Comunità di test di penetrazione delle applicazioni web open source

5

Realizzo web per vivere ma la mia vera passione è la sicurezza. Ho lavorato con innumerevoli applicazioni / framework web open source e ho riscontrato vulnerabilità nella maggior parte di essi. La causa principale di queste vulnerabilità è la mancanza di educazione alla sicurezza da parte degli sviluppatori. Stavo pensando a cosa si potrebbe fare per quei problemi. La mia idea sarebbe quella di avviare una community di test di penetrazione di "applicazioni web open source". La comunità sarebbe composta da professionisti / appassionati di sicurezza affini.

La community:

  • seleziona una versione specifica di un'applicazione web open source e dedica un intervallo di tempo da 1 a 4 settimane (a seconda della dimensione dell'applicazione).
  • testa l'applicazione per problemi di sicurezza. Test di penetrazione + revisione del codice sorgente. (magari seguendo le varie guide di OWASP)
  • pubblica un elenco di vulnerabilità all'organizzazione open source
  • aiuta a scrivere / rivedere le patch
  • fornire consigli di progettazione e materiali didattici all'organizzazione open source
  • compila tutti i materiali creati e pubblicali a scopo didattico

I membri della comunità possono inviare le proprie vulnerabilità entro i tempi stabiliti. Le richieste di vulnerabilità sono visibili solo ai membri fidati / partecipanti e rimangono nascoste fino a X (?) Settimane prima della pubblicazione. So che alcune persone hanno sentimenti contrastanti sulla divulgazione delle vulnerabilità, ma ritengo che i benefici superino di gran lunga gli svantaggi (e non voglio iniziare un dibattito al riguardo qui).

Ora le domande:

  • Quante settimane dovrebbero rimanere nascoste le vulnerabilità?
  • Dovremmo chiedere il permesso all'organizzazione open source? (C'è qualche legge / licenza contro il pentesting open source?)
  • Dovremmo invitare un membro dell'organizzazione open source a supervisionare il processo dall'interno? (visualizza gli argomenti di vulnerabilità / prendi parte alla discussione)
  • Pensi che tale comunità sarebbe pertinente all'open source?
posta Cut Copy 21.08.2011 - 18:17
fonte

3 risposte

10

Esiste già un metodo standard per segnalare le vulnerabilità ai fornitori. CERT è ottimo per contattare i fornitori e mitigare il problema.

Penso che le tue idee possano essere utili e ci sono molte coincidenze con le tue idee e OWASP. Dovresti cercare un capitolo OWASP locale nella tua zona. Se uno non esiste, MAKE ONE! e usalo come piattaforma per il tuo workshop. OWASP ti aiuterà a ottenere la parola e attirerà più attenzione alla tua causa.

    
risposta data 21.08.2011 - 20:04
fonte
3

Penso che la cosa principale sia: fallo e basta! Esercitare un po 'di leadership: basta andare avanti e iniziare a eseguire tali analisi da soli. La più grande sfida qui sarà trovare persone che offrano volontariamente il loro tempo per eseguire tali analisi, quindi dovrai dare il buon esempio. Non preoccuparti troppo delle regole della comunità o dei processi o delle metamorfosi, finché non hai trovato abbastanza persone che contribuiscono al fatto che devi pensarci. Ti consiglio di partire dal presupposto che potresti essere l'unico contributore a eseguire queste valutazioni di sicurezza, almeno per un po '.

Lo consiglio in base all'esperienza passata con sforzi analoghi, ad esempio il progetto Sardonix di Crispin Cowan. Per maggiori dettagli, vedi discussione di Crispin Cowan ("abbiamo organizzato una festa e nessuno è venuto "), Perché Sardonix non è riuscito e Dorsali di sicurezza Linux finanziati da DARPA . Sardonix era stesso formato in risposta a il fatto che il Linux Security Auditing Project, un altro tentativo di una comunità- progetto di controllo della sicurezza basato, non è stato all'altezza delle speranze.

    
risposta data 24.08.2011 - 09:23
fonte
3

A seconda del livello esatto in cui vuoi portarlo, ho tre pensieri:

  • Come ha detto @Rook - OWASP rende molto facile iniziare il tuo capitolo, fornendo supporto, esperienza, anche un po 'di budget. In alcune circostanze puoi ricevere le spese per gli oratori ospiti.

  • Un'altra opzione è un capitolo locale di Defcon. Dai un'occhiata al link per uno locale, o offriti di crearne uno. Di solito ha più di un sapore di attacco, ma questo non è obbligatorio in alcun modo.

  • Se nessuno di questi due obiettivi, la creazione di un gruppo locale può essere un ottimo modo per condividere informazioni e competenze.

Seguirli con mailing list e / o gruppi di LinkedIn aiuta anche a mantenerli attivi e in crescita.

    
risposta data 24.08.2011 - 09:45
fonte

Leggi altre domande sui tag