Ограничение по времени есть? =)

Что хотелось-бы добавить Если конкурс всё-таки стартует (тоесть если есть интерес к этому и кол-во участников наберётся нормальное):

По поводу главного приза. Если будет приемлимое количество участников то в РОА кто-то пройдёт 100%, НО!!! учтите, что если на первом месте окажется какой-нибудь товарищ, который успел себя скомпрометировать на форуме до такой степени. что в группу ему ход заказан, то ему достанутся только титул победителя, ну и крестики в репу, конечно. А в РОА пойдёт человек, который занял второе место, но с нормальной репутацией (не крестиками!) и без косяков.
Я попрошу всех на эту тему не разглагольствовать и не задавать глупых вопросов типо "А что значит скомпрометировать?" или "А я пройду?". Этот пункт не обсуждается, даже не пытайтесь, все вопросы на эту тему буду тереть из топика без ответов и демагогию по этому поводу развести не дам. Тоесть конечной инстанцией останемся мы, и если вдруг случится именно такой вариант, я всем поясню потом почему так произошло. Ну и конечно вступление в группу дело добровольное, и если Вам это не нужно, то никто Вас силком тащить туда не будет.

Далее.
Что касается всяких хакеров, которые: "Да чо там в РОА делать...", "Да я бы запросто...".
Просто не нужно это дерьмо сдесь описывать, я заранее согласен, что вы неибически круты, и вам просто в этой группе делать нечего, а то-бы вы давно... ну и так далее. Тоесть не нужно сдесь тешить своё самолюбие и показывать как вы круто умеете потрепать языком, просто закройте этот топик.

По поводу исполнений кода в булках и WP, и прочих 0дей чудобагах. НЕНАДО! Тоесть во избежании тупорылых постов, про дешёвую рабочую силу, я сразу говорю, что кто не хочет участвовать ненадо тут писать эту вашу охинею, что:
"Да я ща могу исполнение кода в IPB выложить и выиграть, но мне просто не надо..."
или
"Да щас прям, нашли дураков. Я тут вам ничо небуду выкладывать..."
Не хотите ничего делать, не нужно мешать другим. Если вы считаете, что кому-то в группах позарез понадобились ваши мегакрутые баги, то тоже просто закройте топик, это не для вас.
Никто не просит чего-то особенного, если будет найдено действительно что-то стоящее оно уйдёт выше, все остальное осядет в паблике, никто с вас ничего не требует, ненужно хватать что-то мегапопулярное, достаточно взять среднинький движок баги от которого и так попали-бы в паблик и разобрать его полностью.

Ну и возможно в РОА отправится не только победитель, а кто-то ещё, в любом случае, своим участием в конкурсе вы обратите на себя внимание.

Ну а пока, мы хотели-бы обсудить с Вами, есть ли желающие поучаствовать, стоит ли вообще это затевать и услышать Ваши предложения по поводу формулы по которой будут вычисляться баллы. У меня пока идея слепить что-то из кол-ва сайтов по дорку в выдаче гугла и коэффицентов тоесть например SQL коэффицент 1 LFI 1,5 в админке баги ставить коэффицент пониже, т.к. там их побольше, у и т.д. вобщем ждём обсуждения и предложений

Я бы принял участие, даже если не попаду в РоА (ход заказан). Ради фана.

банан попросил передать,что он будет участвовать.

Интересно. Я бы не отказался поучаствовать.

Вопросы:

1. Надо будет копать определённый движок? Если да, то какого плана движок? Есть ли он в багтреках?
2. Опять же, вопрос о времени.

Уязвимости по степени критичности по-моему надо отсортировать примерно так:
1. RFI
2. SQL-I
3. LFI
4. Active XSS/Change Password XSRF
5. Passive XSS/XSRF
6. Path Disclosure

Ещё можно добавить Information Leakage, но непонятно, насколько критичной может быть утечка.

Да и вообще, наверное стоит выставлять баллы по ситуации, ведь это лишь примерная сортировка - может оказаться так, что даже пассивная xss полезнее sql-инъекции.

[x60]unu
Ты я смотрю как-раз из тех самых особо одарённых хакеров. Прочитай мой пост полностью. Я как раз для таких господ уже всё что вы скажете написал там, и про булку, и про дешёвую силу. Придумай что-то пооригинальнее.

Движок выбираете сами, мы ничего давать не будем
Тоесть может получиться так, что кто-то будет копать одно и то-же, выясним в конце.

Предлагаю:
1. Выполнение кода (eval(), RFI, LFI, etc)
2. Выполнение команд (exec(), system(), etc)
3. SQL-инъекции
4. Path traversal (чтение произвольных файлов; запись - к 1му пункту)
5. XSS
6. CSRF

__________________
<? Raz0r.name — блог о web-безопасности

Тогда возникают новые вопросы...

1. Можно ли, выбрав движок, высылать уязвимости которого участник уже выкладывал (нашёл сам), скажем, обзор делал?

2. Возникает некоторая дискриминация, правда добровольная - у всех будут разной сложности движки, может у кого-то они дырявые и мелки, а у других хорошо пропатчены и громоздки.
Впрочем, наверное в конечном итоге важны лишь найденные уязвимости, степень их оригинальности, а не то, какой движок копался.

Да, будет. Старт предположительно после НГ(т.к. сейчас у многих сессия), само ограничение зависит от ваших предложений

Нет