Внимание! Подготавливается конкурс
 

Уважаемые форумчане! Мы с jokester`ом решили устроить для вас конкурс, заключающийся в исследовании php движков на безопасность.
Это замечательная возможность наполнить форум полезной информацией и удобный случай вам показать свои знания и проявить активность.
Т.к. одним из главных критериев при поступлении в РОА является умение находить уязвимости в коде,
то и победителю конкурса будет дана возможность вступить в группу РОА.
Возможность участвовать в конкурсе будет одна, один двиг на исследование, за "плагиат" мгновенная дисквалификация.
Как в любом соревновании, необходимо иметь систему оценки, по которой найденные вами уязвимости будут конвертироваться в баллы.
На данный момент мы считаем, что в критерии нужно включить популярность движка, опасность уязвимости
и оригинальность уязвимости(т.е. что-нибудь типа include($_GET['file']) и хитро выверенный баг будут иметь разный "вес" при подсчете баллов)
Интересно услышать ваше мнение по поводу аспектов, требующих внимания.

Предварительный список участников:

schwarze
banana
Root-access
mailbrush
Byte_
mr.The
Strilo4ka
m0Hze
[ DSU ]
[NiGHT]DarkAngel
Shaitan-Devil
wolmer
Xcontrol212
547
Rubaka
RulleR
Twoster
shell_c0de
+StArT+
Basurman

Если вас нету в этом списке, но имеется желание учавствовать, отписываемся в данной теме.

Ограничение по времени есть? =)

Что хотелось-бы добавить Если конкурс всё-таки стартует (тоесть если есть интерес к этому и кол-во участников наберётся нормальное):

По поводу главного приза. Если будет приемлимое количество участников то в РОА кто-то пройдёт 100%, НО!!! учтите, что если на первом месте окажется какой-нибудь товарищ, который успел себя скомпрометировать на форуме до такой степени. что в группу ему ход заказан, то ему достанутся только титул победителя, ну и крестики в репу, конечно. А в РОА пойдёт человек, который занял второе место, но с нормальной репутацией (не крестиками!) и без косяков.
Я попрошу всех на эту тему не разглагольствовать и не задавать глупых вопросов типо "А что значит скомпрометировать?" или "А я пройду?". Этот пункт не обсуждается, даже не пытайтесь, все вопросы на эту тему буду тереть из топика без ответов и демагогию по этому поводу развести не дам. Тоесть конечной инстанцией останемся мы, и если вдруг случится именно такой вариант, я всем поясню потом почему так произошло. Ну и конечно вступление в группу дело добровольное, и если Вам это не нужно, то никто Вас силком тащить туда не будет.

Далее.
Что касается всяких хакеров, которые: "Да чо там в РОА делать...", "Да я бы запросто...".
Просто не нужно это дерьмо сдесь описывать, я заранее согласен, что вы неибически круты, и вам просто в этой группе делать нечего, а то-бы вы давно... ну и так далее. Тоесть не нужно сдесь тешить своё самолюбие и показывать как вы круто умеете потрепать языком, просто закройте этот топик.

По поводу исполнений кода в булках и WP, и прочих 0дей чудобагах. НЕНАДО! Тоесть во избежании тупорылых постов, про дешёвую рабочую силу, я сразу говорю, что кто не хочет участвовать ненадо тут писать эту вашу охинею, что:
"Да я ща могу исполнение кода в IPB выложить и выиграть, но мне просто не надо..."
или
"Да щас прям, нашли дураков. Я тут вам ничо небуду выкладывать..."
Не хотите ничего делать, не нужно мешать другим. Если вы считаете, что кому-то в группах позарез понадобились ваши мегакрутые баги, то тоже просто закройте топик, это не для вас.
Никто не просит чего-то особенного, если будет найдено действительно что-то стоящее оно уйдёт выше, все остальное осядет в паблике, никто с вас ничего не требует, ненужно хватать что-то мегапопулярное, достаточно взять среднинький движок баги от которого и так попали-бы в паблик и разобрать его полностью.

Ну и возможно в РОА отправится не только победитель, а кто-то ещё, в любом случае, своим участием в конкурсе вы обратите на себя внимание.

Ну а пока, мы хотели-бы обсудить с Вами, есть ли желающие поучаствовать, стоит ли вообще это затевать и услышать Ваши предложения по поводу формулы по которой будут вычисляться баллы. У меня пока идея слепить что-то из кол-ва сайтов по дорку в выдаче гугла и коэффицентов тоесть например SQL коэффицент 1 LFI 1,5 в админке баги ставить коэффицент пониже, т.к. там их побольше, у и т.д. вобщем ждём обсуждения и предложений

Я бы принял участие, даже если не попаду в РоА (ход заказан). Ради фана.

