Quando testare le vulnerabilità della sicurezza su siti come i progetti OWASP, dovremmo essere in un ambiente protetto / protetto?

Naviga le tue risposte
6

Ero curioso di sapere se c'è bisogno di proteggerci / proteggerci quando facciamo progetti su siti come OWASP per conoscere vulnerabilità o "Wargames / Sfide" come quello che viene pubblicato in questi link

Come iniziare?

Migliori risorse per apprendere gli attacchi alla sicurezza web

Come posso iniziare con la sicurezza? (Principiante)

Sembra che questi siti siano creati per scopi legali, con l'intento di apprendere. Sono curioso di sapere se anche gli utenti malintenzionati sono preoccupati di alterare questi progetti che potrebbero ferire gli altri, o forse alcuni di questi non sono protetti in modo completo ...?

Sono curioso di sapere se le persone raccomanderebbero di essere in una VM / macchina di prova (vorresti sempre usare una VM, su una macchina fisica, solo in caso di malware hardware, o w / e?), così come VPN / Proxy per la privacy, ecc.

Sei curioso di sapere se è necessario o se la maggior parte di questi siti è legale ...

Forse è solo una buona pratica in generale proteggere sempre te stesso dai siti che non conosci (ad esempio, bloccare JS, cookie, plug-in, ecc.)? Ho appena capito che stiamo lavorando con vulnerabilità e cose che potrebbero essere pericolose, che dovremmo essere protetti anche dalla nostra parte?

    
posta XaolingBao 09.06.2016 - 18:35
fonte

4 risposte

1

C'è un detto, e va come
Solo il paranoico sopravvive.
Per rispondere alla tua domanda, questo tipo di macchine per la pratica sono costruite per scopi pratici dagli esperti di sicurezza e dagli esperti che vogliono restituire qualcosa alla società. In tal modo il creatore ottiene la reputazione e la fama (sorta di) nella famiglia Infosec.
D'altra parte, se ci pensi, le persone che praticano su queste macchine sono per lo più principianti con metà della conoscenza e possono essere un bersaglio perfetto per queste cose. Voglio dire, guarda le notizie quotidiane di Infosec come CISCO 0 Days , backdoor di Xiomi , exploit in sistemi Linux come overlayfs e molti altri esempi saranno solo ti ispirano ad essere il più cauto possibile. Sebbene nessuna di queste notizie sia mai emersa, almeno non a mia conoscenza. Ma c'è anche la prima volta per tutto.
Di nuovo, se ci si pensa, tutti questi tipi di progetti sono open-source e tutti i loro codici e passaggi sono disponibili e facilmente visibili. Anche siti web come Vulnhub che ospitano i CTF, assicurano sempre che questo tipo di cose non avvengano prima di ospitare una nuova macchina inviata dall'utente. Quindi, a patto che tu stia scaricando la tua macchina di esercitazione da un sito web legittimo, dovresti essere pronto. Ma di nuovo non posso discutere con l'impulso di essere più attento. Perché non importa quanto sei attento, non è mai abbastanza, almeno non nel campo infosec.

    
risposta data 20.09.2016 - 08:31
fonte
0

Sembra che tu abbia risposto alla tua stessa domanda. Sarebbe molto prudente da parte tua prendere provvedimenti per proteggersi dalle minacce. Non puoi mai essere troppo attento.

    
risposta data 09.06.2016 - 18:43
fonte
0

In caso di dubbio, imposta un po 'di sicurezza. Gli hacker sono sempre alla ricerca del prossimo grande exploit. E ci sono milioni di loro nel mondo che lavorano tutte le ore della notte su molti, molti sistemi diversi.

    
risposta data 10.06.2016 - 06:26
fonte
0

Anche se i progetti sulla lista dei wargames di OWASP sono abbastanza ben controllati e affidabili, non vi sbagliate ad essere cauti. Utilizzare una protezione come Sandboxie (per Windows) o firejail, BitBox, Cuckoo quando si esegue qualcosa di provenienza sconosciuta è una buona idea.

    
risposta data 15.06.2016 - 23:02
fonte

Leggi altre domande sui tag

Come funzionano esattamente i processi "nascosti" [chiuso] Esiste un database con i vettori XSS, possibili riferimenti e informazioni sui test?