Jump to content
Dragos

bugarea.com - o platforma pentru vulnerabilitati web

By Dragos, in Stiri securitate

Recommended Posts

  • Moderators
Dragos Collaborator

Dragos

Posted
  • Moderators
Posted

Scurta descriere

Bug Area e o platforma unde poti cumpara sau vinde vulnerabilitati web gasite pe Internet.

Ideea din spatele Bug Area a mai fost testata inainte sub pseudonimul "Bug Reports". Atunci, fiecare putea sa-si adauge vulnerabilitatea gasita si, dupa ce vulnerabilitatea era verificata de o persoana din staff, primea un punctaj calculat dupa urmatorul algoritm pagerank * scorul_categoriei_vulnerabitatii. De asemenea, primii 10 "hackeri" erau afisati in sidebar.

Bug Area e un nou concept bazat pe Bug Reports pe ideea vanzarii de vulnerabilitati pentru a primi Credite, moneda interna a platformei. Cu aceste Credite se pot cumpara/debloca alte vulnerabilitati web postate de ceilalti.

Dupa ce o vulnerabilitate a fost trimisa, ea este verificata de doua ori, o data de catre un Approver si a doua oara de catre un Moderator. Acest procedeu este necesar pentru a avea rezultate mai bune pe platforma.

Navigand pe site, se pot vedea host-urile tuturor site-urilor in care s-au gasit vulnerabilitati si, dupa ce ati selectat una din ele, le puteti cumpara cu Credite. Creditele se vor due catre cel care a publicat vulnerabilitatea.

Fiecare membru e responsabil pentru ceea ce cumpara, publica si cum foloseste informatia de pe platforma.

Detalii

Fiind in faza beta, fiecare membru care se inregistreaza va primi un numar de 100 de credite. Cu acestea se pot cumpara alte vulnerabilitati, in scopul testarii platformei.

Cu aceasta ocazie, puteti testa platforma si raporta orice vulnerabilitate, eroare, bug catre dragos@bugarea.com sau PM pe platforma. Voi analiza fiecare bug in parte si voi acorda de la Credite pana la VIP.

De asemenea, caut persoane dornice sa faca parte din Staff pentru aprobarea vulnerabilitatilor. Fiecare persoana care aproba o vulnerabilitate are acces automat la ea in cazul in care trece si de pasul doi.

Faza finala a platformei va fi prezentata la DefCamp la sfarsitul lunii.

Link to comment
Share on other sites
dekeeu Newbie

dekeeu

Posted
Posted

Dac? eu sunt de?in?torul site-ului XYZpul.acom ?i aflu c? pe platforma ta se vinde un RCE g?sit în site-ul meu, ?i eu fac plângere împotriva ta , cum î?i sus?ii nevinov??ia ?


Fiecare membru e responsabil pentru ceea ce cumpara, publica si cum foloseste informatia de pe platforma.

Nu cred c? asta ajunge, mai ales în RO. Dac? pic? 1 pic? mai to?i.

Cred c? am avut ?i la noi pe forum un caz de genul ?sta, dac? vrei un exemplu concret.

Link to comment
Share on other sites
  • Moderators
Dragos Collaborator

Dragos

Posted
  • Author
  • Moderators
Posted

Este momentan in faza de implementat un sistem de bug bounty. Vii si iti pui site-ul in db si ai acces la toate vulnerabilitatile gasite in el, cu posibilitatea de a bloca noile vulnerabilitati pe o perioada setata de tine (pentru a avea timp sa o repari).

Iti ofer posibilitatea asa sa vezi care e problema in site-ul tau. In rest, fiecare e raspunzator pentru ce face si se tin loguri pentru activitati pentru cazuri din astea.

Link to comment
Share on other sites
Nytro Mentor

Nytro

Posted
Posted

Sugestie: afiseaza si tu ceva inainte de a te inregistra, gen "Ultimele adaugate". Adica daca cineva nu e logat vede doar formularul de login si nu stie despre ce e vorba => o sa Alt + F4.

Nota: Daca vrei sa vinzi asa ceva, trebuie sa le VERIFICI. Si asta inseamna ca cei care cumpara de pe site trebuie sa aiba incredere in tine.

