Foro de elhacker.net

Seguridad Informática => Nivel Web => Mensaje iniciado por: sirdarckcat en 17 Octubre 2009, 20:41 pm



Título: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: sirdarckcat en 17 Octubre 2009, 20:41 pm
Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web

Este es un proyecto abierto a todos los usuarios de elhacker.net

Hace tiempo se hizo una propuesta de hacer un proyecto de auditoria a SMF 2.0.

El dia de hoy lo vengo a formalizar, y a formar el grupo, el límite es 5 personas, el proyecto estará lidereado por WHK y yo. Las vulnerabilidades encontradas se documentarán en un proyecto privado y cuando se considere prudente se harán públicas (junto con el parche).

El objetivo es simplemente estar listos para cuando el foro tenga que actualizarse a SMF 2.0, y asegurarnos de tener un foro seguro.

Los que deseen participar posteen su interes a continuación, asi como una descipción de porque ustedes deben ser parte del proyecto antes del 8 de noviembre.

La actividad del proyecto será publicada en:
http://foro.elhacker.net/nivel_web/auditoria_de_seguridad_hacia_simple_machines_forum_20-t271199.0.html

Saludos!!


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: Og. en 17 Octubre 2009, 21:05 pm
a mi me gustaría participar, conozco los diferentes tipos de vulnerabilidades, obviamente se php y poseo el tiempo para revisar codigo...
aparte me encantaría estar en un grupo con dos de las personas que mas admiro en esta gran comunidad


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: Debci en 17 Octubre 2009, 21:32 pm
Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web

Este es un proyecto abierto a todos los usuarios de elhacker.net

Hace tiempo se hizo una propuesta de hacer un proyecto de auditoria a SMF 2.0.

El dia de hoy lo vengo a formalizar, y a formar el grupo, el límite es 5 personas, el proyecto estará lidereado por WHK y yo. Las vulnerabilidades encontradas se documentarán en un proyecto privado y cuando se considere prudente se harán públicas (junto con el parche).

El objetivo es simplemente estar listos para cuando el foro tenga que actualizarse a SMF 2.0, y asegurarnos de tener un foro seguro.

Los que deseen participar posteen su interes a continuación, asi como una descipción de porque ustedes deben ser parte del proyecto.

Saludos!!

me gustaria participar.
Tengo mucha teoria un par de deface spero quiero aprender en campo real, se como funcionan exploits scanners, xss , sql Injection, flitros html, spoofing...

Para mis eria un honor trabajar al lado de sirdarckat, y una gran experiencia para aprender.
Nivel bueno de php y javascript (java & javascript bastante alto)
Saludos


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: braulio-- en 17 Octubre 2009, 22:53 pm
5 personas como mucho o como poco?


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: sirdarckcat en 17 Octubre 2009, 23:41 pm
5 maximo pero podrian ser menos, si no hay suficientes candidatos


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: braulio-- en 18 Octubre 2009, 00:20 am
Pues si no se llenan las plazas me encantaría participar.
Se php y mysql.


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: fede_cp en 18 Octubre 2009, 01:05 am
A mi tambien me encantaria, pero no se si tengo el nivel como para hacerlo, se php, mysql, tambien se ocmo son las sql injections (cree un soft hace poco.---sql injection helper 2.0), pero no creo que pueda llegar al nivel necesario  :huh:

buen no importa, yo me pongo

saludos


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: Jubjub en 18 Octubre 2009, 02:00 am
XSS -  CRSF - Php (hace un mes pique un framework php seguro desde 0 :P )  - SQL - JS

Me llevo bien con el SMF; veremos si puedo ayudare en lo que sea :D


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: 0x0309 en 18 Octubre 2009, 05:47 am
a mí me gustaría participar para aprender, pero mejor no ya que voy a estar muy ocupado.


