Comments 19
Добавьте rss в todo list :)
Да, конечно, это довольно просто :)
А потом его к bugscollector.com/db/ прикрутите, pls? =)
Забирайте :)
bugscollector.com/rss/db/
bugscollector.com/rss/db/
Осталось прикрутить скрипты для автоматической проверки закрытия бага и потихоньку пилить на базе этого инструмент для автоматического поиска дыр из облака (включая те которые еще не раскрыты, нашли у Google, теперь проверим у Yandex). Еще дальше свой собственный crawler по всем сайтам в интернете, с отправкой ссылки на открытые дыры, которые можно посмотреть после регистрации на сайте и подтверждения владением домена = социальная сеть всех владельцев сайтов :) Т.к. известно кто и что использует через такую сеть проще разослать промежуточные обновления/патчи дыр напрямую от производителя. Конечно стоит ввести несколько этапов рассылки, в зависимости от уровня подписки крупные/средние/мелкие сайты и все остальные.
Прошу, сделайте submit формы по нажатию на Enter
Вообще, довольно странное понимание у авторов ресурса понятия 'bug'. Вот это, например, совсем не bug — AXFR-ответ является частью стандарта DNS (RFC-1035) и такое поведение сервера — есть полное соответствие вышеназванному стандарту.
Закрытие AXFR в целях безопасности мера во-первых, довольно сомнительная (но это вопрос для дискуссии), а во-вторых — чисто опциональная и применяться может и должна только в случае, если во-первых, AXFR не используется и во-вторых, в DNS содержится некая приватная информация. Бага здесь нет. Уязвимости в чистом виде (т.е. при условии отсутствия уязвимостей в сервисах, работащих на этих именах) — тоже.
Закрытие AXFR в целях безопасности мера во-первых, довольно сомнительная (но это вопрос для дискуссии), а во-вторых — чисто опциональная и применяться может и должна только в случае, если во-первых, AXFR не используется и во-вторых, в DNS содержится некая приватная информация. Бага здесь нет. Уязвимости в чистом виде (т.е. при условии отсутствия уязвимостей в сервисах, работащих на этих именах) — тоже.
На эту тему дискутировали в оригинальном топике.
То, что это стандарт — замечено верно. В тоже время AXFR — часть разведки при атаке. И это не только мое мнение, но и авторов книги Metasploit Penetration Testing Cookbook.
То, что это стандарт — замечено верно. В тоже время AXFR — часть разведки при атаке. И это не только мое мнение, но и авторов книги Metasploit Penetration Testing Cookbook.
Боже, храни идиотов, очень тебя прошу.
Во-первых, dnsmap и dns-brute (nse), конечно, придумали лохи просто потому, что axfr слишком просто.
Во-вторых, нет ничего приятней, чем найти открытый axfr на крупном портале. Логика: «ну никто же не догадается, что у нас есть такой поддомен, зачем закрывать его паролем» делает своё дело.
Напомню, когда мы опубликовали пост о 3300 сурсах, тот что второй в рейтинге за всё время хабра, яндекс внутри долго с пеной у рта доказывал, что это вовсе не баг.
Порой одна маленькая, малюсенькая, просто самая неочевидная уязвимушка открывает тебе простор для всего остального. Бывает, у тебя уже рут до базы, доступ к файловой системе, но ты не знаешь пути до сайта, не хватает самой примитивной ошибки или phpinfo, и ты брутишь как дурак с неделю.
Во-первых, dnsmap и dns-brute (nse), конечно, придумали лохи просто потому, что axfr слишком просто.
Во-вторых, нет ничего приятней, чем найти открытый axfr на крупном портале. Логика: «ну никто же не догадается, что у нас есть такой поддомен, зачем закрывать его паролем» делает своё дело.
Напомню, когда мы опубликовали пост о 3300 сурсах, тот что второй в рейтинге за всё время хабра, яндекс внутри долго с пеной у рта доказывал, что это вовсе не баг.