"Vii si iti pui site-ul in db si ai acces la toate vulnerabilitatile gasite in el" - Atunci cum e, ca "atacator", sa vin sa postez vulnerabilitati gasite, cand owner-ul le vede si le repara?

Link to comment
Share on other sites
  • Moderators
Dragos Collaborator

Dragos

Posted
  • Author
  • Moderators
Posted (edited)
Sugestie: afiseaza si tu ceva inainte de a te inregistra, gen "Ultimele adaugate". Adica daca cineva nu e logat vede doar formularul de login si nu stie despre ce e vorba => o sa Alt + F4.

Nota: Daca vrei sa vinzi asa ceva, trebuie sa le VERIFICI. Si asta inseamna ca cei care cumpara de pe site trebuie sa aiba incredere in tine.

"Vii si iti pui site-ul in db si ai acces la toate vulnerabilitatile gasite in el" - Atunci cum e, ca "atacator", sa vin sa postez vulnerabilitati gasite, cand owner-ul le vede si le repara?

Iti pui xss-ul de Yahoo! spre exemplu, un approver si un moderator ti-l verifica si dupa apare in db. Daca il cumpara cineva care e webmaster acolo, asta e. O sa implementez un sistem de rating si de report in cazul in care nu mai merge.

In legatura cu Ultimele adaugate, ideea e buna, sa vad si cum o implementez.

@Elohim: Mersi de review. O sa schimb un pic algoritmul ca sa ramana in partea de legalitate.

Edited by Dragos
Link to comment
Share on other sites
TheTime Newbie

TheTime

Posted
Posted

Esti destul de departe de "legalitate". Pana la urma tu vrei un black market, nu prea ai cum sa indulcesti lucrurile. Vanzarea bug-urilor de securitate nu este legala, iar tu te faci vinovat pentru ca permiti si promovezi astfel de activitati acolo. Apoi, te faci vinovat si cand "verifici" daca vulnerabilitatile postate sunt valide. Daca asta va fi abordarea ta, vei fi ridicat pe sus la prima reclamatie. Nu ma crede pe cuvant, consulta un avocat. E mai bine sa il consulti preventiv decat...

Daca intradevar vrei o chestie legala, construieste ceva gen hackerone.

Link to comment
Share on other sites
  • Moderators
Dragos Collaborator

Dragos

Posted
  • Author
  • Moderators
Posted (edited)
Esti destul de departe de "legalitate". Pana la urma tu vrei un black market, nu prea ai cum sa indulcesti lucrurile. Vanzarea bug-urilor de securitate nu este legala, iar tu te faci vinovat pentru ca permiti si promovezi astfel de activitati acolo. Apoi, te faci vinovat si cand "verifici" daca vulnerabilitatile postate sunt valide. Daca asta va fi abordarea ta, vei fi ridicat pe sus la prima reclamatie. Nu ma crede pe cuvant, consulta un avocat. E mai bine sa il consulti preventiv decat...

Daca intradevar vrei o chestie legala, construieste ceva gen hackerone.

In ideea asta o sa-l transform.

//Am blocat loginul pana dau drumul la update.

Edited by Dragos
Link to comment
Share on other sites
Stealth Newbie

Stealth

Posted
Posted

1. T?inuire.

2. Acces neautorizat.

3. Ob?inerea ?i transferarea de informa?ii cu caracter privat.

?i multe altele...

La prima, ai belit-o.

Iti ofer posibilitatea asa sa vezi care e problema in site-ul tau. In rest, fiecare e raspunzator pentru ce face si se tin loguri pentru activitati pentru cazuri din astea.

Adic? Gheorghe o s? intre pe site-ul ?sta s? î?i verifice site-ul de vulnerabilit??i? Nu. Dac? îi se întâmpl? ceva vor avea mai pu?in de munc? cei de la ... c? ?tiu de unde s? îl ia pe atacator. :))

Nu te l?sa orbit c? vei ob?ine acces la informa?ii de genul 0day, c? în balan?? cu libertatea ta e un c?cat.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing
×
×
  • Create New...