29 сентября 2013 в 17:58

BugsCollector.com — все security баги в одном месте

image 2 с лишним года я старался радовать Хабр статьями (преимущественно, личными) в области информационной безопасности, по большей части в сфере веб. Делился знаниями, получал опыт и отзывы, знакомился с интересными людьми.


Не заметно для себя, сделал самый большой вклад в хаб «Информационная безопасность» за всё время. За это время я сам научился многому, совершенно не сравнить уровень моих знаний тогда и сейчас.

И, работая в этой сфере, я прочувствовал несколько проблем, решения для которых я не мог найти нигде. Я встречал и других людей, которые столкнулись с этим же. Но решения так и не было! И, тогда, я принял решение — решить, в первую очередь, свою проблему, и знать, что я точно помогу многим. Так и родился ресурс с говорящим за себя адресом — bugscollector.com.

Проблема #1. Массовое, личное уведомление об уязвимостях


Помните статью, которая стала второй по рейтингу за всю историю Хабрахабр? Были получены исходники 3300 глобальных интернет-проектов. Или когда я пытался уведомить администраторов различных государственных, военных, платежных систем, банков, возможно, об опасной утечке данных? Ну или свежее — как нашли свыше 6000 XSS на сайтах из alexa top 5000. Как уведомить всех разом? Когда на половине сайтов нет емейлов для контактов, некоторые игнорят, а еще некоторые и угрожают.

Неплохо было бы иметь ресурс, куда бы можно было бы отправить данные о найденной уязвимости на всех сайтах и уведомить в приватном режиме? Есть CERT, seclists, но это всё не то. Они не будут рассматривать XSS, они не имеют контактов всех этих сайтов, никто не поможет. Итак, нужен ресурс, где будут зарегистрированы все желающие владельцы сайтов, где их можно будет уведомить в случае подобного (в частном порядке). BugsCollector — не доработка существующего, это совершенно другое, новое.

Проблема #2. Личная история найденных уязвимостей


Здесь меня поймут некоторые из тех, кто любит постоянно искать где-нибудь дыры :) Неплохо было бы иметь просто, лично для себя, историю всего, что ты нашел, верно? Я не раз задумывался, где бы вести такую личную статистику найденных багов, а ещё и смотреть, что другие находят.

Проблема #3. Игнор вендора


Очень часто находится что-то серьезное, о чем пытаешься сообщить вендору / администратору — а он тупо игнорит. Привлечение публики обычно помогает.

Проблема #4. Личный интерес


Интересно же, какие уязвимости были найдены за все время на Google, Facebook, Yahoo, Yandex и других сайтах? Что-то в формате вики, заходишь на страничку ресурса — а там все найденные баги. Не разбросанные по личным блогам и твиттерам, а вот, все вместе. Кстати, порой это помогает разобраться, куда же можно копать, если решил поучаствовать в BugBounty (например узнать о ресурсах, которые входят в scope, но не указаны явно).

Проблема #5. Резюме


При поиске работы пентестером — можно кидать ссылку на свой профиль, где отображены все найденные баги. По-моему, круто :)

Реализация


Я не профессионал в сфере веб-разработки и совсем не дизайнер, но свою задумку стал реализовывать. Бета вариант (если не альфа), с начальным функционалом уже доступен — bugscollector.com (размещается на микроинстансе Амазона), можно зайти, посмотреть найденные баги, прокомментировать, проголосовать, авторизоваться через твиттер, добавить свои баги/сайты. Хотя, можно и чужие, там есть галка — но обязательна ссылка на оригинального ресерчера (если он в будущем сам зарегистрируется на ресурсе — то мы «привяжем» баг к нему).

Уже получены отзывы от различных security guys, практически все говорят — стрельнет :) Сейчас идет период активной разработки, но уже нужны:

  • Хакеры, ресерчеры, скрипт-кидди. Добавлять свои баги (необязательно на популярном ресурсе);
  • Владельцы сайтов. Добавлять свои сайты и получать уведомления о добавленной уязвимости на вашем сайте;
  • Мимо проходящие. Оставить отзывы, пожелания, комментарии и идеи;
  • Знатоки английского. Мои тексты оставляют желать лучшего.

Мой личный TODO лист на проект пока еще огромен. Планируется отложенная публикация уязвимости, если администратор зарегистрирован на ресурсе, добавление музыкальных трэков, которые слушал хакер, пока искал уязвимость. Авторизация через фейсбук/gmail и др. ресурсы и многое другое. А на сайте уже доступны найденные уязвимости на Google, Facebook, Yandex и других.

Чуть позже обязательно отчитаюсь о добавленных хабрасообществом (и не только) багах, процессе разработки и других деталях.

P.S. Постарался настроить сервер под хабраэффект. Прогонял через ab и не только сравнимыми с хабром нагрузками — должен выжить.