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: Debci en 18 Octubre 2009, 21:20 pm
5 maximo pero podrian ser menos, si no hay suficientes candidatos
aunque solo sea ver los informes, y estar presente en las exploit-test , me encantaria ver a pros haciendo su trabajo y mucho mas hacerlo yo tmb.

Saludos


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: WHK en 18 Octubre 2009, 21:41 pm
todos los resultados de las investigaciones se irán publicando en un post aparte, este será soalmente para ir haciendo preguntas, explicaciones, alguien que quiera compartir algo, etc.


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: braulio-- en 18 Octubre 2009, 21:59 pm
Y porque tiene que ser 5 máximo?
Yo ya lo tengo instalado y estoy viendo como funciona por si no sobran plazas xD


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: Zero_Bits en 20 Octubre 2009, 21:48 pm
Ps, si quieren o queda puesto..
Puedo ayudarlos..
Saludos..


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: Hadess_inf en 24 Octubre 2009, 21:22 pm
Suerte con este proyecto.


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: Jubjub en 25 Octubre 2009, 16:09 pm
A ver si se pasa WHK o sdc y nos comentan como ira la cosa :rolleyes:


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: sirdarckcat en 26 Octubre 2009, 02:29 am
estoy esperando a que salga esto en el boletin de octubre, y despues de 1 semana se deciden los integrantes.


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: sirdarckcat en 26 Octubre 2009, 14:18 pm
jaja whk y yo no nos aguantamos las ganas y ya empezamos a ver xD

puse un contador aca:
http://foro.elhacker.net/nivel_web/auditoria_de_seguridad_hacia_simple_machines_forum_20-t271199.0.html

xD

Saludos!


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: Jubjub en 26 Octubre 2009, 16:34 pm
Nueve?!  Sois los jefes :laugh: :laugh: 

Deberiais de puntuarlas, a ver si son graves o leves, no nos dejéis con esta curiosidad ;D


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: sirdarckcat en 26 Octubre 2009, 18:21 pm
quien dijo 9 xD hay otro mas =/ aunque solo afecte a opera/ie6 y ando viendo otro que podria desactivar el acceso a un topic/board (y si habilitas una opcion no-default/eres moderador, foro) haciendo que nunca cargue la web

----
y no son 11 porque PHP tiene timeout en preg_replace, sino podria hacer <censurado>

----
11!! xD

----
lo bajo a 10 denuevo.. aparentemente solo se podra explotar como un DoS que pone el CPU al 100%


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: braulio-- en 26 Octubre 2009, 19:49 pm
Como se hará la elección ? Se pondrá una prueba?


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: Jubjub en 26 Octubre 2009, 21:19 pm
Jugoso lo que va saliendo, a ver si hay suerte y puedo entrar a echar una mano ;D :silbar:


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: shimpei en 26 Octubre 2009, 21:59 pm
sirdarckcat tirame un hueso dale  ;D
me conformo con 1 solo bug remoto que sea bien comprometedor


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: WHK en 27 Octubre 2009, 20:28 pm
se agregó un backdoor encontrado, en el contador del post :silbar:


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: Jubjub en 27 Octubre 2009, 21:43 pm
Un backdoor! De SMF? Esto esta poniendose cada vez mejor :laugh:


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: WHK en 28 Octubre 2009, 20:10 pm
Encontré un bug muy grave en smf 2.0, el que lo tenga instalado no utilize su cuenta de administración para navegar en el foro, solo utilizenlo para hacer sus configuraciones y ese tipo de cosas, despues deslogueense.
Para moderar utilizen una cuenta aparte que sea unicamente de moderación global.


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: braulio-- en 28 Octubre 2009, 21:08 pm
Joeee... cuando se unan los otros no quedarán bugs que encontrar...


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: 1995 en 29 Octubre 2009, 04:05 am
Hola a todos, quisiera participar en el proyecto, me parece una instancia muy relevante el hecho de publicar los resultados, y aún más el trabajo en equipo.

El porqué quisiera participar, pues principalmente es por la motivación de investigar, desarrollar y aprender en conjunto con la comunidad.

Saludos


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: YST en 29 Octubre 2009, 04:11 am
Yo me ofresco para auditar el smf 2.0 ;)


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: c1c4tr1z en 31 Octubre 2009, 03:45 am
Me gustaria participar :)

Seria algo interesante, solamente tengo una duda: Se obvia el instalador? (por los XSSes)


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: WHK en 31 Octubre 2009, 05:14 am
se incluye igual  :P, te agrego al listado de postulantes con los demas.


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: LightOS en 31 Octubre 2009, 13:19 pm
Estoy disponible por si quieres una mano SDC!  ;D


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: WHK en 31 Octubre 2009, 23:05 pm
Hola LightOS, bienvenido al foro!.

Te agregué a la lista de postulantes.


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: sirdarckcat en 1 Noviembre 2009, 05:36 am
hola!

eres el original y verdadero lightos? o un fan xDD

el que h4x0r fux0r30 la red de los cuartos de la mitad de los casinos de las vegas? xDD

bienvenido al foro :)


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: LightOS en 3 Noviembre 2009, 22:17 pm
@WHK: Gracias!
@SDC: Si, el LightOS que te vio bailar y cantar funky town por todo las vegas :P


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: sirdarckcat en 6 Noviembre 2009, 07:20 am
WHK y yo ya hicimos la seleccion.

Hemos decidido no dejar a nadie fuera del proyecto, pero tampoco permitiremos que personas entren a leer los bugs y no colaboren, por lo que se eligio a dos miembros oficiales solamente, y el resto pasara a formar parte del equipo, aunque no podra tener acceso al listado de bugs hasta que encuentren uno.

El proyecto empieza mañana y nos pondremos en contacto con ustedes mañana, por lo pronto solo hacemos el listado de integrantes publico.


Los que pasan a ser miembros (forman a ser parte del proyecto oficialmente):
 * c1c4tr1z - http://foro.elhacker.net/profiles/vyrus90-u108459.html
 * LightOS - http://foro.elhacker.net/profiles/lightos-u370043.html

Deberan estar activamente en el proyecto cada semana.

Los que pasan a ser colaboradores (forman a ser parte del proyecto pero necesitaran encontrar algo antes de tener acceso al resto de los reportes):

 * Np-アクス - http://foro.elhacker.net/profiles/nphacks-u307389.html
 * D3Bć1 - http://foro.elhacker.net/profiles/debci-u307244.html
 * braulio23 - http://foro.elhacker.net/profiles/braulio23-u300868.html
 * fede_cp - http://foro.elhacker.net/profiles/fedecp-u332421.html
 * Jubjub - http://foro.elhacker.net/profiles/jubjub-u267996.html
 * 0x0309 - http://foro.elhacker.net/profiles/0x0309-u334154.html
 * Zero_Bits - http://foro.elhacker.net/profiles/zerobits-u351508.html
 * 1995 - http://foro.elhacker.net/profiles/1995-u310544.html
 * YST - http://foro.elhacker.net/profiles/yst-u343460.html

A ustedes se les dara una serie de tareas donde creemos que podran encontrar vulnerabilidades.. Si no encuentran nada, podran auditar el codigo en general.. Queda a nuestro criterio si algun dia decidimos hacer a algun colaborador miembro oficial.

El resto:
A todos los que encuentren, y nos expliquen POR PRIVADO con lujo de detalle porque la siguiente cadena de BBcode regresa un "<" al ser parseada por SMF, tendra acceso al proyecto como colaborador.

Código:
[tt]www.google.com:80///((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((([/tt]

Simplemente expliquenos POR PRIVADO porque regresa "<" enlugar de la URL.. y listo, es todo lo que deben hacer.

Demo (hagan quote a este topic, y veran el bbcode):
www.google.com:80///(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((

Bueno, es todo chavos!!

Saludos!!


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: Jubjub en 6 Noviembre 2009, 16:19 pm
Magnifico, estaremos esperando esas tareas! :D


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: Debci en 7 Noviembre 2009, 20:36 pm
WHK y yo ya hicimos la seleccion.

Hemos decidido no dejar a nadie fuera del proyecto, pero tampoco permitiremos que personas entren a leer los bugs y no colaboren, por lo que se eligio a dos miembros oficiales solamente, y el resto pasara a formar parte del equipo, aunque no podra tener acceso al listado de bugs hasta que encuentren uno.

El proyecto empieza mañana y nos pondremos en contacto con ustedes mañana, por lo pronto solo hacemos el listado de integrantes publico.


Los que pasan a ser miembros (forman a ser parte del proyecto oficialmente):
 * c1c4tr1z - http://foro.elhacker.net/profiles/vyrus90-u108459.html
 * LightOS - http://foro.elhacker.net/profiles/lightos-u370043.html

Deberan estar activamente en el proyecto cada semana.

Los que pasan a ser colaboradores (forman a ser parte del proyecto pero necesitaran encontrar algo antes de tener acceso al resto de los reportes):

 * Np-アクス - http://foro.elhacker.net/profiles/nphacks-u307389.html
 * D3Bć1 - http://foro.elhacker.net/profiles/debci-u307244.html
 * braulio23 - http://foro.elhacker.net/profiles/braulio23-u300868.html
 * fede_cp - http://foro.elhacker.net/profiles/fedecp-u332421.html
 * Jubjub - http://foro.elhacker.net/profiles/jubjub-u267996.html
 * 0x0309 - http://foro.elhacker.net/profiles/0x0309-u334154.html
 * Zero_Bits - http://foro.elhacker.net/profiles/zerobits-u351508.html
 * 1995 - http://foro.elhacker.net/profiles/1995-u310544.html
 * YST - http://foro.elhacker.net/profiles/yst-u343460.html

A ustedes se les dara una serie de tareas donde creemos que podran encontrar vulnerabilidades.. Si no encuentran nada, podran auditar el codigo en general.. Queda a nuestro criterio si algun dia decidimos hacer a algun colaborador miembro oficial.

El resto:
A todos los que encuentren, y nos expliquen POR PRIVADO con lujo de detalle porque la siguiente cadena de BBcode regresa un "<" al ser parseada por SMF, tendra acceso al proyecto como colaborador.

Código:
[tt]www.google.com:80///((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((([/tt]

Simplemente expliquenos POR PRIVADO porque regresa "<" enlugar de la URL.. y listo, es todo lo que deben hacer.

Demo (hagan quote a este topic, y veran el bbcode):
www.google.com:80///(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((

Bueno, es todo chavos!!

Saludos!!

Mmm voy a probarlo aunque ya este dentro:
www.google.com:80///(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: Castg! en 8 Noviembre 2009, 22:51 pm
Suerte a todos. una vez arreglado los bugs, nos lo diran?


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: WHK en 8 Noviembre 2009, 23:34 pm
claro, de hecho se publicarán primero al staff de simplemachines, si despues de una o dos semanas no lo reparan los publicamos igual a full disclosure.


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: Castg! en 9 Noviembre 2009, 00:51 am
perfecto ;? el problema es que es buenopy malo, buenopara meterte en los foros con smf yt malo por nuestro foro :-(. jajaj. no es que quiero participar, pero sigo intrigado con <. jajaj, estoy revisando linea por linea !.


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: invisible_hack en 9 Noviembre 2009, 18:45 pm
Citar
el problema es que es buenopy malo, buenopara meterte en los foros con smf yt malo por nuestro foro

Supongo que aqui en Elhacker.net irán reparando los bugs según los vayan descubriendo, para eso están haciendo la auditoria  :xD

Un saludo.


