Se solicitan Pen-Testers para proyecto de software !

Iniciado por Diabliyo, 27 Enero 2011, 22:42 PM

0 Miembros y 3 Visitantes están viendo este tema.

Diabliyo

Buenas.

Tengo una plataforma web para marketing que quiero lanzar, pero antes de invertir en publicidad local, google y blogs, quiero primero confirmar mis expectativas de que la aplicación es segura.

Se invita a todo aquel con conocimientos de seguridad informática, técnicas de pen-test a que realicen una prueba de Hacking-Etico de tipo: BlackBox o GrayBox. Elegir entre Gray y Black ya es un gusto personal del interesado a participar.

Las Bases son:

1- Tener conocimientos en el tema y saberlos aplicar, esto no es para "aprender" o decir "yo le entro, pero no se sobre seguridad".
2- Ser ético y no revelar la información sino hasta después de haber pulido el error, ya pueden publicarlo en el Blog, etc... y con gusto también nosotros hacemos mención sobre su consultoría en nuestro blog.
3- Las pruebas de Hacking Etico (Pen-Test) se llevaran acabo el Viernes 4 de Febrero 2011, solo y únicamente ese día.
4- Se debe presentar un escrito sobre los fallos, detallando como se obtiene el error, una hipótesis del porque fue el fallo y recomendación de solución. No existe un limite máximo o mínimo de la dimensión del escrito.
5- El escrito debe ser en Arial 12, debe también llevar su nombre e e-mail y nacionalidad.
6- La recepción de los documentos resultantes serán del Sábado 5 Febrero al Lunes 7 Febrero.
7- Se hará un conteo de las vulnerabilidades encontradas y se elegirá de 1 hasta 3 ganadores, si existiesen casos donde cada uno encontrase vulnerabilidades que los otros no encontraron.
8- Se emitirán resultados finales trascurridos 3 días de la entrega de documentos, seria: Jueves 10 Febrero 2011.
9- Si los ganadores (o el ganador) así lo decide, podemos hacer publico el documento resultante de las vulnerabilidades (para que la comunidad siga aprendiendo).
10- Se hará mención publica mediante el Blog de nosotros y en este foro de los datos del ganador, este puede decidir si mencionar su nombre y nacionalidad o solamente su nickname.
11- El premio se hará entrega el día: Lunes 14 de Febrero.

La dirección del sitio que se pretender poner a prueba es:


El premio es:

- 12 meses de hosting gratuito.
- Cuenta para publicación en nuestro Blog.
- 1 Espacio para colocar banner en nuestro blog.
- 12 meses de publicidad en Turundus.

Los Pasos a Seguir son:

1- Posteas o comentas que estas interesado.
2- Envías por privado tu e-mail y que prueba quieres hacer, la de GrayBox o BlackBox.
3- El Viernes 4 de Febrero 2011 (fecha que inicia el hacking ético) se enviara el pb[documento PDF[/b] para el tipo de prueba que hayas elegido.
4- Hacer tu entrega como se mencionan las Bases.
5- Se entregan los ganadores, menciones y FIN.

LOS QUE QUIERAN ENTRARLE solo sigan los pasos mencionados... Las bases estarán abiertas hasta el Jueves 3 de Febrero del 2011.

Saludos !




==== NUEVA EDICION ===

Solo queda un dia, apurate en apuntarte.... Para ma~ana los que se alcanzaran a apuntar ya fueron los unicos, porque les estaremos enviando la documentacion para el tipo de Hacking Etico que elijieron, si se desidieron por BlackBox o GrayBox, entonces por defecto se les enviara la informacion para la BlackBox.

Paso a describir ambos tipo de Hacking Etico:

GrayBox
Consiste en que el auditado (turundus.net) proporcionara informacion de las variables, detalles de programacion, partes escenciales del sistema, campos en bases de datos, restricciones que tiene el sistema y dos cuentas de usuarios... Una cuenta del tipo 'usuario' y otra del tipo 'soporte', y se detallan mas cosas.
La finalidad es que esta informacion se use para vulnerar el sitio o poner en riesgo la informacion.

BlackBox
No se proporciona informacion alguna, mas el dominio web (turundus.net), el auditor debera buscar por sus propios medios como vulnerar el sitio.
En particular nosotros proporcionaremos solo informacion del sistema de registro, login y autentificacion de productos/servicios (lo que ofrecera el sitio).

Animo !