Sergey Belov @BeLove
карма
239,7
рейтинг 0,0
Пользователь
Самое читаемое Разное

Комментарии (19)

  • 0
    Добавьте rss в todo list :)
  • 0
    Осталось прикрутить скрипты для автоматической проверки закрытия бага и потихоньку пилить на базе этого инструмент для автоматического поиска дыр из облака (включая те которые еще не раскрыты, нашли у Google, теперь проверим у Yandex). Еще дальше свой собственный crawler по всем сайтам в интернете, с отправкой ссылки на открытые дыры, которые можно посмотреть после регистрации на сайте и подтверждения владением домена = социальная сеть всех владельцев сайтов :) Т.к. известно кто и что использует через такую сеть проще разослать промежуточные обновления/патчи дыр напрямую от производителя. Конечно стоит ввести несколько этапов рассылки, в зависимости от уровня подписки крупные/средние/мелкие сайты и все остальные.
    • 0
      Вообще уже был прототип этой системы (еще до bugscollector), но нужны финансы на подобное.
  • 0
    Прошу, сделайте submit формы по нажатию на Enter
    • 0
      Добавил, спасибо.
  • 0
    Вообще, довольно странное понимание у авторов ресурса понятия 'bug'. Вот это, например, совсем не bug — AXFR-ответ является частью стандарта DNS (RFC-1035) и такое поведение сервера — есть полное соответствие вышеназванному стандарту.

    Закрытие AXFR в целях безопасности мера во-первых, довольно сомнительная (но это вопрос для дискуссии), а во-вторых — чисто опциональная и применяться может и должна только в случае, если во-первых, AXFR не используется и во-вторых, в DNS содержится некая приватная информация. Бага здесь нет. Уязвимости в чистом виде (т.е. при условии отсутствия уязвимостей в сервисах, работащих на этих именах) — тоже.
    • 0
      На эту тему дискутировали в оригинальном топике.
      То, что это стандарт — замечено верно. В тоже время AXFR — часть разведки при атаке. И это не только мое мнение, но и авторов книги Metasploit Penetration Testing Cookbook.
    • 0
      Боже, храни идиотов, очень тебя прошу.
      Во-первых, dnsmap и dns-brute (nse), конечно, придумали лохи просто потому, что axfr слишком просто.
      Во-вторых, нет ничего приятней, чем найти открытый axfr на крупном портале. Логика: «ну никто же не догадается, что у нас есть такой поддомен, зачем закрывать его паролем» делает своё дело.
      Напомню, когда мы опубликовали пост о 3300 сурсах, тот что второй в рейтинге за всё время хабра, яндекс внутри долго с пеной у рта доказывал, что это вовсе не баг.
      Порой одна маленькая, малюсенькая, просто самая неочевидная уязвимушка открывает тебе простор для всего остального. Бывает, у тебя уже рут до базы, доступ к файловой системе, но ты не знаешь пути до сайта, не хватает самой примитивной ошибки или phpinfo, и ты брутишь как дурак с неделю.
  • +1
    Тем временем…
    image
    • 0
      Магические числа, они в курсе происходящего )
  • 0
    1. Кнопка Edit Profile — не работает. Точнее открывается пустая страница.
    2. Подтверждение сайта лучше сделать не txt файлом, а htm. У меня к примеру все txt запрещены в .htaccess. Пришлось отключать на время.
    3. Не очень внятная регистрация/авторизация только через твиттер…
    4. Предложение по функционалу: хорошо бы для вебмастеров реализовать галочку на согласие того, чтобы вебсайт попал в некий общий список для любителей «прощупать сайт на уязвимости». Т.е. сделать возможность тестирование сайта на предмет взлома. Вебмастер при этом получает платный или бесплатный тест на уязвимости, а тестировщик деньги от вебмастера, либо какие-то плюшки от сервиса — очки репутации, рейтинг и т.п. Думаю будет очень актуально.
    5. Русский язык планируется? Для меня не актуально, но все же… как я понял сервис в основном для русскоязычного населения позиционируется
    6. Хорошо бы еще прикрутить какой-нибудь сервис уведомлений об уязвимости в массовых скриптах (WP, phpBB и т.п.). Т.е. я в профиле выбрал используемые на моем сайте скрипты и буду получать соответствующие уведомления в случае их появления. В общем как на securitylab кажется. Только там реализация ИМХО немного кривая и неудобная
    • 0
      Благодарю за комментарий!
      1) Исправлено
      2) Согласен, заменил
      3) В todo лист добавлены другие сервисы + поступило много предложений сделать обычную, классическую регистрацию
      4) Интересная идея! Что-то похожее есть на rdot :)
      5) Русский язык не планируется
      6) Вообще, еще до запуска на секлаб, я реализовывал такой сервис в кулуарах, именно как Вы и описали (но сервис не увидел паблика). На Секлабе не видел ещё, как реализовано. Думаю, могут объявить в плагиате, да и у меня с ними хорошие отношения, надо подумать :)
    • 0
      upd: добавлена регистрация через Google
  • 0
    Проблема #3 — пример с ebay: bugscollector.com/db/members.ebay.com/24/
  • 0
    Добавьте пожалуйста другие варианты подтверждения владения сайтом. meta-тег на главной или доп. поле в dns. Файл в корне не всегда удобно создавать.
    • 0
      Согласен, добавим.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.