Buenas.
Tengo una plataforma web para marketing que quiero lanzar, pero antes de invertir en publicidad local, google y blogs, quiero primero
confirmar mis expectativas de que la aplicación es segura.
Se invita a todo aquel con conocimientos de seguridad informática, técnicas de pen-test a que realicen una prueba de Hacking-Etico de tipo:
BlackBox o
GrayBox. Elegir entre Gray y Black ya es un gusto personal del interesado a participar.
Las Bases son:
1- Tener conocimientos en el tema y saberlos aplicar, esto no es para "aprender" o decir "yo le entro, pero no se sobre seguridad".
2- Ser ético y no revelar la información sino hasta después de haber pulido el error, ya pueden publicarlo en el Blog, etc... y con gusto también nosotros hacemos mención sobre su consultoría en nuestro blog.
3- Las pruebas de Hacking Etico (Pen-Test) se llevaran acabo el
Viernes 4 de Febrero 2011, solo y únicamente ese día.
4- Se debe presentar un escrito sobre los fallos, detallando como se obtiene el error, una hipótesis del porque fue el fallo y recomendación de solución. No existe un limite máximo o mínimo de la dimensión del escrito.
5- El escrito debe ser en Arial 12, debe también llevar su nombre e e-mail y nacionalidad.
6- La
recepción de los documentos resultantes serán del
Sábado 5 Febrero al
Lunes 7 Febrero.
7- Se hará un conteo de las vulnerabilidades encontradas y se elegirá de 1 hasta 3 ganadores, si existiesen casos donde cada uno encontrase vulnerabilidades que los otros no encontraron.
8- Se
emitirán resultados finales trascurridos
3 días de la entrega de documentos, seria:
Jueves 10 Febrero 2011.
9- Si los
ganadores (o el ganador) así lo decide, podemos hacer publico el documento resultante de las vulnerabilidades (para que la comunidad siga aprendiendo).
10- Se hará mención publica mediante el Blog de nosotros y
en este foro de los datos del ganador, este puede decidir si mencionar su nombre y nacionalidad o solamente su nickname.
11- El premio se hará entrega el día:
Lunes 14 de Febrero.
La dirección del sitio que se pretender poner a prueba es:
----> http://www.turundus.net <----
El premio es:
- 12 meses de hosting gratuito.
- Cuenta para publicación en nuestro Blog.
- 1 Espacio para colocar banner en nuestro blog.
- 12 meses de publicidad en Turundus.
Los Pasos a Seguir son:1- Posteas o comentas que estas interesado.
2- Envías por privado tu e-mail y
que prueba quieres hacer, la de GrayBox o BlackBox.
3- El
Viernes 4 de Febrero 2011 (fecha que inicia el hacking ético) se enviara el pb[documento PDF[/b] para el tipo de prueba que hayas elegido.
4- Hacer tu entrega como se mencionan las Bases.
5- Se entregan los ganadores, menciones y FIN.
LOS QUE QUIERAN ENTRARLE solo sigan los pasos mencionados... Las bases estarán
abiertas hasta el Jueves 3 de Febrero del 2011.
Saludos !
==== NUEVA EDICION ===
Solo queda un dia, apurate en apuntarte.... Para ma~ana los que se alcanzaran a apuntar ya fueron los unicos, porque les estaremos
enviando la documentacion para el tipo de Hacking Etico que elijieron, si se desidieron por BlackBox o GrayBox, entonces
por defecto se les enviara la informacion para la BlackBox.
Paso a describir ambos tipo de Hacking Etico:
GrayBoxConsiste en que el auditado (turundus.net) proporcionara informacion de las variables, detalles de programacion, partes escenciales del sistema, campos en bases de datos, restricciones que tiene el sistema y
dos cuentas de usuarios... Una cuenta del tipo 'usuario' y otra del tipo 'soporte', y se detallan mas cosas.
La finalidad es que esta informacion se use para vulnerar el sitio o poner en riesgo la informacion.
BlackBoxNo se proporciona informacion alguna, mas el dominio web (turundus.net), el auditor debera buscar por sus propios medios como vulnerar el sitio.
