Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Проверка на уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=110)
-   -   Правила раздела. (https://forum.antichat.xyz/showthread.php?t=39721)

Егорыч+++ 07.05.2007 16:52
Правила раздела.
 
1. Раздел предназначем для поиска уязвимостей на Ваших сайтах, порталах форумах.

2. В разделе публикуются ваши сайты, которые Вы хотите проверить.

3. Для того, чтоб мы были уверены, что Вам нужна такая проверка, Вам необходимо повесить следующую ссылку на
наш форум <a href="http://forum.antichat.ru"><img src="http://forum.antichat.ru/images/test_antichat.gif" alt="Сайт проверяется античатом" border="0"></a>

a) После публикования ссылки и создания вами темы, отпишите в ПМ админу или по почте.

4. Ваш сайт будет тут находиться до тех пор пока висит эта ссылка.

5. Нахождение и публикования уязвимостей является делом добровольным.

6. Пользователи проявившие себя активно в этом разделе поощряются продвижением по группам, а также репутацией.

7. Все новые темы модерируются. С сообщениями о апруве топика обращаться к супермодераторам (оранжевые), либо к администрации (красные). Модераторы раздела больше не апрувят.


Мы надеемся, что с помощью участников форума, на вашем сайте станет меньше уязвимостей и он станет более безопасным.

blackybr 08.07.2007 22:36
Дополнение к правилам.

Все топики, не подходящие под данные правила (даже под одно любое из них) будут удалены безаппеляционно. (всем существующем дается 7 дней на исправление после данного поста, потом они попадать под данные правила).
------------------------
1. Все правила перечисленные в 1ом посте обязательны к исполнению.
2. Сайт, заявку на рассмотрение которого вы оставляете должен содержать некую самописную часть.
примеры
- сайт самописный, но форум (чат, ньюс лента) пхпбб или другой любой публичный (пройдет)
- стоит джумла, а вы написали скрипт на 10-20 строчек (типа модуль или еще что-то) естественно не пройдет.
Что из этого следует? Тут Не собираются проверять паблик движки, баги на них ищите на специализированных сайтах (например античат =) )

--------------

Небольшое дополнение от меня -
За каждую найденную уязвимость ставлю -

sql inj - +20
pas xss - +5
act xss - +12
rem inc - +20
loc incl - +14 (доведете до шелла - еще + 16)

Остальные баги - на усмотрение =)

UPD BlackSun: Теперь данная система не актуальна, активные юзеры будут получать по +2 или +3 к грин-репе, которая теперь стала основной.

Всем спасибо.

PS в связи с уменьшением максимального + в два раза все вышеперечисленные поинты также делятся на 2.

blackybr 09.07.2007 12:26
Особое внимание уделяем пункту 3ему из 1го поста.
Цитата:
3. Для того, чтоб мы были уверены, что Вам нужна такая проверка, Вам необходимо повесить следующую ссылку на
наш форум <a href="http://forum.antichat.ru"><img src="http://forum.antichat.ru/images/test_antichat.gif" alt="Сайт проверяется античатом" border="0"></a>
Если оно не выполняется, будет вынесено предупрежедение, тема закрыта. Если же в течение 3х дней не будет исправлено - тема будет удалена.

Для тем созданных до 9го июля правила действуют с 16 числа того же месяца, дабы их авторы успели все исправить.

BlackSun 08.02.2009 23:01
Дополнение к правилам.

Народ, это раздел Проверка на уязвимости, поэтому все найденные кривости дизайна и подобное - автору темы - в ПМ. Здесь выкладывайте только уязвимости.
-------------------------------------------------------
Убедительная просьба - не юзайте сканеры! Авторы сайтов вполне в состоянии сделать это самостоятельно, нет смысла по сто раз мучать сервера лишними запросами.

BlackSun 25.07.2009 13:46
Для тех, кто не в курсе - местоположение панели администратора само по себе НЕ ЯВЛЯЕТСЯ уязвимостью!
Уязвимость - это ошибка в программе \ скрипте, приводящая к доступу \ возможности получения доступа к определенной информации \ получению доступа к каким либо функциям \ повышение привелегий \ возможность нанесения вреда атакуемой системе и подобное. Но никак не тупо брут. Брутить вообще можно что угодно, было бы желание.

Аналогично и для phpMyAdmin'а и подобных скриптов.

Танкистам будут выдаваться подарочные минусы в репу.

PS: путь до админки с ошибкой в авторизации в самой админке и подобное уже, есстественно, является уязвимостью.

PSS: Для непробиваемых танкистов - в разделе "Проверка на уязвимости" проверяетются только скрипты проверяющихся, а не все подряд! что это означает? То, что даже если на сервере стоит дырявый phpMyAdmin, webmail, и подобное - это на остается на совести владельца сервера \ того, кто их поставил.
- "Но ведь это же уязвимости!!"
- В таком случае почему никто не пытается сломать соседний сайт, чтобы пролезть на сайт проверяющегося? почему никто не пытается зарегатся у этого же хостера (в стучае, если сайт стоит не на выделенном сервере \ VDS'е \ etc), чтобы обнаружить корявые чмоды \ уязвимые демоны \ старое, рутабельное, ядро и прочее? никогда не задумывались?

BlackSun 13.12.2009 16:40
UPD: просьба не выкладывать полные пути на форуме. Достаточно выложить ссылку \ способ, как они были получены.

UPD2: С сегодняшнего дня все темы в стиле "cms бесплатная, но много своего дописано" без предоставления полного списка изменений будут удаляться.

BlackSun 21.03.2010 18:11
UPD: Выкладывание сорцов совершенно не обязательно, но полную проверку можно произвести только по ним.


Время: 22:42