ANTICHAT — форум по информационной безопасности, OSINT и технологиям

я бы поучаствовал, особенно если стартанёт конкурс на выходных!
это пожалуй единственно пожелание.

[Raz0r]
Да так нормально, но нужно прикрутить коэффицент как-то, оценить популярность движка. Ибо одно дело гостевуха писаная на коленке Васей, и другое что-то более менее профессиональное. Мы хотели по выдаче гугла, например, оценивать популярность движка и как то это связать с найденными багами, тоесть вывесть формулу по которой каждый может сам расчитать сколько баллов он набрал
Ну а какая дискриминация? Каждый выбирает по силам себе. В любом случае незамеченным никто не останится

(Критичность бага * X * Y) * (кол-во страниц в гугле / 1000) .
Где X=1 если нет зависимостей, X=0,7 если требуется Magic_quotes, X=0,5 (0,3?) если требуется Register_globals.
И Y=1 если не нужно регистрации для эксплуатации, Y=0,8 если нужны стандартные права, Y=0,3 если нужны права модера/админа.
Учёт только уникальных багов. (Т.е. кто первый выложил - того и баг)

И критичность бага, как нибудь так:
RFI - 100 баллов
раскрытие пути - 5 баллов .

Т.е. зависимость должна быть нелинейной.

Как то так.

З.Ы.
Имхо для теста надо разрешать только базовую комплектацию, без доп модулей.

Ну и надо правильно критичности багов расставить, чтобы раскрытие путей в вордпрессе не переплёвывало eval в каком нибудь менее популярном, но достаточно распространённом движке.

__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..

Мой блог:http://qwazar.ru/.

Помоему достаточно темы Энциклопедия уязвимых скриптов.От туда много народу попало\попадет в РОА.Нет я не против данной идеи,но в чом суть? Если движок выбираеш сам, никакого конкретного задания пока что нет.Если говорить серьезно,то я уже бегло пересмотрел весь список cmsmatrix.com, которые в фрии-ГПЛ распространении,и для меня суть учавствовать в конкурсе не очень видна
Но для фана я поучаствую,по времени.
*Это не подкол,а здравая критика.Я за конкретное задание,и конкретные движки.Ну во всяком случае для меня это будет очень хорошо,ибо сам я уже не знаю за что браться.*
/*Ps2.Про хитровыверенные баги =) Ну вот в пример взял я движок.Пропарсил код,отсеял лишнее.Нашол банальную скули в логине, и инклуд прямо из ГЕТ-а.Несмотря на это,я ранее выкладывал уже уязвимости над которым исам ломал голову не один час, и даже не два.Так что,следует сказать что движки должны быть как минимум "популярны",и ни в коем случае нельзя позволять делать выбор участникам.пускай движки распределят "директорат" конкурса.Вот.*/

я как бы намекаю, что в украине, изза карантина перенесли сессию намного после-нг. а поучаствовать я не откажусь.

да, и обязательно ковырять какой-то один двиг? Но, нужно сделать какое-то ограничение, что бы не было 100500 багов в гостевухах от васи, и 1 xss в чём-то популярном.. Думаю 2-3 движка будет вполне достаточно.

да, и я, допустим, нашел N багов в двиге. M из них было паблик, осталось N-M. Ещё K тоже было паблик, но я их не нашел\плохо искал и выложил и их тоже, вместе с остальными. Я согласен на N-M-K, но как-то не хочется, что бы была 'дисквалификация за "плагиат".'

+нужно не забыть, сделать какое-то разграничение по двигам.. допустим 2 человека, независимо друг от друга нашли одни и те же баги в двиге. с одной стороны, такая двойная проверка это гуд, а с другой - никто не докажет, что они не кооперировались, а искали баги независимо друг от друга.


вообщем, тут ещё много тонкостей.


upd: да, и ещё. так как "конкурс, заключающийся в исследовании php движков на безопасность.", а я, к примеру, хочу ковырять платный двиг. нет, я понимаю, что мне его никто не купит, но как быть-то? Не факт, что в том нулёном двиге, который я найду, баг не был сделан специально, как бек-дор. Нужно как-то решить это, либо только с опен-сорсом работать, либо ещё как-то..

+1 к m0Hze

Добавлю, что было б здорово, чтобы это был не какой-то конкретный известный движок, а некий код, специально подготовленный для этого соревнования. Некая мини-цмс или что-то в этом роде. Вы б могли предусмотреть там баги, требующие особой смекалки и знаний для своего выявления (ну и + что-то попроще для новичков). Я понимаю, что для организаторов это в разы больше геморроя писать это все, но так бы было гораздо интереснее имхо. Потом можно было б в заранее оговоренный момент выложить эту цмс и дать конкретное время на поиски. Ну и по результатам баг-репортов определять победителей.

ИМХО, 5-10 чел будут иметь первое место, если все будут ковырять один двиг...

Смотря какие будут баги =) Можно сделать временное ограничение пожестче. А первое место займет тот, кто первый пришлет наиболее полный баг-репорт. Нужно продумать все эти тонкости. Вообще конечно ты прав. Но если каждый будет выбирать себе движок сам, то уже можно идти ресерчить баги прямо сейчас (чем раньше начнешь тем больше найдешь) =)

Все правильно пишите, но в идеале лучше:

1. Набрать участников

2. По кол-ву участников распределить предварительно отобранные зелеными движки, в которых они точно знают есть уязвимости, раскрыть которые можно, обладая средним уровнем и которых по какой-то причине нет в паблике (ненагуглить)

3. Если таких движков найдется только 20 - значит и кол-во участников должно быть 20. Если одни и теже будут копать один и тот же двиг и находить одни и теже баги (заранее зная, что вероятно кто-то взял тот же двиг и найдет тоже самое теоретически) - то велика вероятность потери интереса к конкурсу вообще.

Вот тогда будет и интересно, и наполнение уникальное и польза всем и стимул настоящий для участников - найти хоть один баг, которого нет в паблике (т.е. заранее оговорить, если найденный баг гуглится - нещиталово). И никаких совпадений даже теоретически. Вот это азарт и цель. Плюс отпадет (скорее всего) в большей части вероятность помощи со стороны (т.е. пока абсолютно непонятно, как будет вообще проверяться, что чел сам работал, а не закинул куда-нибудь и ему нашли, мейби и за деньги какие-то)

PS: Просто рац предложение. Сам участвовать не буду из уважения к авторитетному мнению.