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: YST en 9 Noviembre 2009, 18:50 pm
perfecto ;? el problema es que es buenopy malo, buenopara meterte en los foros con smf yt malo por nuestro foro :-(. jajaj. no es que quiero participar, pero sigo intrigado con <. jajaj, estoy revisando linea por linea !.
Los bug son arreglados en nuestro foro antes de publicarlos:P


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: Castg! en 9 Noviembre 2009, 19:16 pm
claro! medio idiota lo mio no!? jajaj


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: braulio-- en 9 Noviembre 2009, 19:58 pm
Pero la versión del foro es 1.1... la que estamos auditando es 2.0


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: fede_cp en 9 Noviembre 2009, 22:14 pm
eso mismo iba a decir, el foro elhacker.net , no es smf 2.0


saludos


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: YST en 10 Noviembre 2009, 02:10 am
eso mismo iba a decir, el foro elhacker.net , no es smf 2.0


saludos

Pero nos cambiaremos a smf 2.0 :P


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: fede_cp en 10 Noviembre 2009, 04:23 am
medio colgado yo no, pero la auditoria es sobre smf 2.0 RC2??

saludos y gracias por la atencion


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: YST en 10 Noviembre 2009, 06:57 am
medio colgado yo no, pero la auditoria es sobre smf 2.0 RC2??

saludos y gracias por la atencion
En principio era de RC1 ( no habia salido RC2 cuando se empezo ) pero ahora(me parece) es de RC2 ya que es la version mas actual ;)


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: sirdarckcat en 10 Noviembre 2009, 07:49 am
(http://i.elhacker.net/i?i=FUoeUxq5-TVANDfmbpvLk2Vo) (http://i.elhacker.net/d?i=FUoeUxq5-TVANDfmbpvLk2Vo)


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: braulio-- en 10 Noviembre 2009, 14:54 pm
(http://i.elhacker.net/i?i=FUoeUxq5-TVANDfmbpvLk2Vo) (http://i.elhacker.net/d?i=FUoeUxq5-TVANDfmbpvLk2Vo)
Sentís curiosidad ? :xD


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: sirdarckcat en 10 Noviembre 2009, 15:10 pm
cabe mencionar que hay mas pero esque solo esos cabian en la pantalla =/ jajaja..

la proxima semana se reportaran todas las vulnerabilidades a SMF al  mismo tiempo.. en 2 semanas si SMF no las arreglo, publicaremos nuestros parches y exploits ^.^ y si se encontraron nuevas vulnerabilidades, se reportaran a SMF que si no las arreglan en 2 semanas, se haran publicas con su parche y etc.. jajaj

Saludos!!


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: WHK en 10 Noviembre 2009, 22:05 pm
el primer item igual se nota bastante claro en la imagen xD


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: WHK en 11 Noviembre 2009, 04:50 am
Hay twitter disponible  :D
http://twitter.com/simpleaudit


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: jdc en 11 Noviembre 2009, 06:52 am
Siguiendo...


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: WHK en 11 Noviembre 2009, 08:08 am
Por si alguien lo quiere también hay feedburner:

Código
  1. <a href="http://twitter.com/simpleaudit">
  2. http://feeds.feedburner.com/Twitter/Simpleaudit.gif
  3. </a>

(http://feeds.feedburner.com/Twitter/Simpleaudit.gif) (http://twitter.com/simpleaudit)


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: shimpei en 12 Noviembre 2009, 03:57 am
yo digo que les den 3 dias para arreglar todos los bugs no 15. la gente de SMF siempre se mostraron como uno desagradecidos y unos culo roto con toda la gente que ayuda a depurar sus codigos llenos de fallas (y ahora backdoors) si no fueera por esta auditoria el tema del backdoor habria sido descubierto cuando la gente de smf haga algun desastre masivo  ;D


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: Castg! en 13 Noviembre 2009, 19:52 pm
Encontre un huevo de pascua, la cosa es asi, en el source de subs.pohp hay un comentario del autor que dice: "//shhhh!" y me parecio raro. me lo puise a ver y vi que si en un mensaje, post o comentario pones:
Código:
[kissy]caca[/kissy]
el resultado va a ser: caca :-* si te ienteresa te paso la linea exacta. quoteen este post para verlo sino.


