Zróbmy coś razem

Wszystkie sprawy organizacyjne forum i bloga haker.edu.pl.
Kenjin
Ekipa HEP
Posty: 122
Rejestracja: 04 sty 2016, 22:10

Zróbmy coś razem

Post autor: Kenjin » 09 sty 2016, 23:56

Co wy na to, żeby stworzyć jakiś wspólny projekt? Oczywiście w celach edukacyjnych.
Osobiscie jestem wielkim fanem gier typu hackme, przerobilem juz wiekszosc tych uw-team'u niestety posiadaja one ta wade ze za bardzo skupiaja sie na matematyce a za malo na technikach wspolczesnego 'hackingu'.

Napisanie takiej 'gierki' to nie glupi pomysl, jakby ktos chcial sie przylaczyc to bym zyskal motywacje aby to stworzyc i gra zapewne byla by bardziej dopracowana(pomysly ludzi z roznych srodowisk, z roznymi doswiadczeniami).

Czy ktos jest zainteresowany ? :)

Awatar użytkownika
F3nix
Posty: 329
Rejestracja: 28 kwie 2015, 20:51

Re: Zróbmy coś razem

Post autor: F3nix » 10 sty 2016, 01:11

Ja bym bardziej pomyślał nad prostym CMSem posiadającym dziury wszelakie wraz z ich wykazem do wglądu. Taki system szkoleniowy webhackingowy. Coś podobnego do projektu Damn Vulnerable Web Application.

Kenjin
Ekipa HEP
Posty: 122
Rejestracja: 04 sty 2016, 22:10

Re: Zróbmy coś razem

Post autor: Kenjin » 10 sty 2016, 01:15

F3nix pisze:Ja bym bardziej pomyślał nad prostym CMSem posiadającym dziury wszelakie wraz z ich wykazem do wglądu. Taki system szkoleniowy webhackingowy. Coś podobnego do projektu Damn Vulnerable Web Application.
No tylko tu juz wiecej roboty bedzie :) Chyba, ze malymy kroczkami bedziemy to rozwijali. Np. Zaczniemy od prostych XSS w wyszukiwarce i/lub sql injecta z inputów.

Awatar użytkownika
F3nix
Posty: 329
Rejestracja: 28 kwie 2015, 20:51

Re: Zróbmy coś razem

Post autor: F3nix » 10 sty 2016, 01:33

Zawsze można poszukać najprostszego CMS z otwartymi źródłami i licencją i przerobić wszelkie wejścia i dodać nowe podstrony jeśli czegoś nie da się wklepać. Nie chodzi by sam CMS działał, tylko żeby osoba trenująca sama na nim poszukała w różnych miejscach dziur lub zajrzała do ich wykazu. Praktyczne hackme :D

Kenjin
Ekipa HEP
Posty: 122
Rejestracja: 04 sty 2016, 22:10

Re: Zróbmy coś razem

Post autor: Kenjin » 10 sty 2016, 01:48

Jestem ZA! To jakies propozycje ? :)

Awatar użytkownika
F3nix
Posty: 329
Rejestracja: 28 kwie 2015, 20:51

Re: Zróbmy coś razem

Post autor: F3nix » 11 sty 2016, 09:55

W sumie najpierw trzeba by się zastanowić i sobie zgromadzić nazwę wszystkich podatności jakie chciałoby się wprowadzić do projektu. Nie mam na myśli tylko stwierdzenie SQL Injection tylko dla przykładu:
  • SQL Injection w parametrze GET
  • SQL Injection w parametrze POST
  • SQL Injection w wyświetlanym gdzieś z boku user agent
  • SQL Injection w innych nagłówkach HTTP*
  • SQL Injection w ciastkach
  • blind SQL injection
Potem to zmapować na prawdopodobne zagrożenia na stronach www przykładowo:
  • Zmiana wyników stronnicowania newsów na stronie
  • Logowanie się bez poprawnych danych do panelu admina za pomocą SQL Injection (POST)
  • Wstrzykiwanie się do logów administratora z przeglądarkami odwiedzających
    itd.
Dobre są takie przemyślenia moim zdaniem, aby nie pisać czegoś sztucznego a w miarę przypominającego realną aplikacje. Najlepiej żeby poziomy różnych ataków były zróżnicowane. Bo potem większość kojarzy SQL Injection dla przykładu z:

Kod: Zaznacz cały

OR '1'='1' --
i płacze że nie działa. Brak im kreatywności w tym gdzie szukać luk, jak się wstrzelić i gdzie mogą być zwracane wyniki.

Tak samo wiele hackme jest sztucznych i nakazuje rozkminienie JavaScriptu w bez sensownym kodzie. Nie lepiej po prostu takie zadanie umieścić w takim dziurawym cmsie? Przykładowo walidacja kilku pól formularza na pewnej podstronie takiego skryptu może być po stronie klienta. Niech sama osoba trenująca wpadnie na to by zmodyfikować u siebie ten formularz w celu próby wstrzyknięcia innych rzeczy (XSS, SQL, itd).

To jest tylko moje zdanie i fajnie jakby cały ideologia też zachęcała do pisania exploitów prostych (nawet w php) pod ten cms w celach edukacyjnych i chwalenie się nimi na stronie projektu. Myślę że jeśli ktoś by pobawił się i napisał kilka to nie miałby problemu z odpaleniem każdego z sieci (tam często są literówki celowo wprowadzone).

Kenjin
Ekipa HEP
Posty: 122
Rejestracja: 04 sty 2016, 22:10

Re: Zróbmy coś razem

Post autor: Kenjin » 11 sty 2016, 10:40

Popieram, jak wroce z pracy to moze cos wymysle i rzuce kilka wlasnych propozycji co do wygladu tego CMSa :).

ODPOWIEDZ

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość