Объединенный Открытый Проект проводит конкурс на взлом системы управлением сайта на базе форума Intellect Board (http://intboard.ru) . Цель конкурса - обнаружить в Intellect Board критические уязвимости, взломать с их использованием официальный сайт http://intboard.ru и прислать на адрес подробное описание уязвимости и совершенного взлома. Фактом взлома считается вписывание в нижнюю строку copyright-сообщения логина на форуме или адреса Email пользователя, осуществившего взлом (подсказка: данная строка хранится в файле config/iboard.php и может быть изменена из Центра Администрирования).

Письма с описанием взлома следует посылать на адрес support{собака}intboard{точка}ru.

Призы конкурса выплачиваются только через платежные системы WebMoney и Яндекс-Деньги (по выбору победителя конкрурса). Величина приза составляет 10 WMZ при выплате через WebMoney или 300 рублей при выплате через Яндекс-Деньги.

Дата начала конкурса - 1 марта 2006 года. Конкурс проводится в несколько туров. При обнаружении очередной уязвимости конкурс приостанавливается до того момента,когда будет исправлена уязвимость, после чего начинается следующий тур. Признаком того, что в данный момент проводится очередной тур конкурса, является наличие в copyright-сообщении строки "Если вы читаете это, то конкурс продолжается". О завершении конкурса будет объявлено отдельно в новостях проекта Intellect Board.

В том случае если до объявления о завершении очередного тура конкурса было произведено несколько взломов, то выплата призов следующим образом: если для взлома использовались различные уязвимости, то каждому из победителей конкурса выплачивается призовой фонд в полном объеме. Если использовалась одна и та же уязвимость или аналогичные уязвимости (уязвимости одного типа, находящиеся в пределах одной функции), то выигрыш делится поровну между тем, кто первым осуществил взлом, и тем, кто прислал наиболее технически грамотное и подробное описание совершенного взлома (степень грамотности и подробности определяется участниками Объединенного Открытого Проекта). Всвязи с этим настоятельно рекомендуется указывать в письме точное время взлома и IP-адрес, с которого он был совершен.
В конфликтных ситуациях разрешение споров о приоритете взлома определяется по логам Intellect Board и логам Web-сервера для сайта intboard.ru. При несоответствии предоставленных данных об IP и времени взлома данным из логов форума и сервера участник снимается к конкурса.

В выплате призов может быть отказано в следующих случаях:

1. Взлом был осуществлен не через уязвимость в скриптах Intellect Board, а иными способами (включая, но не ограничиваясь подобором пароля для пользователей System и XXXX Pro, захватом почтового ящика XXXX Pro и последующим извлечением пароля на этот ящик, использованием уязвимостей хостинга).
2. Если в результате взлома была нарушена работоспособность форума или произошла потеря данных или был нанесен материальный ущерб Объединенному Открытому Проекту или третьим лицам.
3. При использовании при взломе сайтов, расположенных в доменах 3-ьего уровня зоны intboard.ru (например, тестового форума Intellect Board - http://test.intboard.ru)
4. При отказе сообщить сведения о совершенном взломе и найденной уязвимости.
5. При обнаружении попыток внедрения после взлома вредоносного кода или создания пользователей с повышенными правами, не указанных в описании совершенного взлома.

10 вмз =) т.е. на энтузиаста.

логин:пасс plz тогда надо вечером посмотреть...

хых.. а разработчики не дураки..))) Сейчас баги основные найдут, а потом выйден "непробиваемый" движок.. =).. ну тоже неплохо! +) Главное, чтобы бабло было.. хотя судя по 10 Wmz.. гм.. ) ну удачи им)

А вам не кажится что 10 вмз очень мало ? А вы знаите я уже нашёл тама

Warning: fputs(): supplied argument is not a valid stream resource in /home/xxxxproru/intboardru/test/index.php on line 402

и ешё много чего )))

А вам не кажится что 10 вмз очень мало ?
Мало ну а чтож ты хотел а если кучу баг найдут ониж разоряться всем по 10$ выплачивать....

а вообще просто пойти и потестить на баги можно а если и повезёт то ещё и 10$ заработал.....

таких багов можно туеву кучу найти.. а в конкурсе просят именно взломать.. ошибки - не в счет.. точнее, ты от них богаче не станешь, имхо.. =) Только непосредственно взлом..

Верно тут заметили - конкурс для энтузиастов. 10wmz - не такая уж большая сумма. Но сами понимаете, IntBoard - некоммерческий проект. Денег больших нет.

По поводу ошибок. Совершенно справедливо было отмечено, что интересуют именно критические ошибки (уязвимости), с помощью которых можно взломать форум. Некритические ошибки, связанные с работой форума выявляются при активной работе пользователей с движком.

Error404Таким образом правоохранительные ограный РФ собирают БД хакеров росиии их IP , возможности ,что умеют,что ломали и т.д. классно кстати у них это получается ;)Тем более что чел воспользуется конечно анони прокси, но ему тяжко будет на засветить слои данные при получении веб мани, лаже через цепочьку счетов!

Ну доказывать, что мы не из правоохранительных органов, я вам не буду, всё равно не поверите :))
Уязвимости тоже находили в свое время, и ломали много чего.

щас скачаю заценю ))
Удачи чуваки))

Только давайте не будем стоить параноидные мнения о причастности правоохранительных органов с записью в БД и IP.

Считайте, это просто проверка сайта консалтинговой организацией, которая предоставляет услугу проверки на уязвимости. Такую проверку могут себе позволить немногие фирмы.. и это дорого обходится. Другой вариант - в роли компании выступают багоискатели (ну можно их и хакерами обознать.. но я бы этого не делал). Все же это может обойтись дешевле...

securityprobe.net - вот сайт, который предоставляет такие услуги. Можете ознакомиться.. можете считать это рекламой..ваше дело. Просто хороший пример такой комапании. Про цены ничего не скажу, ибо не знаю.. вроде приемлемы.

Ну проверил ну нашел несколько багов куда нести то???

Morph, мне в личку или на мыло support{%}intboard.ru.

RebzСкан и поиск уязвимостей давно считается нарушенем УК РФ и У и ведет за собой уголовную ответственность за попытку взлома !
Для того чтобы подоного не случилось сделует подписывать фармальные, но очень весомые докумуенты с обеих сторон глясяие о том, что одна сторона предоставляет возможность другой проверить их уязвимости и что они не против на проверку и поиск уязвимостей , а второая стороная в свою очередь береться проверить первую ...
Все эти документы заверяются юридически и только тогда наченается поиск уязвимостей!
ну это если вы действительно хотите найти уязвимость, а не просто так никому не нужную не стоящую дырочку найденную непонятно зачем и для чего !Т.е. чтобы взялся нормальный чел за такое и довел дело до логического конца, то нужно поступать имеенно так!
Ну а вообе попытка не пытка, може есть экстрималы тут :)

"RebzСкан и поиск уязвимостей давно считается нарушенем УК РФ и У и ведет за собой уголовную ответственность за попытку взлома !"

Не чего не будет .

Это можно расценить как покушение на преступление а конкретно 272 . Категория преступления , небольшой тяжести . т.к до 2 лет . А по УК За покушение на преступления небольшой тяжести уголовной ответственности не подлежат .
Нет последствий - нет ответственности .

Если сканить демкой спайдера то не чего не будет .

donetsk, приведи-ка мне хотя бы ОДИН пример из нашей суровой жизни кого ПОСАДИЛИ за сканирование сайта или поиска уязвимостей?
Не надо умничать, плз.

Я с тобой согласен насчет юридического аспекта. Но млин.. одно дело тебе говорит найти дыры какой-то чел левый.. а другое - сами администраторы ресурса.

Привожу мой пример:
Админы прова говорят вломи наш сервер ,я -наивная душа сканю их , бручу, в итоге добиваюсь своего , они пьют со мной пиво , радуются тому, что я нашел дыру дуры фиксят , дают мне канал в локалке пошире типа за вознаграждение , начальству говорят об этом типо вот классный чел , он нашел в нашей системе дырку, надо его наградит , начальство даёт 1 доллар на счет мне за вознаграждение, далее подаёт заяву, что нашу систему безопасности вломил злобный хакер , после чего ко мне приезжают люди в масках и объясняют какой я плохо и как нехорошо поступил, причем люди в масках совершенно не знают что такое компьютер и оперируют такими доказательствами, как
-Чел ты видишь комп.
-да вижу
выйди из кибинета, вышел....
зашел комп разобран ,хотя мозги снять ума не хватило и Блок питания снять тоже не получилось, но всё остальное раскрутили, далее говорят собири его...
-ну я собрал -этого было им достаточно чтобы доказать что если человек работает в серьезной организации компьютерной и на него постуепила жалоба на то, что он хакер, а тут он ещё умеет собирать и разбирать кОмПутер, тогда всё попал чел!
Дальше меня долго и нудно там домагали и обвиняли совершенно в левых статьях ук Украины....
А начальство в этот момент вместе с администраторами сервера давали показания на то, какой я плохой и не мою пользу давали....

Я пробовал доказывать то, что я ламер полный сидел в инете скачал вирус посмотрите у меня в папке даунлоад есть порнуха , там вирусы наверное, написал софтину, которая тариться по телнету и кумарит их сарваер цикл в ней стоит и типо брута примитивного с нескольких потоков, прога висит по svchost.exe ничем не приметным и говорю я скачал я с порнушного сайта этот вирус, время и даду подправил тогда, когда качал порнуху с забугорного сайта чтобы они логи пробили , но на это я тоже перестраховался, закинул в комп клуб подобный вирусняк самописный , который тоже тарился на поп32 и делал тоже самое ,его назвал nvsvc32.exe делал он тоже самое, но по команде с их серваком, доказать мне ничего не удалось вывод таков:

Комп твой ?
-Да мой
Всё что ты делаешь за ним относиться к тебе
-Но веть я качал не зная того, что это вирус! Меня злобный хакер поломал и воспользовался моей машиной, а если бы он меня поломал и осуществлял Ddos или просто использовал мою машину в своих целях , то я был бы виноват тоже?
Да а если бы ты шел с собакой по улице и она покусала человека и загрызла его до смерти, тогда что ты бы не был виноват?
-Но веть ,если бы собака была не моя , тогда какими краями я тут?
Собака твоя т.е. комп твой и тебе нужно было заботиться о своей безопасности...


Админы принесли логи показали логи им, но я тогда не знал что логи должны были быть юридическим лицом, которое во время атаки должно было следить за записью логов, оборудование должно быть сертифицированное, лицензированное, но это всё только потом узнал..

В моё же сторону были выдвинуты аргументы:
1.Сканал был - был
2.Взлом был -был!
3.Доступ на сервак был - был.
4.Оплата 1 доллар была - была.
5.Обоюдного юридически заверено соглашения не было?- не было
А это может быть воспринято как умышленный взлом с получением материальных ценностей (даже 1 доллар)

Но веть никакого вреда не было нанесено, органы тут вообще как дети малые они не соображали в чем вообще речь идет

Циферки и буковки логов для них были как вещь доки типо отпечатков пальцев, только аппарата для дешифровки этих логов у них не было!

Органы даже протокол составили, дело завели, но дальше начальство прова одумалось и решили что удрав меня , будут другие и решило забрать заявление и все обвинения по причине того , что всё же соглашение было заключенего хоть и Юридически не грамотно... но всё же на услово попал :(
За то ,чтобы они забрали заявление и всё такое начальство захотело чтобы я работал на них поддержка хостеров, безопасности, фтп , ввв, игровые сервера... ну я согласился т.е.делать нечего было :(

Дальше я посмотрел их оборудование совершенно нигда не сертифиуированное , не лицензированное , натравил кучу представителей софта на них заставил туеву кучу проверок их проверить и в итоге сказал хотите ещё?
Они отказались от моих услуг и сказала давай об єто забудем и не будем друг друга доставать.... Для меня хорошо, что всё так закончилось , но для других например для моего кента..


Он Nmapoм посканил сервак один мультимедийной компании, дальше пришли подобные люди в масках и долго его пытали в противогазе заставляя написать признание самому...
Но чел был юридически подготовлен и ничего писать не стал, хоть и долго пытали...
далее была всё же была проверка специалистов, которая установила что поиск уязвимостей тем же нмэпом - это доступ к личной информации чела т.е. личная информация -это открыте порты, а за доступ к личной информации статья.....

Для моего кента это закончилось увольнением с работы, штрафом немереным и выкупом дабы не сидеть + большой куче всяток....

Для пример скажу в Украине было выловлено за прошлый год 4 сканера , 2 спамера, 1 флудер и все они сидят по разным срокам от 2-х до 7 лет :(как это не печально!

гм.. не знал..
Ну то Украина.. а у нас Россия)
мягко говоря странно поступили твои заказчики.. но думаю твой исключительный случай.. таких один из миллиона)..

Для пример скажу в Украине было выловлено за прошлый год 4 сканера , 2 спамера, 1 флудер и все они сидят по разным срокам от 2-х до 7 лет как это не печально!
Мля, нифига сибе!!!=( Но кажись в УК пишет, что максимум на 3 года садят... Вот кстати ссылка на статьи УК: "Уголовная ответственность за компьютерные преступления" _http://optima.ua/?2937
Это ж надо...=(

Мда....

Чесно говоря не слышал про то что когото садили хотя иди знай можеш попасть на серёзных людей которые тебя жахнут!
Умоего друга был случай он юзал халявный диалап и еще пару типов включа меня и таки довольно долго и в один прекрасный день халяву прикрыли и позвонили ему домой с вопросом а у вас есть комп? ну это явно показалось неладным и естественно ответили что нет и вобще незнаю что это такое :d после чего сказали вы мол были замечены в незаконом юзании нета и тп слава богу все ограничилост телефонным разговором,такчто вские случаии бывают!

Если кому- нужно будут чтобы тебя закрыли, то тому кому это нужно для осуществления своей задумки достаточно принять малейшие усилия для этого просто пустить тебя в струю попадания рук доблестной милиции , агрументируя вашу причастность и виновном в определенных обстоятелсьвах!
Так что я считаю , что всегда нужно быть юридически грамматным и знать все законы дыбы как можно больше зафаерволиться от всяческих спецслужб и тех, кто жаждит закрыть Вас!

Всем Украинцам рекомендую почитать http://www.crime-research.ru/

P/S/ это не реклама... просто искал когдато всю эту шнягу чтоб знать что мне грозит...