Open Bug Bounty. Ne sapete qualcosa?

[Dieguito]

Se il problema è solo questo disabilità i commenti e sei a posto

Inviato dal mio Mi A2 Lite utilizzando Tapatalk

Potrei farlo per un periodo, finché non trovo la soluzione, però ci sarebbe sempre il modulo di login, che, anche se per ora il mio sito non prevede la possibilità di registrarsi, serve a me per accedere al pannello di amministrazione.

[True User of Liberty]

Potrei farlo per un periodo, finché non trovo la soluzione, però ci sarebbe sempre il modulo di login, che, anche se per ora il mio sito non prevede la possibilità di registrarsi, serve a me per accedere al pannello di amministrazione.

Se il login è su indirizzo specifico tipo sito.it/login.php

Puoi bloccare la pagina lato server con filtro ip o un'altro username e password

Inviato dal mio Mi A2 Lite utilizzando Tapatalk

[Dieguito]

Se il login è su indirizzo specifico tipo sito.it/login.php

Puoi bloccare la pagina lato server con filtro ip o un'altro username e password

Inviato dal mio Mi A2 Lite utilizzando Tapatalk

Posso farlo tranquillamente via htaccess, consentendo l'accesso solo al mio IP, per esempio. Intanto ho scritto al responsabile in capo dello sviluppo del CMS, probabilmente troveranno un fix entro tre mesi. Spero. 

[Ford Perfect]

non credo sia un fatto di spillare soldi. I security researcher esistono davvero, a voler puntualizzare gli hacker che puntano al ritorno economico o alla frode sono cracker, infatti l'hacker nominalmente sarebbe quello che sblocca programmi o servizi per renderli free.

detto questo probabilmente ti hanno contattato insieme a altri utilizzatori della medesima piattaforma e probabilmente i developer già ne sono al corrente. a meno che la piattaforma non abbia aggiornamenti che tu hai ignorato, in quel caso ti basterà forse aggiornare

[Dieguito]

non credo sia un fatto di spillare soldi. I security researcher esistono davvero, a voler puntualizzare gli hacker che puntano al ritorno economico o alla frode sono cracker, infatti l'hacker nominalmente sarebbe quello che sblocca programmi o servizi per renderli free.

detto questo probabilmente ti hanno contattato insieme a altri utilizzatori della medesima piattaforma e probabilmente i developer già ne sono al corrente. a meno che la piattaforma non abbia aggiornamenti che tu hai ignorato, in quel caso ti basterà forse aggiornare

Ho parlato con lo sviluppatore capo e mi ha detto che loro non ne sanno niente. In realtà avevo la penultima versione del CMS, ho aggiornato oggi, ma lui dice che non gli risultano applicate patch per questo tipo di vulnerabilità. È un piccolo progetto open source Ford, gli sviluppatori sono pochi e ci si dedicano part time.
Mi hanno chiesto di contattare il security researcher per avere qualche dettaglio in cambio di un riconoscimento nel change log della prossima versione.
Gli ho scritto stamattina ma ancora non mi ha risposto.

Comunque questi SR sono figure quantomeno ambigue, perché di sicuro lo fanno per soldi, ma attraverso una piattaforma senza scopo di lucro che dichiara come motto "make internet a safer place".

M

[Ford Perfect]

guarda, al 90% so ragazzini con la passione per sta roba, poi come tutti gli appassionati se ci esce un lavoro o un gruzzolo non ci sputano sopra, ma l'intento per molti gruppi è davvero il safer place, magari beccando un ingaggio da qualche entità commerciale che vuole essere verificata e ritrova tra quelli un nome di un "professionista". Insomma segnalare e non monetizzare per loro ha la doppia funzione, ideologica e fa curriculum perchè l'azienda istintivamente si affida più volentieri all'hacker etico, anche se poi magari ha semplicemente un nick diverso per le attività non etiche.....
Infatti pure il developer ti ha detto di chiedere info ed è facile che ne avrai e lui sarà felicissimo del riconoscimento in change log, che fa cv, dal momento che se risolvono il bug della sua segnalazione non resterebbe più nulla.

[Dieguito]

Sono sostanzialmente d'accordo, ma resta qualche ombra, perché se davvero fossero mossi dall'ideale puro del "safer place" rivelerebbero subito all'amministratore del sito i dettagli della vulnerabilità, magari offrendo anche il loro aiuto per trovare una patch, monetizzando se possibile. Invece i dettagli restano nascosti, con la velata minaccia di renderli pubblici dopo 90 giorni.

Questo a me pare un gentile ricatto:
"A security researcher can delete the report before public disclosure, afterwards the report cannot be deleted or modified anymore. The researcher can also postpone public disclosure date as long as reasonably required to remediate the vulnerability".

[Ford Perfect]

Sono sostanzialmente d'accordo, ma resta qualche ombra, perché se davvero fossero mossi dall'ideale puro del "safer place" rivelerebbero subito all'amministratore del sito i dettagli della vulnerabilità, magari offrendo anche il loro aiuto per trovare una patch, monetizzando se possibile. Invece i dettagli restano nascosti, con la velata minaccia di renderli pubblici dopo 90 giorni.

