Уважаемые форумчане! Мы с jokester`ом решили устроить для вас конкурс, заключающийся в исследовании php движков на безопасность. Это замечательная возможность наполнить форум полезной информацией и удобный случай вам показать свои знания и проявить активность. Т.к. одним из главных критериев при поступлении в РОА является умение находить уязвимости в коде, то и победителю конкурса будет дана возможность вступить в группу РОА. Возможность участвовать в конкурсе будет одна, один двиг на исследование, за "плагиат" мгновенная дисквалификация. Как в любом соревновании, необходимо иметь систему оценки, по которой найденные вами уязвимости будут конвертироваться в баллы. На данный момент мы считаем, что в критерии нужно включить популярность движка, опасность уязвимости и оригинальность уязвимости(т.е. что-нибудь типа include($_GET['file']) и хитро выверенный баг будут иметь разный "вес" при подсчете баллов) Интересно услышать ваше мнение по поводу аспектов, требующих внимания. Предварительный список участников: schwarze banana Root-access mailbrush Byte_ mr.The Strilo4ka m0Hze [ DSU ] [NiGHT]DarkAngel Shaitan-Devil wolmer Xcontrol212 547 Rubaka RulleR Twoster shell_c0de +StArT+ Basurman Если вас нету в этом списке, но имеется желание учавствовать, отписываемся в данной теме.
Что хотелось-бы добавить Если конкурс всё-таки стартует (тоесть если есть интерес к этому и кол-во участников наберётся нормальное): По поводу главного приза. Если будет приемлимое количество участников то в РОА кто-то пройдёт 100%, НО!!! учтите, что если на первом месте окажется какой-нибудь товарищ, который успел себя скомпрометировать на форуме до такой степени. что в группу ему ход заказан, то ему достанутся только титул победителя, ну и крестики в репу, конечно. А в РОА пойдёт человек, который занял второе место, но с нормальной репутацией (не крестиками!) и без косяков. Я попрошу всех на эту тему не разглагольствовать и не задавать глупых вопросов типо "А что значит скомпрометировать?" или "А я пройду?". Этот пункт не обсуждается, даже не пытайтесь, все вопросы на эту тему буду тереть из топика без ответов и демагогию по этому поводу развести не дам. Тоесть конечной инстанцией останемся мы, и если вдруг случится именно такой вариант, я всем поясню потом почему так произошло. Ну и конечно вступление в группу дело добровольное, и если Вам это не нужно, то никто Вас силком тащить туда не будет. Далее. Что касается всяких хакеров, которые: "Да чо там в РОА делать...", "Да я бы запросто...". Просто не нужно это дерьмо сдесь описывать, я заранее согласен, что вы неибически круты, и вам просто в этой группе делать нечего, а то-бы вы давно... ну и так далее. Тоесть не нужно сдесь тешить своё самолюбие и показывать как вы круто умеете потрепать языком, просто закройте этот топик. По поводу исполнений кода в булках и WP, и прочих 0дей чудобагах. НЕНАДО! Тоесть во избежании тупорылых постов, про дешёвую рабочую силу, я сразу говорю, что кто не хочет участвовать ненадо тут писать эту вашу охинею, что: "Да я ща могу исполнение кода в IPB выложить и выиграть, но мне просто не надо..." или "Да щас прям, нашли дураков. Я тут вам ничо небуду выкладывать..." Не хотите ничего делать, не нужно мешать другим. Если вы считаете, что кому-то в группах позарез понадобились ваши мегакрутые баги, то тоже просто закройте топик, это не для вас. Никто не просит чего-то особенного, если будет найдено действительно что-то стоящее оно уйдёт выше, все остальное осядет в паблике, никто с вас ничего не требует, ненужно хватать что-то мегапопулярное, достаточно взять среднинький движок баги от которого и так попали-бы в паблик и разобрать его полностью. Ну и возможно в РОА отправится не только победитель, а кто-то ещё, в любом случае, своим участием в конкурсе вы обратите на себя внимание. Ну а пока, мы хотели-бы обсудить с Вами, есть ли желающие поучаствовать, стоит ли вообще это затевать и услышать Ваши предложения по поводу формулы по которой будут вычисляться баллы. У меня пока идея слепить что-то из кол-ва сайтов по дорку в выдаче гугла и коэффицентов тоесть например SQL коэффицент 1 LFI 1,5 в админке баги ставить коэффицент пониже, т.к. там их побольше, у и т.д. вобщем ждём обсуждения и предложений
Интересно. Я бы не отказался поучаствовать. Вопросы: 1. Надо будет копать определённый движок? Если да, то какого плана движок? Есть ли он в багтреках? 2. Опять же, вопрос о времени. Уязвимости по степени критичности по-моему надо отсортировать примерно так: 1. RFI 2. SQL-I 3. LFI 4. Active XSS/Change Password XSRF 5. Passive XSS/XSRF 6. Path Disclosure Ещё можно добавить Information Leakage, но непонятно, насколько критичной может быть утечка. Да и вообще, наверное стоит выставлять баллы по ситуации, ведь это лишь примерная сортировка - может оказаться так, что даже пассивная xss полезнее sql-инъекции.