En particular nosotros proporcionaremos solo informacion del sistema de registro, login y autentificacion de productos/servicios (lo que ofrecera el sitio).
Animo !
[hr
>>> Lista de Participantes <<<- opportunity
- Sagrini
- SnakingMax
gratis o pago?
Si se trata de la pagina de reseller sie-etc.net solo decirte que no queda demasiado bien tener imagenes alojadas en tinypic. Un reseller por lo menos debe de ser capaz de alojar sus propias imágenes en su servidor.
Creo que esto esta mejor en hacking, si prefieres ponerlo en desarrollo web comentalo aquí.
CitarWarning: htmlentities() expects parameter 1 to be string, array given in /home/content/d/i/a/diabliyo/html/lab/admin/desktop_functions.php on line 892
http://www.google.es/#hl=es&biw=1152&bih=699&q=Apache%2F1.3.33+vuln&aq=f&aqi=&aql=&oq=&fp=baf5ffa21fbcf137
http://lab.sie-group.net/admin -> poco imaginativos con el nombre, no parece que haya filtro bruteforce
Citar
session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /home/content/d/i/a/diabliyo/html/lab/admin/area_work.php:24) in /home/content/d/i/a/diabliyo/html/lab/modulos/modulos.php on line 23
fatal error: Cannot redeclare acento() (previously declared in /home/content/d/i/a/diabliyo/html/lab/admin/desktop_functions.php:23) in /home/content/d/i/a/diabliyo/html/lab/admin/desktop_functions.php on line 26
CitarWarning: include() [function.include]: Failed opening 'admin/config.php' for inclusion (include_path='.:/usr/local/php5/lib/php') in /home/content/d/i/a/diabliyo/html/lab/modulos/modulos.php on line 25
hey!! a mi me interesa.
Cita de: T0rete en 28 Enero 2011, 10:30 AM
Si se trata de la pagina de reseller sie-etc.net solo decirte que no queda demasiado bien tener imagenes alojadas en tinypic. Un reseller por lo menos debe de ser capaz de alojar sus propias imágenes en su servidor.
Creo que esto esta mejor en hacking, si prefieres ponerlo en desarrollo web comentalo aquí.
Hermano mencione:
"Tengo una plataforma web para marketing", esto no tiene que ver con la URL de la empresa
sie-group.net, esa no es una
plataforma es una web de presentacion.
Y sobre las
imagenes alojadas en tinypic, pues gracias por recordarme que estaban hay :D, porque acostumbramos usar ese sistema, solo que una vez que
equivocadamente subimos una imagen que contenia la palabra PHP en mayusculas, noa bannearon la cuenta :S, sin razon alguna ni decir porque :S, y vaya que era una imagen fidedigna. Y respecto al web hosting, es reselling, prefiero consumir el servicio tinypic.
Y gracias por el consejo, vere si consumo mis recursos para almacenar mis PICs aunque no me agrade la idea xD, ya que tinypic da buen servicio.
Cita de: kamsky en 28 Enero 2011, 13:27 PM
http://lab.sie-group.net/admin -> poco imaginativos con el nombre, no parece que haya filtro bruteforce
Ese dato es interesante, pero lastima que andas husmeando en el sitio incorrecto, la
plataforma web de marketing no es mi blog.
Respecto a que no existe un filtro para el bruteforcing, es porque usamos un CMS propio y existen cosas por pulir, ya que hemos estado mas ocupados con los clientes que con lo nuestro :(.
Gracias por el dato... (por cierto, comparte la información a todos)
WHKSe da una compensación, pero no es gratis.
opportunityClaro, tomaremos en cuenta tu interes, sigue pendiente aqui !
=== YA HE COLOCADO LAS BASES Y PREMIOS EN EL PRIMER POST ===
CitarFatal error: Call to undefined function is_admin() in /home/content/d/i/a/diabliyo/html/turundus/template/catalogio/cuerpo/menu.php on line 16[\quote]
CitarFatal error: Call to undefined function is_admin() in /home/content/d/i/a/diabliyo/html/turundus/template/catalogio/cuerpo/menu.php on line 16
Hermano no puedes poner cualquier error de este tipo que encuentras, ya que en primera
no explotan un bug solamente causa error debido a que invocaste directo el PHP llamado
http://turundus.net/template/catalogio/cuerpo/menu.php y por eso el error.
