ¿Qué ocurriría si fuese un servidor compartido y yo me hiciese con el anfitrión que contiene al resto de clientes?

    Siento ser yo el censor, pero por todos estos motivos he borrado el enlace. Si quieres auditar tu código, normalmente primero se entrega dicho código para que el auditor realice las pruebas que considere oportunas (de caja negra o cualesquiera otras), pero con sus propios medios e instalaciones.


    Salu2

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  3. #3  
    Avanzado
    Fecha de ingreso
    Jan 2010
    Mensajes
    813
    Descargas
    1
    Uploads
    0
    Y, por encima de todo, a los auditores les gusta tener un plato de comida caliente todos los días encima de la mesa. No sé si me explico.
    Citar  
     

  4. #4  
    Moderador HH
    Fecha de ingreso
    Apr 2010
    Mensajes
    1.052
    Descargas
    7
    Uploads
    0
    es verdad, no sabemos si realmente el dominio ni el host era tuyo, o era de alguien para que lo atacaramos. Bueno la unica solucion seria que en tu pc montaras un servior con la agina alojada y que aportaras un documento legal que acreditase que es de tu propiedad, pero es mucho lío. Me parece que ir a un foro de seg infrmatica y pedir que te ataquen es que te mastiquen la comida no?

    Salu2
    • Taller de programación HackHispano: http://tallerdeprogramacion.es
    • Wargame HackHispano: [PRÓXIMAMENTE]
    • Normas del foro: http://foro.hackhispano.com/announcement.php?f=2
    Citar  
     

  5. #5  
    Iniciado
    Fecha de ingreso
    Oct 2009
    Mensajes
    11
    Descargas
    0
    Uploads
    0
    Vamos por partes

    Estas cosas evidentemente están pensadas, la maquina es mía, solo aloja este site, desarrollado por mi, la conexión es mía, pero lo mas importante y sencillo de todo, es que una pequeña pasada por encima de las condiciones de uso (o simplemente el footer en cualquier pagina) elimina cualquier duda, pues dice que la pagina fue creada con el propósito de ser atacada.

    Respecto a lo de que otros hagan mi trabajo, se puede estar muy descuidado, llevo bastante tiempo trabajando en este proyecto y todavía le queda (incluyendo mis propios intentos de ataque) y bueno, lo del plato de comida, estoy seguro de que son capaces de ganárselo sin tener que hacer el tonto con aplicaciones de tres al cuarto, esto es simplemente para el que quiera hacer practicas las haga y el resultado pueda beneficiarnos a ambos.

    ¿Queda algun aspecto por aclarar?¿Tengo que renunciar a la colaboracion del foro? Prefiero saberlo cuanto antes y asi no malgasto tiempo escribiendo, pero la verdad que yo no veo el problema.

    Gracias. Saludos!
    Citar  
     

  6. #6  
    Moderador HH
    Fecha de ingreso
    Apr 2010
    Mensajes
    1.052
    Descargas
    7
    Uploads
    0
    Pues, como bien dice en el comentario de J8, haz un escrito formal, con una copia de tu DNI, acreditando que tu eres responsable de lo que pase, blablabla y tal y tal, etcétera. Pero hecho a mano, claro está. Si los moderadores lo consienten, sube una foto de los documentos escaneados. Mira, aunque tu digas que no hay de que preocuparse, hay gente por internet que su punto fuerte es mentir, y lo hacen muy bien. Juegan con la confianza de la gente, parciendo que todo es verdad. No digo que estés mintiendo, pero necesitamos asegurarnos bien, ya que atacar una web es un delito, y si no es tuya, los miembros de hackhispano que la ataquen se verán implicados en el delito.
    • Taller de programación HackHispano: http://tallerdeprogramacion.es
    • Wargame HackHispano: [PRÓXIMAMENTE]
    • Normas del foro: http://foro.hackhispano.com/announcement.php?f=2
    Citar  
     

  7. #7  
    Avanzado
    Fecha de ingreso
    Oct 2009
    Mensajes
    200
    Descargas
    28
    Uploads
    0
    @: Greco

    la pagina si fue creada para ser atacada,y es publico el acceso a la misma, el caso es que hay distinta legislacion judicial en la que se puede encuadrar el hecho.

    Pero el ataque sera a un Pc o Mac o lo que sea y ahi ya es puro derecho privado el que regula el grado del delito.

    sugiero que pongas en la pagina
    una autorizacion por escrito
    que se pueda descargar
    Citar  
     

  8. #8  
    Moderador HH
    Fecha de ingreso
    Apr 2010
    Mensajes
    1.052
    Descargas
    7
    Uploads
    0
    Buena idea. Moderadores: ¿Estáis de acuerdo?
    • Taller de programación HackHispano: http://tallerdeprogramacion.es
    • Wargame HackHispano: [PRÓXIMAMENTE]
    • Normas del foro: http://foro.hackhispano.com/announcement.php?f=2
    Citar  
     

  9. #9 Ok... 
    Iniciado
    Fecha de ingreso
    Oct 2009
    Mensajes
    11
    Descargas
    0
    Uploads
    0
    Hare caso de todas estas indicaciones en cuanto tenga una segunda version de la pagina algo mejorada, porque alguna gente de otros foros ya se ha entretenido en hacerla polvo (tampoco es que fuera demasiado complicado, visto lo visto) asique pasaremos directamente al segundo asalto si os parece En cuanto lo tenga listo todo actualizo.

    Gracias!

    Hasta pronto (espero)
    Citar  
     

  10. #10  
    Moderador Global Avatar de hystd
    Fecha de ingreso
    Jul 2005
    Ubicación
    1, 11, 21, 1211...
    Mensajes
    1.596
    Descargas
    58
    Uploads
    0
    Yo intentaría pasar a mi aplicación web, primero un test de vulnerabilidades. Y luego lo iría pregonando por ahí "vacilando", en el buen sentido de la palabra, de que los mejores tests de penetración han fracasado ante mi "maravillosa creación". Y si una vez mostrado al público, se logra encontrar un fallo, felicitaría al descubridor, y como mínimo lo incluiría en los créditos de dicha aplicación.

    Antes de pasar un test nunca lo enseñaría, pues "quedas malamente" ante el público. Es sólo un consejo.

    Un saludo.
    El optimista tiene ideas, el pesimista... excusas

    Citar  
     

Temas similares

  1. Cross Site Scripting
    Por chico1988 en el foro VULNERABILIDADES
    Respuestas: 4
    Último mensaje: 16-06-2007, 16:14
  2. Hello, this is my first post on Yours site
    Por poluroud20 en el foro OFF-TOPIC
    Respuestas: 1
    Último mensaje: 15-11-2006, 16:26
  3. looking 4 trade with this site
    Por ahmad_yehia en el foro APLICACIONES
    Respuestas: 15
    Último mensaje: 05-03-2005, 00:58
  4. cross site scripting
    Por jocanor en el foro GENERAL
    Respuestas: 4
    Último mensaje: 01-08-2003, 12:06
  5. problemas en hackind de site
    Por networking en el foro GENERAL
    Respuestas: 2
    Último mensaje: 30-01-2002, 18:28

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •