Zróbmy coś razem
Zróbmy coś razem
Co wy na to, żeby stworzyć jakiś wspólny projekt? Oczywiście w celach edukacyjnych.
Osobiscie jestem wielkim fanem gier typu hackme, przerobilem juz wiekszosc tych uw-team'u niestety posiadaja one ta wade ze za bardzo skupiaja sie na matematyce a za malo na technikach wspolczesnego 'hackingu'.
Napisanie takiej 'gierki' to nie glupi pomysl, jakby ktos chcial sie przylaczyc to bym zyskal motywacje aby to stworzyc i gra zapewne byla by bardziej dopracowana(pomysly ludzi z roznych srodowisk, z roznymi doswiadczeniami).
Czy ktos jest zainteresowany ?
Osobiscie jestem wielkim fanem gier typu hackme, przerobilem juz wiekszosc tych uw-team'u niestety posiadaja one ta wade ze za bardzo skupiaja sie na matematyce a za malo na technikach wspolczesnego 'hackingu'.
Napisanie takiej 'gierki' to nie glupi pomysl, jakby ktos chcial sie przylaczyc to bym zyskal motywacje aby to stworzyc i gra zapewne byla by bardziej dopracowana(pomysly ludzi z roznych srodowisk, z roznymi doswiadczeniami).
Czy ktos jest zainteresowany ?
Re: Zróbmy coś razem
Ja bym bardziej pomyślał nad prostym CMSem posiadającym dziury wszelakie wraz z ich wykazem do wglądu. Taki system szkoleniowy webhackingowy. Coś podobnego do projektu Damn Vulnerable Web Application.
Re: Zróbmy coś razem
No tylko tu juz wiecej roboty bedzie Chyba, ze malymy kroczkami bedziemy to rozwijali. Np. Zaczniemy od prostych XSS w wyszukiwarce i/lub sql injecta z inputów.F3nix pisze:Ja bym bardziej pomyślał nad prostym CMSem posiadającym dziury wszelakie wraz z ich wykazem do wglądu. Taki system szkoleniowy webhackingowy. Coś podobnego do projektu Damn Vulnerable Web Application.
Re: Zróbmy coś razem
Zawsze można poszukać najprostszego CMS z otwartymi źródłami i licencją i przerobić wszelkie wejścia i dodać nowe podstrony jeśli czegoś nie da się wklepać. Nie chodzi by sam CMS działał, tylko żeby osoba trenująca sama na nim poszukała w różnych miejscach dziur lub zajrzała do ich wykazu. Praktyczne hackme
Re: Zróbmy coś razem
Jestem ZA! To jakies propozycje ?
Re: Zróbmy coś razem
W sumie najpierw trzeba by się zastanowić i sobie zgromadzić nazwę wszystkich podatności jakie chciałoby się wprowadzić do projektu. Nie mam na myśli tylko stwierdzenie SQL Injection tylko dla przykładu:
i płacze że nie działa. Brak im kreatywności w tym gdzie szukać luk, jak się wstrzelić i gdzie mogą być zwracane wyniki.
Tak samo wiele hackme jest sztucznych i nakazuje rozkminienie JavaScriptu w bez sensownym kodzie. Nie lepiej po prostu takie zadanie umieścić w takim dziurawym cmsie? Przykładowo walidacja kilku pól formularza na pewnej podstronie takiego skryptu może być po stronie klienta. Niech sama osoba trenująca wpadnie na to by zmodyfikować u siebie ten formularz w celu próby wstrzyknięcia innych rzeczy (XSS, SQL, itd).
To jest tylko moje zdanie i fajnie jakby cały ideologia też zachęcała do pisania exploitów prostych (nawet w php) pod ten cms w celach edukacyjnych i chwalenie się nimi na stronie projektu. Myślę że jeśli ktoś by pobawił się i napisał kilka to nie miałby problemu z odpaleniem każdego z sieci (tam często są literówki celowo wprowadzone).
- SQL Injection w parametrze GET
- SQL Injection w parametrze POST
- SQL Injection w wyświetlanym gdzieś z boku user agent
- SQL Injection w innych nagłówkach HTTP*
- SQL Injection w ciastkach
- blind SQL injection
- Zmiana wyników stronnicowania newsów na stronie
- Logowanie się bez poprawnych danych do panelu admina za pomocą SQL Injection (POST)
- Wstrzykiwanie się do logów administratora z przeglądarkami odwiedzających
itd.
Kod: Zaznacz cały
OR '1'='1' --
Tak samo wiele hackme jest sztucznych i nakazuje rozkminienie JavaScriptu w bez sensownym kodzie. Nie lepiej po prostu takie zadanie umieścić w takim dziurawym cmsie? Przykładowo walidacja kilku pól formularza na pewnej podstronie takiego skryptu może być po stronie klienta. Niech sama osoba trenująca wpadnie na to by zmodyfikować u siebie ten formularz w celu próby wstrzyknięcia innych rzeczy (XSS, SQL, itd).
To jest tylko moje zdanie i fajnie jakby cały ideologia też zachęcała do pisania exploitów prostych (nawet w php) pod ten cms w celach edukacyjnych i chwalenie się nimi na stronie projektu. Myślę że jeśli ktoś by pobawił się i napisał kilka to nie miałby problemu z odpaleniem każdego z sieci (tam często są literówki celowo wprowadzone).
Re: Zróbmy coś razem
Popieram, jak wroce z pracy to moze cos wymysle i rzuce kilka wlasnych propozycji co do wygladu tego CMSa .