Pero vaya, ese error no te da acceso root ni como un usuario del sistema, solo estas imprimiendo el menu que
todo mundo puede ver solo que de una forma "mas fea".
OJO: no porque diga error quiere decir que ya encontraste un fallo,
UN FALLO es algo que da acceso a informacion sensible, ya sea datos personales, acceso a una cuenta o a archivos de los usuarios.
Sigue intentando !...
P.D: no te ofendas, pero por favor trata de no ensuciar mucho el hilo, que tus posts no están ayudando a avanzar mucho y no me gustaría se hiciera GIGANTESCO el hilo con errores que no tienen caso.
Saludos !
No te ofendas tu pero te esta mostrando un Full path disclosure. Lo que no va a hacer es mostrar en público una vulnerabilidad grave.
Le estas intentando dar lecciones a un auditor profesional :xD me parto de risa
Cita de: T0rete en 29 Enero 2011, 20:24 PM
No te ofendas tu pero te esta mostrando un Full path disclosure. Lo que no va a hacer es mostrar en público una vulnerabilidad grave.
Le estas intentando dar lecciones a un auditor profesional :xD me parto de risa
concuerdo totalmente, es un auditor pro, y te mostrara algo para que vayas viendo, acceso root intentare obtenerlo hoy esta noche,ahorita estoy dsd el cel.
Entonces ya somos dos auditores que nos entendemos.
Y pues respecto a mi opinión, no veo que sea un FPD ya que un FPD se consigue mediante load_file() en SQL inyection y mediante inclusión de archivo, cuando el programador hacer algo así:
if( $_GET["var"] )
include($_GET["var"]. '.php');
Y ese error que veo es solo un problema al llamar la funcion is_admin() ya que no la encuentra definida, y esto porque se accedió al archivo PHP en directo, vaya, se perdieron los otros include(); esenciales para que las funciones se reconozcan.
jpmo4 con gusto esperamos que accedas como root, para eso es este proyecto y se hizo publico el post.
Por favor si piensan seguir invirtiendo tiempo, minimo digan si entraran a participar.
Saludos !
caray como quisiera estar frente a mi pc ahorita, tbn soy Auditor. Corroborare ambos testeos si es que no modificaste el php claro. Salu2
Si ves el path completo de los scripts hasta el home es un FPD de libro y si, puede mostrarse sin SQL query.
Bueno.
Si es un FPD lo importante es que sea explotable y si este FPD permite a usuarios mlaintencionados acceder a informacion sensible, entonces los invito a explotar el bug, documentar el dato y participar.
jpmo4 los PHP no se tocan el sitio ya esta semi-publico, vaya, hicimos este posting para comprobar la seguridad antes de hacerlo 100% publico y levantar toda la campa~a para dar a conocer el sitio.
saludos !
Yo me apunto, veremos como va esto... Luego modifico con lo que vaya viendo...
jajaja, me parto, tu eres auditor y confundes un path disclosure con LFI o RFI... en fín, no tengo mucho tiempo y como comprenderás no voy a dedicarlo a auditarte tu Web gratuitamente, simplemente trasteé 5 minutos en tu CMS y aunque muy "bonito" hablando de seguridad es un coladero... y esta Web pues más de lo mismo
Cita de: kamsky en 30 Enero 2011, 15:13 PM
jajaja, me parto, tu eres auditor y confundes un path disclosure con LFI o RFI... en fín, no tengo mucho tiempo y como comprenderás no voy a dedicarlo a auditarte tu Web gratuitamente, simplemente trasteé 5 minutos en tu CMS y aunque muy "bonito" hablando de seguridad es un coladero... y esta Web pues más de lo mismo
Cual CMS ?, solo tengo un CMS y es con el que esta basado el Blog,
mas no el sitio Turundus.... Además quien dijo que el CMS que esta en la web lo tengo actualizado ? es un código que esta desde el 2009 a poco no piensas que el codigo que bajaste esta des-actualizado ?... Si te estas basando en los fallos del CMS que esta en la web (descargable) entonces pierdes tu tiempo en vano, se ha mejorado bastante.
