Moderators Dragos Posted November 2, 2014 Moderators Report Posted November 2, 2014 Scurta descriereBug Area e o platforma unde poti cumpara sau vinde vulnerabilitati web gasite pe Internet.Ideea din spatele Bug Area a mai fost testata inainte sub pseudonimul "Bug Reports". Atunci, fiecare putea sa-si adauge vulnerabilitatea gasita si, dupa ce vulnerabilitatea era verificata de o persoana din staff, primea un punctaj calculat dupa urmatorul algoritm pagerank * scorul_categoriei_vulnerabitatii. De asemenea, primii 10 "hackeri" erau afisati in sidebar.Bug Area e un nou concept bazat pe Bug Reports pe ideea vanzarii de vulnerabilitati pentru a primi Credite, moneda interna a platformei. Cu aceste Credite se pot cumpara/debloca alte vulnerabilitati web postate de ceilalti.Dupa ce o vulnerabilitate a fost trimisa, ea este verificata de doua ori, o data de catre un Approver si a doua oara de catre un Moderator. Acest procedeu este necesar pentru a avea rezultate mai bune pe platforma.Navigand pe site, se pot vedea host-urile tuturor site-urilor in care s-au gasit vulnerabilitati si, dupa ce ati selectat una din ele, le puteti cumpara cu Credite. Creditele se vor due catre cel care a publicat vulnerabilitatea.Fiecare membru e responsabil pentru ceea ce cumpara, publica si cum foloseste informatia de pe platforma.DetaliiFiind in faza beta, fiecare membru care se inregistreaza va primi un numar de 100 de credite. Cu acestea se pot cumpara alte vulnerabilitati, in scopul testarii platformei. Cu aceasta ocazie, puteti testa platforma si raporta orice vulnerabilitate, eroare, bug catre dragos@bugarea.com sau PM pe platforma. Voi analiza fiecare bug in parte si voi acorda de la Credite pana la VIP.De asemenea, caut persoane dornice sa faca parte din Staff pentru aprobarea vulnerabilitatilor. Fiecare persoana care aproba o vulnerabilitate are acces automat la ea in cazul in care trece si de pasul doi.Faza finala a platformei va fi prezentata la DefCamp la sfarsitul lunii. Quote
dekeeu Posted November 2, 2014 Report Posted November 2, 2014 Dac? eu sunt de?in?torul site-ului XYZpul.acom ?i aflu c? pe platforma ta se vinde un RCE g?sit în site-ul meu, ?i eu fac plângere împotriva ta , cum î?i sus?ii nevinov??ia ?Fiecare membru e responsabil pentru ceea ce cumpara, publica si cum foloseste informatia de pe platforma.Nu cred c? asta ajunge, mai ales în RO. Dac? pic? 1 pic? mai to?i.Cred c? am avut ?i la noi pe forum un caz de genul ?sta, dac? vrei un exemplu concret. Quote
Moderators Dragos Posted November 2, 2014 Author Moderators Report Posted November 2, 2014 Este momentan in faza de implementat un sistem de bug bounty. Vii si iti pui site-ul in db si ai acces la toate vulnerabilitatile gasite in el, cu posibilitatea de a bloca noile vulnerabilitati pe o perioada setata de tine (pentru a avea timp sa o repari).Iti ofer posibilitatea asa sa vezi care e problema in site-ul tau. In rest, fiecare e raspunzator pentru ce face si se tin loguri pentru activitati pentru cazuri din astea. Quote
Elohim Posted November 3, 2014 Report Posted November 3, 2014 Urata cale ati ales de a merge inainte cu proiectul. Sub toate acele epitete si metafore, este un shop de site-uri vulnerabile.Nu asta e problema insa, ci maniera in care va expuneti cu acest site.NU te caci unde mananci. Quote
Nytro Posted November 3, 2014 Report Posted November 3, 2014 Sugestie: afiseaza si tu ceva inainte de a te inregistra, gen "Ultimele adaugate". Adica daca cineva nu e logat vede doar formularul de login si nu stie despre ce e vorba => o sa Alt + F4.Nota: Daca vrei sa vinzi asa ceva, trebuie sa le VERIFICI. Si asta inseamna ca cei care cumpara de pe site trebuie sa aiba incredere in tine."Vii si iti pui site-ul in db si ai acces la toate vulnerabilitatile gasite in el" - Atunci cum e, ca "atacator", sa vin sa postez vulnerabilitati gasite, cand owner-ul le vede si le repara? Quote