Порой одна маленькая, малюсенькая, просто самая неочевидная уязвимушка открывает тебе простор для всего остального. Бывает, у тебя уже рут до базы, доступ к файловой системе, но ты не знаешь пути до сайта, не хватает самой примитивной ошибки или phpinfo, и ты брутишь как дурак с неделю.
Тем временем…
1. Кнопка Edit Profile — не работает. Точнее открывается пустая страница.
2. Подтверждение сайта лучше сделать не txt файлом, а htm. У меня к примеру все txt запрещены в .htaccess. Пришлось отключать на время.
3. Не очень внятная регистрация/авторизация только через твиттер…
4. Предложение по функционалу: хорошо бы для вебмастеров реализовать галочку на согласие того, чтобы вебсайт попал в некий общий список для любителей «прощупать сайт на уязвимости». Т.е. сделать возможность тестирование сайта на предмет взлома. Вебмастер при этом получает платный или бесплатный тест на уязвимости, а тестировщик деньги от вебмастера, либо какие-то плюшки от сервиса — очки репутации, рейтинг и т.п. Думаю будет очень актуально.
5. Русский язык планируется? Для меня не актуально, но все же… как я понял сервис в основном для русскоязычного населения позиционируется
6. Хорошо бы еще прикрутить какой-нибудь сервис уведомлений об уязвимости в массовых скриптах (WP, phpBB и т.п.). Т.е. я в профиле выбрал используемые на моем сайте скрипты и буду получать соответствующие уведомления в случае их появления. В общем как на securitylab кажется. Только там реализация ИМХО немного кривая и неудобная
2. Подтверждение сайта лучше сделать не txt файлом, а htm. У меня к примеру все txt запрещены в .htaccess. Пришлось отключать на время.
3. Не очень внятная регистрация/авторизация только через твиттер…
4. Предложение по функционалу: хорошо бы для вебмастеров реализовать галочку на согласие того, чтобы вебсайт попал в некий общий список для любителей «прощупать сайт на уязвимости». Т.е. сделать возможность тестирование сайта на предмет взлома. Вебмастер при этом получает платный или бесплатный тест на уязвимости, а тестировщик деньги от вебмастера, либо какие-то плюшки от сервиса — очки репутации, рейтинг и т.п. Думаю будет очень актуально.
5. Русский язык планируется? Для меня не актуально, но все же… как я понял сервис в основном для русскоязычного населения позиционируется
6. Хорошо бы еще прикрутить какой-нибудь сервис уведомлений об уязвимости в массовых скриптах (WP, phpBB и т.п.). Т.е. я в профиле выбрал используемые на моем сайте скрипты и буду получать соответствующие уведомления в случае их появления. В общем как на securitylab кажется. Только там реализация ИМХО немного кривая и неудобная
Благодарю за комментарий!
1) Исправлено
2) Согласен, заменил
3) В todo лист добавлены другие сервисы + поступило много предложений сделать обычную, классическую регистрацию
4) Интересная идея! Что-то похожее есть на rdot :)
5) Русский язык не планируется
6) Вообще, еще до запуска на секлаб, я реализовывал такой сервис в кулуарах, именно как Вы и описали (но сервис не увидел паблика). На Секлабе не видел ещё, как реализовано. Думаю, могут объявить в плагиате, да и у меня с ними хорошие отношения, надо подумать :)
1) Исправлено
2) Согласен, заменил
3) В todo лист добавлены другие сервисы + поступило много предложений сделать обычную, классическую регистрацию
4) Интересная идея! Что-то похожее есть на rdot :)
5) Русский язык не планируется
6) Вообще, еще до запуска на секлаб, я реализовывал такой сервис в кулуарах, именно как Вы и описали (но сервис не увидел паблика). На Секлабе не видел ещё, как реализовано. Думаю, могут объявить в плагиате, да и у меня с ними хорошие отношения, надо подумать :)
upd: добавлена регистрация через Google
Проблема #3 — пример с ebay: bugscollector.com/db/members.ebay.com/24/
Добавьте пожалуйста другие варианты подтверждения владения сайтом. meta-тег на главной или доп. поле в dns. Файл в корне не всегда удобно создавать.
Sign up to leave a comment.
BugsCollector.com — все security баги в одном месте