[hr

>>> Lista de Participantes <<<

- opportunity
- Sagrini
- SnakingMax

WHK


T0rete

#2
Si se trata de la pagina de reseller sie-etc.net solo decirte que no queda demasiado bien tener imagenes alojadas en tinypic. Un reseller por lo menos debe de ser capaz de alojar sus propias imágenes en su servidor.

Creo que esto esta mejor en hacking, si prefieres ponerlo en desarrollo web comentalo aquí.

kamsky

CitarWarning: htmlentities() expects parameter 1 to be string, array given in /home/content/d/i/a/diabliyo/html/lab/admin/desktop_functions.php on line 892
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!

kamsky

----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!

kamsky

http://lab.sie-group.net/admin  -> poco imaginativos con el nombre, no parece que haya filtro bruteforce

Citar
session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /home/content/d/i/a/diabliyo/html/lab/admin/area_work.php:24) in /home/content/d/i/a/diabliyo/html/lab/modulos/modulos.php on line 23
fatal error: Cannot redeclare acento() (previously declared in /home/content/d/i/a/diabliyo/html/lab/admin/desktop_functions.php:23) in /home/content/d/i/a/diabliyo/html/lab/admin/desktop_functions.php on line 26

CitarWarning: include() [function.include]: Failed opening 'admin/config.php' for inclusion (include_path='.:/usr/local/php5/lib/php') in /home/content/d/i/a/diabliyo/html/lab/modulos/modulos.php on line 25



----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!


Diabliyo

#7
Cita de: T0rete en 28 Enero 2011, 10:30 AM
Si se trata de la pagina de reseller sie-etc.net solo decirte que no queda demasiado bien tener imagenes alojadas en tinypic. Un reseller por lo menos debe de ser capaz de alojar sus propias imágenes en su servidor.

Creo que esto esta mejor en hacking, si prefieres ponerlo en desarrollo web comentalo aquí.

Hermano mencione: "Tengo una plataforma web para marketing", esto no tiene que ver con la URL de la empresa sie-group.net, esa no es una plataforma es una web de presentacion.

Y sobre las imagenes alojadas en tinypic, pues gracias por recordarme que estaban hay :D, porque acostumbramos usar ese sistema, solo que una vez que equivocadamente subimos una imagen que contenia la palabra PHP en mayusculas, noa bannearon la cuenta :S, sin razon alguna ni decir porque :S, y vaya que era una imagen fidedigna. Y respecto al web hosting, es reselling, prefiero consumir el servicio tinypic.

Y gracias por el consejo, vere si consumo mis recursos para almacenar mis PICs aunque no me agrade la idea xD, ya que tinypic da buen servicio.

Cita de: kamsky en 28 Enero 2011, 13:27 PM
http://lab.sie-group.net/admin  -> poco imaginativos con el nombre, no parece que haya filtro bruteforce

Ese dato es interesante, pero lastima que andas husmeando en el sitio incorrecto, la plataforma web de marketing no es mi blog.

Respecto a que no existe un filtro para el bruteforcing, es porque usamos un CMS propio y existen cosas por pulir, ya que hemos estado mas ocupados con los clientes que con lo nuestro :(.

Gracias por el dato... (por cierto, comparte la información a todos)

WHK

Se da una compensación, pero no es gratis.

opportunity
Claro, tomaremos en cuenta tu interes, sigue pendiente aqui !

=== YA HE COLOCADO LAS BASES Y PREMIOS EN EL PRIMER POST ===

kamsky

CitarFatal error: Call to undefined function is_admin() in /home/content/d/i/a/diabliyo/html/turundus/template/catalogio/cuerpo/menu.php on line 16[\quote]
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!

Diabliyo

#9
CitarFatal error: Call to undefined function is_admin() in /home/content/d/i/a/diabliyo/html/turundus/template/catalogio/cuerpo/menu.php on line 16

Hermano no puedes poner cualquier error de este tipo que encuentras, ya que en primera no explotan un bug solamente causa error debido a que invocaste directo el PHP llamado http://turundus.net/template/catalogio/cuerpo/menu.php y por eso el error.

Pero vaya, ese error no te da acceso root ni como un usuario del sistema, solo estas imprimiendo el menu que todo mundo puede ver solo que de una forma "mas fea".

OJO: no porque diga error quiere decir que ya encontraste un fallo, UN FALLO es algo que da acceso a informacion sensible, ya sea datos personales, acceso a una cuenta o a archivos de los usuarios.

Sigue intentando !...

P.D: no te ofendas, pero por favor trata de no ensuciar mucho el hilo, que tus posts no están ayudando a avanzar mucho y no me gustaría se hiciera GIGANTESCO el hilo con errores que no tienen caso.

Saludos !