Questo a me pare un gentile ricatto:
"A security researcher can delete the report before public disclosure, afterwards the report cannot be deleted or modified anymore. The researcher can also postpone public disclosure date as long as reasonably required to remediate the vulnerability".

beh ma 90 giorni è un tempo ragionevole e la minaccia è di una pubblicazione irrevocabile, non un attacco al sito, considerato che mancano elementi di interesse potrebbe anche non cacarti nessuno e togliendo la pubblicazione dal controllo dell'hacker sei anche al "sicuro" da ricatti successivi, visto che sai che il researcher non potrà più eliminare quella entry e quindi non potrà richiedere pagamenti in quell'ottica.
Ovviamente la cosa non è del tutto pulita, ma concettualmente è: "sistema sta cosa, se non sai farlo paga qualcuno, se non sai chi pagare paga il researcher. se non lo fai nulla succede salvo che la pubblicazione della tua falla nel nostro bollettino delle falle", cosa che ovviamente implica notevoli problemi potenziali per cui difficilmente li si ignora, ma sperare che quello ti regali anche il suo tempo per risolvere mi pare francamente utopistico e irragionevole. è come se i pompieri oltre a intimare i lavori urgenti alle facciate dovesso anche farli

[Dieguito]

beh ma 90 giorni è un tempo ragionevole e la minaccia è di una pubblicazione irrevocabile, non un attacco al sito, considerato che mancano elementi di interesse potrebbe anche non cacarti nessuno e togliendo la pubblicazione dal controllo dell'hacker sei anche al "sicuro" da ricatti successivi, visto che sai che il researcher non potrà più eliminare quella entry e quindi non potrà richiedere pagamenti in quell'ottica.
Ovviamente la cosa non è del tutto pulita, ma concettualmente è: "sistema sta cosa, se non sai farlo paga qualcuno, se non sai chi pagare paga il researcher. se non lo fai nulla succede salvo che la pubblicazione della tua falla nel nostro bollettino delle falle", cosa che ovviamente implica notevoli problemi potenziali per cui difficilmente li si ignora, ma sperare che quello ti regali anche il suo tempo per risolvere mi pare francamente utopistico e irragionevole. è come se i pompieri oltre a intimare i lavori urgenti alle facciate dovesso anche farli

No no, mi sono spiegato male. Non mi aspetto che quello mi regali il suo tempo per risolvere il problema, mi aspetto che mi dica quale sia il problema. Probabilmente lo farà pure, anche se non mi ha ancora risposto. Per il resto mi sono fatto la stessa idea tua.

[Ford Perfect]

No no, mi sono spiegato male. Non mi aspetto che quello mi regali il suo tempo per risolvere il problema, mi aspetto che mi dica quale sia il problema. Probabilmente lo farà pure, anche se non mi ha ancora risposto. Per il resto mi sono fatto la stessa idea tua.

Si, con la promessa di finire in change log anche secondo me si metterà a disposizione

[Dieguito]

Infatti si sta risolvendo tutto per il meglio. Il tipo mi ha scritto, molto serio e professionale. Io lo avevo contattato da un indirizzo di posta generico, lui mi ha detto che mi avrebbe mandato i dettagli della falla, ma che preferiva mandarli a una casella email del mio nome a dominio. Giusta precauzione da parte sua, perché avrebbe potuto scrivergli un malintenzionato qualunque che volesse usare la vulnerabilità per hackerarmi il sito.
Quindi gli ho detto di scrivermi ad admin@miodominio.it, e subito dopo mi ha risposto con tutte le info necessarie, mettendosi a disposizione in caso mi servisse aiuto per risolvere il problema. Insomma, un modo intelligente e utile per cercare lavoro. Io gli ho detto che avrei girato le info agli sviluppatori del CMS e poi gli avrei fatto sapere. Di sicuro avrà una menzione sul sito di Zenphoto e un rating positivo da parte mia sulla piattaforma. Anche perché la falla che ha trovato è piuttosto pericolosa. Comunque il capoccia di Zenphoto ha già capito come risolvere e probabilmente già domani distribuirà la patch.

[Ford Perfect]

Infatti si sta risolvendo tutto per il meglio. Il tipo mi ha scritto, molto serio e professionale. Io lo avevo contattato da un indirizzo di posta generico, lui mi ha detto che mi avrebbe mandato i dettagli della falla, ma che preferiva mandarli a una casella email del mio nome a dominio. Giusta precauzione da parte sua, perché avrebbe potuto scrivergli un malintenzionato qualunque che volesse usare la vulnerabilità per hackerarmi il sito.
Quindi gli ho detto di scrivermi ad admin@miodominio.it, e subito dopo mi ha risposto con tutte le info necessarie, mettendosi a disposizione in caso mi servisse aiuto per risolvere il problema. Insomma, un modo intelligente e utile per cercare lavoro. Io gli ho detto che avrei girato le info agli sviluppatori del CMS e poi gli avrei fatto sapere. Di sicuro avrà una menzione sul sito di Zenphoto e un rating positivo da parte mia sulla piattaforma. Anche perché la falla che ha trovato è piuttosto pericolosa. Comunque il capoccia di Zenphoto ha già capito come risolvere e probabilmente già domani distribuirà la patch.

bene, queste sono le cose belle di internet

[Dieguito]

bene, queste sono le cose belle di internet

Che poi, con tutto lo spam che arriva quotidianamente, non so come ho fatto a non cestinare al volo la prima mail che ho ricevuto da OBB. Molto bravi loro sicuramente a distinguersi, sia nella grafica che nella comunicazione scritta. Perché la prima cosa che ti viene in mente quando leggi "trovato bug sul tuo sito bla bla bla" è clickare compulsivamente su "segnala come spam".

Invece lo consiglio caldamente a tutti. Sia ai pischelli smanettoni che vogliono farsi le ossa come haker, in modo del tutto legale, e magari alzarci qualche soldo, sia agli amministratori che hanno bisogno di testare la sicurezza del proprio sito. C'è il programma di affiliazione qui:
https://www.openbugbounty.org/

[la vile strada maestra]

Magari hanno scoperto una falla sul forum e preso possesso dell'account di dieguito per spammare.

[Dieguito]

Magari hanno scoperto una falla sul forum e preso possesso dell'account di dieguito per spammare.

Ma infatti, chi ha aperto questo topic?

M