[x60]unu Ты я смотрю как-раз из тех самых особо одарённых хакеров. Прочитай мой пост полностью. Я как раз для таких господ уже всё что вы скажете написал там, и про булку, и про дешёвую силу. Придумай что-то пооригинальнее. Движок выбираете сами, мы ничего давать не будем Тоесть может получиться так, что кто-то будет копать одно и то-же, выясним в конце.
Предлагаю: 1. Выполнение кода (eval(), RFI, LFI, etc) 2. Выполнение команд (exec(), system(), etc) 3. SQL-инъекции 4. Path traversal (чтение произвольных файлов; запись - к 1му пункту) 5. XSS 6. CSRF
Тогда возникают новые вопросы... 1. Можно ли, выбрав движок, высылать уязвимости которого участник уже выкладывал (нашёл сам), скажем, обзор делал? 2. Возникает некоторая дискриминация, правда добровольная - у всех будут разной сложности движки, может у кого-то они дырявые и мелки, а у других хорошо пропатчены и громоздки. Впрочем, наверное в конечном итоге важны лишь найденные уязвимости, степень их оригинальности, а не то, какой движок копался.
Да, будет. Старт предположительно после НГ(т.к. сейчас у многих сессия), само ограничение зависит от ваших предложений Нет
[Raz0r] Да так нормально, но нужно прикрутить коэффицент как-то, оценить популярность движка. Ибо одно дело гостевуха писаная на коленке Васей, и другое что-то более менее профессиональное. Мы хотели по выдаче гугла, например, оценивать популярность движка и как то это связать с найденными багами, тоесть вывесть формулу по которой каждый может сам расчитать сколько баллов он набрал Ну а какая дискриминация? Каждый выбирает по силам себе. В любом случае незамеченным никто не останится
(Критичность бага * X * Y) * (кол-во страниц в гугле / 1000) . Где X=1 если нет зависимостей, X=0,7 если требуется Magic_quotes, X=0,5 (0,3?) если требуется Register_globals. И Y=1 если не нужно регистрации для эксплуатации, Y=0,8 если нужны стандартные права, Y=0,3 если нужны права модера/админа. Учёт только уникальных багов. (Т.е. кто первый выложил - того и баг) И критичность бага, как нибудь так: RFI - 100 баллов раскрытие пути - 5 баллов . Т.е. зависимость должна быть нелинейной. Как то так. З.Ы. Имхо для теста надо разрешать только базовую комплектацию, без доп модулей. Ну и надо правильно критичности багов расставить, чтобы раскрытие путей в вордпрессе не переплёвывало eval в каком нибудь менее популярном, но достаточно распространённом движке.
