Security audit

[jablan]

Heh nije, ali anonimnim nastupom čovek sigurno odbija deo potencijalnih poslodavaca. Mislim, dok se boccio (kao neko sa imenom) nije javio sa svojim postom, stvar je delovala prilično neozbiljno.

[Ivan]

Hvala na predlozima poslusacu ih.

Da bi se bavili ovim poslom morate biti upoznati sa velikim brojem programskih jezika, platformi, tehnologija, alata, itd. Ali da sada ne bi navodio sve sa cime sam radio mislim da je dovoljno reci da najvise koristim C i PHP, *unix i Win*, odlicno poznajem TCP\IP, Apache, SQL. To je nesto sto radim svakog dana, ako imate neki poseban zahtev slobodno pitajte i ja cu da vam odgovorim da li sam upoznat sa tom materijom.

Sto se tice referenci ... hm ... vecina klijenata zeli da ostane anonimna i ja to postujem. Hvala boccio -u na podrsci.

Ivan Markovic

[sirNemanjapro]

Ja znam jednog Ivana Markovica iz Cacka.

Ivan, meni zvuci, vrlo profi. Mislim da je genuine stuff.

[ppavlovic]

Voleo bih da dragi "security expert" ne pokusava da radi auditing sajtova bez da pre toga konsultuje vlasnike sajtova... Jerbo (ne daj Boze) da napravi nesto sajtu, momentalno bih uradio "damage repair" tako sto bih jos vise napravio damage. Mislim, svakom kome biznis zavisi od sajta nije problem da da par 100e za jednu seansu koja ukljucuje rad na rebrima. Mlad covek ne moze sebi da dopusti da se ne smeje 5-6 meseci.

[Ivan]

Hm ... pokusavam da se suzdrzim ali ne mogu ...

Prvo ovo sto radim nije ilegalno niti nanosi neku stetu, cak sta vise
mnogo puta sam za dz pomagao ljudima i skretao im paznju na propuste.

Drugo, jel mozes da malo vise obrazlozis zasto imas takav stav ili vise
volis da igras bejzbol ?

[bluesman]

Prvo molba da otkluirate malo, nikada nije dobro pisati u afektu, iako se i meni to dešava ponekad.

Ivane, mislim, kao što sam ti rekao i ranije, da nije korektno tek tako napadati tuđe sajtove, bez obzira na tvoj motiv. Ako već imaš želju da nekome pomogneš, onda je kulturno da bar pošalješ mail vlasniku sajta i pitaš za dozvolu. Ako ti je motiv novac koji bi dobio za "sređivanje propusta", i to nije problem ali takođe možeš bar da se najaviš vlasniku sajta i ponudiš mu svoje usluge umesto da kao uskok upadaš sa tom kolekcijom exploita.

To bi bilo isto kao kada bi neko išao od stana do stana i pokušavao da obija vrata kako bih pokazao vlasniku stana da mu nije dobra brava. Pa iznabadao bi te prvi u majici na tregere (potkošulji) koji bi otvorio vrata i zatekao te kako čeprkaš oko brave.

Zbog tvog koncepta, tvoj posao (za koji mislim da je potreban ali ne na taj način na koji radiš) deluje kao neko žešće vaćarenje. I bezobrazluk. I onda, nemoj da se čudiš ovakvim reakcijama.

[Ivan]

Da razjasnimo nesto ...

@bluesman
U pravu si sto se tice toga da nije lepo niti kulturno isprobavati tudje brave ali ono sto ja radim nije napad na tudje sajtove vec testiranje.

Postoji vise nacina i pristupa testiranju sajtova\servisa\mreza i sl tako da u zavisnosti od potreba tj strucnosti i vremena osoba koja testira ce koristiti kako ti kazes "kolekciju exploita" ili ce primeniti neke elitnije metode.
Ta "kolekcija exploita" je u stvari aplikacija koju svako moze da skine sa neta i da je koristi gde god pozeli, ona nikako ne moze da nanese bilo kakvu stetu jer ti "exploiti" su napravljeni tako da nemaju "payback".

Tacno je da nekada koristim neki od tih alata ali to samo kada jednostavno nisam previse zainteresovan za testiranje vec jednostvano to radim zbog svoje "profesionalne deformacije". I tada (a ne desava se cesto) obavezno obavestim administratore o nadjenim greskama i da, zasto da ne, eventualno se ponudim da ispravim greske.

Stvarno nemam potrebe da jurim netom i testiram redom sajtove jer imam svoj posao svoje klijente i to mi je sasvim dovoljno. Ponudim se samo onima za koje mislim da im je to potrebno i da shvataju vaznost istog.

@ppavlovic
Ako me vec napadas onda molim te da das neke dokaze jer stvarno ne vidim razlog zbog kojeg imas takav stav.

[ivanhoe]

sve zavisi koje metode koristis za probe-ovanje... ako kreiras ljudima saobracaj i opterecujes server onda imaju punog prava da se ljute, zar ne?

[Ivan]

Pa da, ali mislis da mogu (tj mogu ali mi nije potrebno osim u specijalnim slucajevima ) da napravim neko veliko opterecenje i saobracaj prilikom npr posete 10-ak linkova sa specijlno kreiranim parametrima uz pretpostavku da vecina sajtova\aplikacija ima kakvo-takvo filtriranje ulaznih podataka\parametara ? I sve to sa npr vezom od 5 -10 kbs (uvek ogranicavam brzinu kod automatizovanog audita na manje vrednosti ) ?

[ppavlovic]

Kôd:

82.117.209.157 - - [08/Jul/2006:16:00:22 +0200] "GET / HTTP/1.1" 200 6206 "http://www.devprotalk.com/showthread.php?t=1213" "Opera/9.00 (Windows NT 5.1; U; en)"

82.117.209.157 - - [08/Jul/2006:16:43:25 +0200] "GET /acunetix-wvs-test-for-some-inexistent-file HTTP/1.0" 404 1250 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"

82.117.209.157 - - [08/Jul/2006:16:45:57 +0200] "DELETE /wvs_test_for_inexistent_file.txt HTTP/1.0" 405 1232 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"

82.117.209.157 - - [08/Jul/2006:16:45:57 +0200] "TRACE /TRACE_test HTTP/1.0" 200 586 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"

82.117.209.157 - - [08/Jul/2006:16:45:57 +0200] "TRACK /TRACK_test HTTP/1.0" 501 1248 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"

82.117.209.157 - - [08/Jul/2006:16:45:57 +0200] "PUT /web_scanner_test_file.txt HTTP/1.0" 405 1229 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"

82.117.209.157 - - [08/Jul/2006:16:52:30 +0200] "GET /auto_oglasi_pretraga.php?ad_type=sell&country=all&vehicle_type_id=1&make=+%26cat%20+/etc/passwd%26&model=1&stranac=1&ac=on&abs=on&price_low=0&price_hi=0&airbags=on&year_low=2006&year_hi=2006&gorivo=GASOLINE&sort_by=date_begin HTTP/1.0" 200 19269 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"

82.117.209.157 = ubr.157.nat-pool-kg.sbb.co.yu

Itd itd...