банан попросил передать,что он будет участвовать.

Интересно. Я бы не отказался поучаствовать.

Вопросы:

1. Надо будет копать определённый движок? Если да, то какого плана движок? Есть ли он в багтреках?
2. Опять же, вопрос о времени.

Уязвимости по степени критичности по-моему надо отсортировать примерно так:
1. RFI
2. SQL-I
3. LFI
4. Active XSS/Change Password XSRF
5. Passive XSS/XSRF
6. Path Disclosure

Ещё можно добавить Information Leakage, но непонятно, насколько критичной может быть утечка.

Да и вообще, наверное стоит выставлять баллы по ситуации, ведь это лишь примерная сортировка - может оказаться так, что даже пассивная xss полезнее sql-инъекции.

[x60]unu
Ты я смотрю как-раз из тех самых особо одарённых хакеров. Прочитай мой пост полностью. Я как раз для таких господ уже всё что вы скажете написал там, и про булку, и про дешёвую силу. Придумай что-то пооригинальнее.

Движок выбираете сами, мы ничего давать не будем
Тоесть может получиться так, что кто-то будет копать одно и то-же, выясним в конце.

Предлагаю:
1. Выполнение кода (eval(), RFI, LFI, etc)
2. Выполнение команд (exec(), system(), etc)
3. SQL-инъекции
4. Path traversal (чтение произвольных файлов; запись - к 1му пункту)
5. XSS
6. CSRF

Тогда возникают новые вопросы...

1. Можно ли, выбрав движок, высылать уязвимости которого участник уже выкладывал (нашёл сам), скажем, обзор делал?

2. Возникает некоторая дискриминация, правда добровольная - у всех будут разной сложности движки, может у кого-то они дырявые и мелки, а у других хорошо пропатчены и громоздки.
Впрочем, наверное в конечном итоге важны лишь найденные уязвимости, степень их оригинальности, а не то, какой движок копался.

Да, будет. Старт предположительно после НГ(т.к. сейчас у многих сессия), само ограничение зависит от ваших предложений

Нет

Хорошо придумано...
Полностью поддерживаю! :)

я бы поучаствовал, особенно если стартанёт конкурс на выходных!
это пожалуй единственно пожелание.

[Raz0r]
Да так нормально, но нужно прикрутить коэффицент как-то, оценить популярность движка. Ибо одно дело гостевуха писаная на коленке Васей, и другое что-то более менее профессиональное. Мы хотели по выдаче гугла, например, оценивать популярность движка и как то это связать с найденными багами, тоесть вывесть формулу по которой каждый может сам расчитать сколько баллов он набрал
Ну а какая дискриминация? Каждый выбирает по силам себе. В любом случае незамеченным никто не останится :)

(Критичность бага * X * Y) * (кол-во страниц в гугле / 1000) .
Где X=1 если нет зависимостей, X=0,7 если требуется Magic_quotes, X=0,5 (0,3?) если требуется Register_globals.
И Y=1 если не нужно регистрации для эксплуатации, Y=0,8 если нужны стандартные права, Y=0,3 если нужны права модера/админа.
Учёт только уникальных багов. (Т.е. кто первый выложил - того и баг)

И критичность бага, как нибудь так:
RFI - 100 баллов
раскрытие пути - 5 баллов .

Т.е. зависимость должна быть нелинейной.

Как то так.

З.Ы.
Имхо для теста надо разрешать только базовую комплектацию, без доп модулей.

Ну и надо правильно критичности багов расставить, чтобы раскрытие путей в вордпрессе не переплёвывало eval в каком нибудь менее популярном, но достаточно распространённом движке.

Помоему достаточно темы Энциклопедия уязвимых скриптов.От туда много народу попало\попадет в РОА.Нет я не против данной идеи,но в чом суть? Если движок выбираеш сам, никакого конкретного задания пока что нет.Если говорить серьезно,то я уже бегло пересмотрел весь список cmsmatrix.com, которые в фрии-ГПЛ распространении,и для меня суть учавствовать в конкурсе не очень видна :)
Но для фана я поучаствую,по времени.
*Это не подкол,а здравая критика.Я за конкретное задание,и конкретные движки.Ну во всяком случае для меня это будет очень хорошо,ибо сам я уже не знаю за что браться.*
/*Ps2.Про хитровыверенные баги =) Ну вот в пример взял я движок.Пропарсил код,отсеял лишнее.Нашол банальную скули в логине, и инклуд прямо из ГЕТ-а.Несмотря на это,я ранее выкладывал уже уязвимости над которым исам ломал голову не один час, и даже не два.Так что,следует сказать что движки должны быть как минимум "популярны",и ни в коем случае нельзя позволять делать выбор участникам.пускай движки распределят "директорат" конкурса.Вот.*/

я как бы намекаю, что в украине, изза карантина перенесли сессию намного после-нг. а поучаствовать я не откажусь.

