24.10
2010

And the „Sec“ was born!

Kategorie: pentest, SQL injection, web / Tag:  / Přidat komentář

Prednedávnom publikovaná info anketa v ktorej mali (a stále majú) užívatelia možnosť vyjadriť svoj názor a svoje skúsenosti bola predvojom pre vznik sekcie „Sec„. V tomto kúte budú uverejňované softvérové zraniteľnosti & zraniteľné webové servery označené komunitou. Stručné info sa publikuje niekoľko dní po informovaní developera/administrátora zhruba raz mesačne. Server hack4fun pôsobí ako medzičlánok medzi anonymnými bezpečnostnými analytikmi, ktorí si trénujú svoje zručnosti a budujú renomé na náhodných serveroch. Len za predchádzajúce 2 týždne náš tým oslovil a poukázal na kritické zraniteľnosti niekoľko softvérových spoločností. Ďakujeme za info. Komunikácia prebieha na základe e-mailového upozornenia, ktoré je následne zasielané priamo na konktrétnu spoločnosť.

Veríme, že k svojim povinnostiam budú prevádzkovatelia aplikácií pristúpovať svedomito a nevystavia klientov/zákazníkov nepríjemným situáciám, ktoré môžu nastať pri zneužití bezpečnostných nedostatkov „zblúdilcami“, ktorí nemajú vôľu poukázať na chybu..

Zdroje, ktoré náš server informovali o zraniteľnostiach častokrách nachádzajú modifikované shelly, konfiguračné skripty z ktorých je jasné, že tieto zraniteľnosti neostali nepovšimnuté ani pre ostatných „free riderov„, ktorí nemali vôľu nikoho informovať. H4f nemá žiaden finančný prospech z tejto činnosti, každá oslovená spoločnosť dostáva na výber. V prípade upresnenia zraniteľnosti si ale vyhradzujeme právo vypracovať krátky info report a uverejniť ho v sekcii Sec.

Update – 8.11 – Sec – Wwuln fail

Vážení administrátori, cena penetračného testu sa často šplhá k stovkám Euro za 24 hodín. Podľa konkrétnej situácie si teda skúste spočítať akú sumu Vám členovia komunity ušetrili. Nespomínam dôveryhodnosť, o ktorú by Vaša spoločnosť častokrát prišla v prípade, ak by sa „administrátorom“ na krátky čas stal nejaký vtipálek. Zvážte podporu, alebo pridanie bannera na stránky Vašej spoločnosti.

Máte skill, horúce info a chcete robiť správnu vec? Join us and get a free cookie :)

Súvisiace články: Cheese Holes – SQLi technika a prevencia, Fimap, And the „Sec“ was born!, Sec – Wwuln epic fail, Fitness YouTube Fun, SQLi Cheese – Rozuzlenie

Žádný komentář.

Přidat komentář

Váš komentář