Quali problemi di sicurezza dovresti tenere a mente quando si hackerano siti web open-invitation?

Naviga le tue risposte
5

Ci sono un paio di altre domande che riguardano già la legalità, l'etica e le responsabilità di hackerare siti Web con inviti aperti.

Quali sono i problemi legali / etici da tenere a mente quando si hackerano siti Web con inviti aperti?

Penso che accidentalmente DoS 'd un sito web. Cosa dovrei fare?

Questo mi ha fatto pensare: quanto è buona l'idea, da un punto di vista della sicurezza, di hackerare questi siti web? Certo, offrono una grande potenziale opportunità di apprendimento per coloro che desiderano esercitare le proprie capacità. Ma quale minaccia potrebbero rappresentare per tali individui, molti dei quali potrebbero giocare con incendi che non comprendono ancora completamente?

Indossando il mio cappello di latta, mi vengono in mente alcuni rischi particolari:

  • Il sito potrebbe essere un honeypot, gestito dal governo o da altre entità che cercano di raccogliere informazioni sugli hacker attivi (o potenziali).
  • Il sito potrebbe essere impostato da un cappello nero come un honeypot per raccogliere un elenco di appassionati amatoriali e hackerabili.
  • Un black-hat di terze parti potrebbe potenzialmente accedere ai log del sito e farmarli per i dati su amatori interessanti e hackerabili come target.

Queste preoccupazioni sono realistiche? Qual è la probabilità che uno o tutti questi possano diventare realtà? Ci sono altri modi in cui i propri sistemi potrebbero essere messi a rischio (da un punto di vista di compromissione della sicurezza, non di questioni legali) quando vengono utilizzati per hackerare questi siti?

In che modo si dovrebbe cercare di attenuare questi rischi? Quali potrebbero essere alcune buone alternative, se il rischio è considerato troppo?

    
posta Iszi 02.04.2012 - 20:25
fonte

2 risposte

3

C'è anche un aspetto professionale qui meno attorno ai controlli tecnici e più intorno all'angolo della proprietà intellettuale e della reputazione:

  • se sei un professionista della sicurezza che partecipa a uno di questi, stai dando via una tecnica o metodologia proprietaria al concorrente che ospita il sito?
  • se commetti un errore (non dimenticarlo, succede occasionalmente) potrebbe influire negativamente sulla reputazione della tua azienda o della tua azienda?

L'host del sito sarà in grado di vedere tutto ciò che hai fatto nei loro registri ... ti capita mai di digitare comandi errati, usare dir al posto di ls, per sbaglio casualmente fuori dallo scopo del test? Questo verrà registrato e potrebbe avere un impatto negativo su di te.

    
risposta data 04.04.2012 - 16:02
fonte
5

Possono definitivamente essere honeypot. È molto interessante sapere come entrano le persone, quindi puoi usare le stesse tecniche o identificarle.

Alcuni di questi progetti servono solo per saperne di più sulla sicurezza, ma è sicuramente plausibile che questi sistemi possano subire abusi. Dopotutto sono destinati a essere vulnerabili.

Ho fatto un simile progetto scolastico in cui ho simulato un relay di sendmail aperto e ho appena inviato tutte le email in arrivo a uno script python che ha ottenuto tutte le destinazioni, generando la mia lista di spam. Penso che alla fine dopo circa 3 settimane ho avuto quasi 300.000 indirizzi email diversi.

    
risposta data 02.04.2012 - 20:33
fonte

Leggi altre domande sui tag

come funzionano i certificati X.509 di convalida estesa? Download di file sospetti in quarantena?