да, и обязательно ковырять какой-то один двиг? Но, нужно сделать какое-то ограничение, что бы не было 100500 багов в гостевухах от васи, и 1 xss в чём-то популярном.. Думаю 2-3 движка будет вполне достаточно.

да, и я, допустим, нашел N багов в двиге. M из них было паблик, осталось N-M. Ещё K тоже было паблик, но я их не нашел\плохо искал и выложил и их тоже, вместе с остальными. Я согласен на N-M-K, но как-то не хочется, что бы была 'дисквалификация за "плагиат".'

+нужно не забыть, сделать какое-то разграничение по двигам.. допустим 2 человека, независимо друг от друга нашли одни и те же баги в двиге. с одной стороны, такая двойная проверка это гуд, а с другой - никто не докажет, что они не кооперировались, а искали баги независимо друг от друга.


вообщем, тут ещё много тонкостей.


upd: да, и ещё. так как "конкурс, заключающийся в исследовании php движков на безопасность.", а я, к примеру, хочу ковырять платный двиг. нет, я понимаю, что мне его никто не купит, но как быть-то? Не факт, что в том нулёном двиге, который я найду, баг не был сделан специально, как бек-дор. Нужно как-то решить это, либо только с опен-сорсом работать, либо ещё как-то..

+1 к m0Hze

Добавлю, что было б здорово, чтобы это был не какой-то конкретный известный движок, а некий код, специально подготовленный для этого соревнования. Некая мини-цмс или что-то в этом роде. Вы б могли предусмотреть там баги, требующие особой смекалки и знаний для своего выявления (ну и + что-то попроще для новичков). Я понимаю, что для организаторов это в разы больше геморроя писать это все, но так бы было гораздо интереснее имхо. Потом можно было б в заранее оговоренный момент выложить эту цмс и дать конкретное время на поиски. Ну и по результатам баг-репортов определять победителей.

ИМХО, 5-10 чел будут иметь первое место, если все будут ковырять один двиг...

Смотря какие будут баги =) Можно сделать временное ограничение пожестче. А первое место займет тот, кто первый пришлет наиболее полный баг-репорт. Нужно продумать все эти тонкости. Вообще конечно ты прав. Но если каждый будет выбирать себе движок сам, то уже можно идти ресерчить баги прямо сейчас (чем раньше начнешь тем больше найдешь) =)

Все правильно пишите, но в идеале лучше:

1. Набрать участников

2. По кол-ву участников распределить предварительно отобранные зелеными движки, в которых они точно знают есть уязвимости, раскрыть которые можно, обладая средним уровнем и которых по какой-то причине нет в паблике (ненагуглить)

3. Если таких движков найдется только 20 - значит и кол-во участников должно быть 20. Если одни и теже будут копать один и тот же двиг и находить одни и теже баги (заранее зная, что вероятно кто-то взял тот же двиг и найдет тоже самое теоретически) - то велика вероятность потери интереса к конкурсу вообще.

Вот тогда будет и интересно, и наполнение уникальное и польза всем и стимул настоящий для участников - найти хоть один баг, которого нет в паблике (т.е. заранее оговорить, если найденный баг гуглится - нещиталово). И никаких совпадений даже теоретически. Вот это азарт и цель. Плюс отпадет (скорее всего) в большей части вероятность помощи со стороны (т.е. пока абсолютно непонятно, как будет вообще проверяться, что чел сам работал, а не закинул куда-нибудь и ему нашли, мейби и за деньги какие-то)

PS: Просто рац предложение. Сам участвовать не буду из уважения к авторитетному мнению.