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: invisible_hack en 13 Noviembre 2009, 23:55 pm
Creo que habria que darles bastante mas de dos semanas para arreglar todos los bugs...

Aunque no sé la rapidez que tendrán los de SMF reparando fallos de seguridad, pero vamos, habría que ser extremadamente habil para reparar tantos fallos, en tan diversos sitios del codigo de SMF, y en tan poco tiempo...

Tengan en cuenta que, aunque aqui cuando se reporten los bugs pues aqui ya estarán reparados, esos bugs pueden ser usados por otros lammos para andar fastidiando en otros SMF...y eso no molaría...

Un saludo.


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: YST en 14 Noviembre 2009, 00:12 am
Ya van como 42 :P En 2 semanas si los reparan , pero es imposible en 3 dias como decia el otro tipo :xD


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: invisible_hack en 14 Noviembre 2009, 00:33 am
Por cierto...¿qué porcentaje del total de código de SMF se ha analizado ya? Lo digo por hacernos una idea de cuanto queda para que se termine la auditoria...

Un saludo.


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: YST en 14 Noviembre 2009, 02:14 am
Por cierto...¿qué porcentaje del total de código de SMF se ha analizado ya? Lo digo por hacernos una idea de cuanto queda para que se termine la auditoria...

Un saludo.

Me parece que WHK analizaba mas ordenadamente el codigo :P , pero no existe algo de que hoy analizaremos el index.php el otro dia otro PHP etc.. ;cada persona analiza como quiere y lo que quiere :P


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: Castg! en 14 Noviembre 2009, 03:05 am
lo mio cuenta como bug yst?


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: invisible_hack en 14 Noviembre 2009, 03:16 am
Citar
;cada persona analiza como quiere y lo que quiere

Ahh vale, pensé que os poniais deacuerdo los del grupo o algo...

Bueno pues entonces quedará bastante hasta que finalice, porque si se va por libre...el codigo de SMF es bastante extenso...

En fin si puedo echar una manita...aunque sea pequeña...aqui estoy...

A ver si un dia de estos me bajo el paquete de SMF y me pongo a cotillear  :silbar:


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: YST en 14 Noviembre 2009, 03:48 am
lo mio cuenta como bug yst?
Nop :P


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: braulio-- en 15 Noviembre 2009, 18:21 pm
Hoy se notificaban los bugs a SMF...
A ver como se quedan :xD


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: WHK en 30 Noviembre 2009, 19:39 pm
Varios me preguntan por privado sobre la publicación de los bugs ya que el dia plazo es hoy.

todavía estoy terminando de crear los post con las vulnerabilidades asi que en  unos momentos mas lo pegaré justo al post con chincheta de la auditoría.

Solamente se publicarán los bugs reportados, el resto quedarán para el próximo mes :P

Cuando lo termine lo verán pegado arriba y avisaré en este mismo post asi que paciencia.


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: WHK en 30 Noviembre 2009, 23:18 pm
Bueno, ya terminé, ahora tengo que crear los parches antes de publicarlo  :-\ puede que me demore un poco  :P


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: Masita en 30 Noviembre 2009, 23:21 pm
 ;) Esperamos impacientemente ver vuestro trabajo ^^


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: Castg! en 30 Noviembre 2009, 23:36 pm
NO tengo PACIENCIA!  :rolleyes: :rolleyes: :rolleyes: :rolleyes:


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: WHK en 1 Diciembre 2009, 00:18 am
tranquilo, llevo 2 de 45 xD


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: Castg! en 1 Diciembre 2009, 00:24 am
mato tu onda xD!
espero espero .....


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: mer77 en 1 Diciembre 2009, 20:35 pm
Esperamos con ansias!