Me imagino que como
ya no pudiste seguir con el reto ahora comentas para evadir el echo que ya no pudiste !... Lastima, este es un reto
para demostrar y no parta dimes y diretes.
Y sobre FPD yo he mencionado el concepto correcto y forma correcta, que claro, si
no sabes mediante un LFI se puede hacer FPD, ya que en si, el
objetivo es el
Descubrimiento del Path. Y claro que se como funciona un LFI/RFI, hasta podría darte clases amigo... En fin, gracias por participar, terminaste muy rápido.... Otros van mas avanzados !
Vamos haciendo esto amigo
kamsky, si en realidad eres un Auditor voy a proponerte algo...
Si vulneras Turundus.net, armas una bitácora y me presentas
tus credenciales de Auditor Profesional te doy
50 USD. De lo contrario solo participas por el premio que esta posteado.
Entiéndase por
credenciales de Auditor algún documento valido, legal y respaldado por una institución competente que eres Auditor.
Saludos !....
Me apunto tambien ^.^
jajajaja, no tengo que demostarte nada a tí ni a nadie, y repito, pretendes que te hagan una auditoría por 50 dólares!?!?!? jajaja, ahí es donde demuestras que no tienes NI IDEEEEEEEEEA del tema, si de verdad conocieses algo sabrías lo que se paga por esto, así que como te digo, no voy a perder más el tiempo con tu web, ya que mañana tengo que ir a TRABAJAR y me PAGAN por hacer lo que tu quieres gratis... ;)
p.d.: "si no sabes mediante un LFI se puede hacer FPD, ya que en si, el objetivo es el Descubrimiento del Path", jajaja, si, será cierto, que tu usas un LFI para descubrir el path... en fin serafín.
Cita de: kamsky en 30 Enero 2011, 21:40 PM
jajajaja, no tengo que demostarte nada a tí ni a nadie, y repito, pretendes que te hagan una auditoría por 50 dólares!?!?!? jajaja, ahí es donde demuestras que no tienes NI IDEEEEEEEEEA del tema, si de verdad conocieses algo sabrías lo que se paga por esto, así que como te digo, no voy a perder más el tiempo con tu web, ya que mañana tengo que ir a TRABAJAR y me PAGAN por hacer lo que tu quieres gratis... ;)
p.d.: "si no sabes mediante un LFI se puede hacer FPD, ya que en si, el objetivo es el Descubrimiento del Path", jajaja, si, será cierto, que tu usas un LFI para descubrir el path... en fin serafín.
Bueno esto es un ciclo interminable, y sobre el
costo claro que se cuanto se cobra, pero si fuese el caso, no hubiera puesto el post y otra historia seria.
Hay para la otra, saludos !....
SnakingMax ya estas apuntado en la lista....
Saludos !
CitarSi es un FPD lo importante es que sea explotable ...
Hay una confusion. Como el nombre lo dice "Full Path Disclosure" donde "Disclosure" se traduce a "revelación". FPD es una vulnerabilidad por la cual se revela la ruta en el sistema de archivos del servidor Web.
Un FPD no se explota, tan sólo es eso, una revelación de información y claro que es un bug.
LFI y RFI son otras cosas.
Saludos
Animo !...
Se ha actualizado el hilo, lean las novedades para que se apuren en apuntarse !
El target está caído.
Saludos
Cita de: SnakingMax en 4 Febrero 2011, 06:58 AM
El target está caído.
Saludos
No... Si esta en linea:
http://turundus.net/ checalo bien !
Saludos !
-- editado ---
test
123456789
No iban a ser cuentas unicas por usuario?
Cita de: opportunity en 4 Febrero 2011, 08:58 AM
No iban a ser cuentas unicas por usuario?
Te la puedes crear tu mismo... Solo que se les proporciono una para que no hagan el proceso de registro (ahorrarles tiempo).
Animo !... Aun todo el dia de
hoy se estara tomando en cuenta la prueba, tienen hasta el ultimo dia que se da para entregar los documentos finales (sus resultados).
Saludos !
Se confirma que pueden cerrar el tema, el concurso finalizo.....
Resultados, nadie encontro bugs ni reporto fallos algunos !...