Я буду участвовать люблю конкурсы и квесты :)
1. Обязательно двиг на php?
2. А не кажется ли вам что оценивать по популярности двиг как-то не очень будет так как все возьмутся за самые популярные, это просто мысль...
3. Начали обсуждение тем самым побудив некоторых уже начать исследовать двиг. под конкурс в общем это хорошо даже отлично но в данном конкретном случае как бы мошенничество.
4. Вот насчет времени вы зря так :) я просто после НГ буду на отдыхе и буду сидеть за ноутом =)) меня не поймут)))

Есть мнение,что к конкурсу лучше допускать участников с репой,ну например 100< (:-P), то есть,те кто получил хоть маломальское признание,а не тупую накрутку.Я думаю что большинству таких людей,будет просто не интересно отдавать движок кому то еще, ибо самому всегда интереснее.Ну это я про себя.
Джок,чмок :-P

Можно подумать над этим, впринципе можно сделать по желанию от 1 до 3 движков, но тогда формула подсчёта баллов усложнится (ну или нужно всем делать одинаковое количество)
Согласен, наверное это возможно, ну тогда не дисквалификация, а штрафные баллы за неумение пользоваться гуглом + если видно что баги просто скопипащены, допустим с какого-то малозаметного форума то штрафы серьёзнее. Кстати если движок более менее популярный, и обзора его нет на ачате, то я не обижусь, если вы соберёте баги из гугла и оформите всё в кучу, проверив на актуальность. Это конечно вне конкурса, но дело полезное и нужное для форума. :)
Ничего страшного. Не вижу смысла кооперироваться, акк в РОА будет один, а если бороться не за это, а за участие, то без разничы, только плюсы форуму.
Только опен-сорс
Готов поверить на слово. С твоей теорией мирового заговора и параноей я ознакомился, с ней никакой вариант не покатит.

А если у кого лишние деньги, и он готов их потратить на вступление в РОА, то может сразу слать мне на кошелёк и не заморачиваться с движками
[для одарённых]^ ЭТО ЮМОР ^[/для одарённых]

Насчёт выбора движков нами - идея не очень т.к. смысла нет ковырять одно и то-же + вот тут как-раз будет иметь место обмен багами и до кучи есть вероятность что победителей окажется много, как сказал уже мейлбраш.
По поводу написания какого-то кода конкретно под разбор, это сложности, мы конечно подумаем, но врятли

Ну в общем,внесите меня в список участников.Хотя я и не со всеми правилами согласен, так как просто будет скучно,но ладно,я готов :)

А давайте ка я угадаю. никто не хочет работать. С роа в паблик задание перебрасывается.

Прошу записать в участники конкурса, буду очень рад поучаствовать, т.к. для вступления в RoA после прохождения заданий от Грея, не хватило активности на форуме.

Хотелось бы принять участие. Считаю, что модули попуярных движков можно было бы оценивать.

Тоже хотел бы принять участие

поучаствовал бы тоже!

Ну кагбэ:
можно, допустим, если победителей >5, сделать второй тур, с 10-ю участниками набравшими наибольшее ко-во балов. И так, пока не будет <5 победителей, которые, уже, если не все то 2-3 точно могут идти в роа и тп.

Можно включить популярные модули. Например, как "All in One SEO Pack" для ВП. Хотя.. Тут тоже нужно как-то учитывать популярность(если с ВП всё просто, там есть хорошая статистика, то с другими не всегда), а это усложняет формулу расчёта..

мне кажется было бы лучше разделить на два этапа, white & black box
первый этап
орги выбирают мало известный двиг, трут копирайты
участники ищут дырки
второй этап
исходники раздаются всем
участники ищут дырки и тщательно описывают их
судьи оценивают участников на каждом этапе потом складывают

мне кажеться не плохая схема ну эт так мнение)
удачи всем

Смешались в кучу кони, люди. Что же вы ,товарищи, так.
Активным участникам предстоящего события обещаю поощрения в карму. #3

И да, я тоже за возможность копаться в модах.Хотябы тех что выставлены на офф-сайте движка,тобиш - не ручной работы.

Я согласен к примеру взять тот-же drupal там жесткий контроль кода на моды и там найти багу так же сложно как и в ядре ИМХО

По поводу модов плагинов и прочей нечисти. Впринципе почему-бы и нет, но в этом случае при рассчёте баллов дорк будет не на сам движок, а именно на этот мод, если мод популярный, то и боллов будет больше, если он стоит на двух движках, сами понимаете...

Ну с этим всё понятно, а насчет модов которые идут по дефолту с двигом их считать как и двиг?

И на вопрос так и не ответили, обязательно ли двиг на php ковырять? Я понемаю что на данный момент самые популярные движки написаны на php, но всё-же...

Да, двиг на php, стандартные моды это сам движок

предварительный "вес" уязвимостей.
Ждем предложений.

Решили.

P.S. да

до начала конкурса система оценки будет строго засекречена ;)

Интересно как?) А то я сейчас все популярные движки в прикрепленный тред солью,и мне разбирать будет нечего :o