Moderators Dragos Posted November 3, 2014 Author Moderators Report Posted November 3, 2014 (edited) Sugestie: afiseaza si tu ceva inainte de a te inregistra, gen "Ultimele adaugate". Adica daca cineva nu e logat vede doar formularul de login si nu stie despre ce e vorba => o sa Alt + F4.Nota: Daca vrei sa vinzi asa ceva, trebuie sa le VERIFICI. Si asta inseamna ca cei care cumpara de pe site trebuie sa aiba incredere in tine."Vii si iti pui site-ul in db si ai acces la toate vulnerabilitatile gasite in el" - Atunci cum e, ca "atacator", sa vin sa postez vulnerabilitati gasite, cand owner-ul le vede si le repara?Iti pui xss-ul de Yahoo! spre exemplu, un approver si un moderator ti-l verifica si dupa apare in db. Daca il cumpara cineva care e webmaster acolo, asta e. O sa implementez un sistem de rating si de report in cazul in care nu mai merge.In legatura cu Ultimele adaugate, ideea e buna, sa vad si cum o implementez. @Elohim: Mersi de review. O sa schimb un pic algoritmul ca sa ramana in partea de legalitate. Edited November 3, 2014 by Dragos Quote
TheTime Posted November 3, 2014 Report Posted November 3, 2014 Esti destul de departe de "legalitate". Pana la urma tu vrei un black market, nu prea ai cum sa indulcesti lucrurile. Vanzarea bug-urilor de securitate nu este legala, iar tu te faci vinovat pentru ca permiti si promovezi astfel de activitati acolo. Apoi, te faci vinovat si cand "verifici" daca vulnerabilitatile postate sunt valide. Daca asta va fi abordarea ta, vei fi ridicat pe sus la prima reclamatie. Nu ma crede pe cuvant, consulta un avocat. E mai bine sa il consulti preventiv decat...Daca intradevar vrei o chestie legala, construieste ceva gen hackerone. Quote
Moderators Dragos Posted November 3, 2014 Author Moderators Report Posted November 3, 2014 (edited) Esti destul de departe de "legalitate". Pana la urma tu vrei un black market, nu prea ai cum sa indulcesti lucrurile. Vanzarea bug-urilor de securitate nu este legala, iar tu te faci vinovat pentru ca permiti si promovezi astfel de activitati acolo. Apoi, te faci vinovat si cand "verifici" daca vulnerabilitatile postate sunt valide. Daca asta va fi abordarea ta, vei fi ridicat pe sus la prima reclamatie. Nu ma crede pe cuvant, consulta un avocat. E mai bine sa il consulti preventiv decat...Daca intradevar vrei o chestie legala, construieste ceva gen hackerone.In ideea asta o sa-l transform.//Am blocat loginul pana dau drumul la update. Edited November 3, 2014 by Dragos Quote
Stealth Posted November 3, 2014 Report Posted November 3, 2014 1. T?inuire.2. Acces neautorizat.3. Ob?inerea ?i transferarea de informa?ii cu caracter privat.?i multe altele...La prima, ai belit-o.Iti ofer posibilitatea asa sa vezi care e problema in site-ul tau. In rest, fiecare e raspunzator pentru ce face si se tin loguri pentru activitati pentru cazuri din astea. Adic? Gheorghe o s? intre pe site-ul ?sta s? î?i verifice site-ul de vulnerabilit??i? Nu. Dac? îi se întâmpl? ceva vor avea mai pu?in de munc? cei de la ... c? ?tiu de unde s? îl ia pe atacator. Nu te l?sa orbit c? vei ob?ine acces la informa?ii de genul 0day, c? în balan?? cu libertatea ta e un c?cat. Quote
blech Posted November 3, 2014 Report Posted November 3, 2014 din punctul meu de vedere ceea ce are el seamana cu:Kevin Mitnick, Once the World's Most Wanted Hacker, Is Now Selling Zero-Day Exploits | WIRED Quote
Reckon Posted November 3, 2014 Report Posted November 3, 2014 Nu va mai legati de @TinKode Ce-i cu avataru ala? Te-ai pocait? Quote