Se van a publicar todos juntos o primero los de smf 1.x y luego los de smf 2.x ?


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: YST en 1 Diciembre 2009, 20:50 pm
Esperamos con ansias!

Se van a publicar todos juntos o primero los de smf 1.x y luego los de smf 2.x ?

Los bug son de SMF 2.0 la auditoria es a SMF 2.0 :xD

Alguno de los bugs andan en las 2 versiones eso si ;)

PD: Apuren a WHK que ya se paso el plazo :xD


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: WHK en 2 Diciembre 2009, 01:34 am
si, incluso ya se avisó a simplemachines que el full disclosure se haría en tres dias mas para alcanzar a hacer todos los parches.


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: Castg! en 2 Diciembre 2009, 02:58 am
 :¬¬ todo mal, voy a viajar hasta chile para quemar a whk con aceite hirviendo y se hecharle a los perros que elbrujo tiene guardado.


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: WHK en 2 Diciembre 2009, 04:03 am
Publicadoooo!!!!

http://foro.elhacker.net/nivel_web/auditoria_de_seguridad_hacia_simple_machines_forum_20-t271199.0.html

(http://www.ahiva.info/Colorear/Circo/Presentadores/Presentador-01.gif)

Recuerden, cualquier duda, pregunta, aporte, parches, demandas o lo que sea por favor escribanlo en este post.

Ahora queda esperar al post especial de navidad  :D


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: shimpei en 2 Diciembre 2009, 05:06 am
ahora hagan una auditoria en brazzers o alguna de esas paginas como regalo de navidad  :-X


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: YST en 2 Diciembre 2009, 05:50 am
ahora hagan una auditoria en brazzers o alguna de esas paginas como regalo de navidad  :-X

Yo quiero auditar un banco xD . Con los bugs que descubre WHK y SDC me hago millonario xD


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: Blitzkrieg' en 2 Diciembre 2009, 21:43 pm
Que trabajazo!

Felicitaciones  ;D


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: WHK en 3 Diciembre 2009, 19:23 pm
Ya adjunté al post principal dos soluciones mas para las siguientes fallas de seguridad:

XSS en "theme name" de "themes and layout settings"
http://foro.elhacker.net/nivel_web/auditoria_de_seguridad_hacia_simple_machines_forum_20-t271199.0.html;msg1358063#msg1358063

XSS en "theme url and settings"
http://foro.elhacker.net/nivel_web/auditoria_de_seguridad_hacia_simple_machines_forum_20-t271199.0.html;msg1358065#msg1358065


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: invisible_hack en 3 Diciembre 2009, 19:24 pm
Por cierto dandome una vuelta por el soporte de SMF acabo de ver que el 1 de este mes ya han sacado la 1.11

EDITO: Acabo de ver que ya se actualizó el foro a la nueva versión  :xD



Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: carloseow en 4 Diciembre 2009, 01:19 am
qué buena forma de aprender.



Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: sirdarckcat en 4 Diciembre 2009, 09:06 am
ya anda en security focus
http://www.securityfocus.com/bid/37182/info


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: sceuss en 27 Diciembre 2009, 07:28 am
Felicidades, un muy buen trabajo.


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: electronik_0 en 29 Diciembre 2009, 19:48 pm
ahora hagan una auditoria en brazzers o alguna de esas paginas como regalo de navidad  :-X

Yo quiero auditar un banco xD . Con los bugs que descubre WHK y SDC me hago millonario xD

todo un experto en injecciones ahora  :rolleyes: :rolleyes: y uno que ya no hace nada :(



saludos...


Título: Re: Proyecto de Auditoria a SMF 2.0 - Laboratorio de Bugs/Nivel Web
Publicado por: AlbertoBSD en 6 Enero 2010, 05:25 am
La verdad, un excelente trabajo.

Estoy reproduciendo la mayoria de los errores que mencionan.

Saludos