Помоему достаточно темы Энциклопедия уязвимых скриптов.От туда много народу попало\попадет в РОА.Нет я не против данной идеи,но в чом суть? Если движок выбираеш сам, никакого конкретного задания пока что нет.Если говорить серьезно,то я уже бегло пересмотрел весь список cmsmatrix.com, которые в фрии-ГПЛ распространении,и для меня суть учавствовать в конкурсе не очень видна Но для фана я поучаствую,по времени. *Это не подкол,а здравая критика.Я за конкретное задание,и конкретные движки.Ну во всяком случае для меня это будет очень хорошо,ибо сам я уже не знаю за что браться.* /*Ps2.Про хитровыверенные баги =) Ну вот в пример взял я движок.Пропарсил код,отсеял лишнее.Нашол банальную скули в логине, и инклуд прямо из ГЕТ-а.Несмотря на это,я ранее выкладывал уже уязвимости над которым исам ломал голову не один час, и даже не два.Так что,следует сказать что движки должны быть как минимум "популярны",и ни в коем случае нельзя позволять делать выбор участникам.пускай движки распределят "директорат" конкурса.Вот.*/
я как бы намекаю, что в украине, изза карантина перенесли сессию намного после-нг. а поучаствовать я не откажусь. да, и обязательно ковырять какой-то один двиг? Но, нужно сделать какое-то ограничение, что бы не было 100500 багов в гостевухах от васи, и 1 xss в чём-то популярном.. Думаю 2-3 движка будет вполне достаточно. да, и я, допустим, нашел N багов в двиге. M из них было паблик, осталось N-M. Ещё K тоже было паблик, но я их не нашел\плохо искал и выложил и их тоже, вместе с остальными. Я согласен на N-M-K, но как-то не хочется, что бы была 'дисквалификация за "плагиат".' +нужно не забыть, сделать какое-то разграничение по двигам.. допустим 2 человека, независимо друг от друга нашли одни и те же баги в двиге. с одной стороны, такая двойная проверка это гуд, а с другой - никто не докажет, что они не кооперировались, а искали баги независимо друг от друга. вообщем, тут ещё много тонкостей. upd: да, и ещё. так как "конкурс, заключающийся в исследовании php движков на безопасность.", а я, к примеру, хочу ковырять платный двиг. нет, я понимаю, что мне его никто не купит, но как быть-то? Не факт, что в том нулёном двиге, который я найду, баг не был сделан специально, как бек-дор. Нужно как-то решить это, либо только с опен-сорсом работать, либо ещё как-то..
+1 к m0Hze Добавлю, что было б здорово, чтобы это был не какой-то конкретный известный движок, а некий код, специально подготовленный для этого соревнования. Некая мини-цмс или что-то в этом роде. Вы б могли предусмотреть там баги, требующие особой смекалки и знаний для своего выявления (ну и + что-то попроще для новичков). Я понимаю, что для организаторов это в разы больше геморроя писать это все, но так бы было гораздо интереснее имхо. Потом можно было б в заранее оговоренный момент выложить эту цмс и дать конкретное время на поиски. Ну и по результатам баг-репортов определять победителей.
Смотря какие будут баги =) Можно сделать временное ограничение пожестче. А первое место займет тот, кто первый пришлет наиболее полный баг-репорт. Нужно продумать все эти тонкости. Вообще конечно ты прав. Но если каждый будет выбирать себе движок сам, то уже можно идти ресерчить баги прямо сейчас (чем раньше начнешь тем больше найдешь) =)
Все правильно пишите, но в идеале лучше: 1. Набрать участников 2. По кол-ву участников распределить предварительно отобранные зелеными движки, в которых они точно знают есть уязвимости, раскрыть которые можно, обладая средним уровнем и которых по какой-то причине нет в паблике (ненагуглить) 3. Если таких движков найдется только 20 - значит и кол-во участников должно быть 20. Если одни и теже будут копать один и тот же двиг и находить одни и теже баги (заранее зная, что вероятно кто-то взял тот же двиг и найдет тоже самое теоретически) - то велика вероятность потери интереса к конкурсу вообще. Вот тогда будет и интересно, и наполнение уникальное и польза всем и стимул настоящий для участников - найти хоть один баг, которого нет в паблике (т.е. заранее оговорить, если найденный баг гуглится - нещиталово). И никаких совпадений даже теоретически. Вот это азарт и цель. Плюс отпадет (скорее всего) в большей части вероятность помощи со стороны (т.е. пока абсолютно непонятно, как будет вообще проверяться, что чел сам работал, а не закинул куда-нибудь и ему нашли, мейби и за деньги какие-то) PS: Просто рац предложение. Сам участвовать не буду из уважения к авторитетному мнению.
