Foro de elhacker.net

Seguridad Informática => Nivel Web => Mensaje iniciado por: WHK en 11 Mayo 2009, 22:07 pm



Título: Reglas del subforo Bugs y Exploits a nivel WEB (Lee esto antes de postear)
Publicado por: WHK en 11 Mayo 2009, 22:07 pm
Primeramente citar lo siguiente:
http://foro.elhacker.net/reglas#II.A.2

Citar
II.A.2. Datos de terceros.
II.A.2.a. Política de disclosure.

    En los foros públicos, la publicación de vulnerabilidades en sitios Web específicos, esta permitida, si y sólo si: ésta tiene un pagerank igual o superior a 4, fue publicada en otro lugar previamente, y el enlace se mantenga firme con lo estipulado en la sección II.A.2.b. En caso de que la vulnerabilidad sea de un software distribuido, se podrá describir la vulnerabilidad en el foro correspondiente. Sin embargo, en ese caso, esta prohibido colocar sitios Web vulnerables de terceros.

II.A.2.b. Manejo de enlaces.
    Solo se permite colocar hipervínculos a páginas Web a las cuales están enlazadas desde alguna parte del sitio web. Esto significa que solo se puede colocar un enlace dentro victima.com, si y solo si en victima.com ese enlace existe en algún lugar. Por lo que no se pueden colocar enlaces directos a la explotación de un XSS, SQL injection, o cualquier tipo de vulnerabilidad, o revelación de información.
    En caso de que el enlace cumpla con esta regla, además deberá estar relacionada con el tema discutido, esta prohibido dar enlaces a sitios web de "referidos", y si enlazas a una web tuya, esta deberá tener información relevante respecto al tema.

II.A.2.c. Sección de advisories.
    Existe una sección de advisories en la web (http://www.elhacker.net/advisories), esta es para que ahí se publiquen los advisories que usuarios del foro hayan publicado, sin embargo la publicación de advisories, deberá ser hecha en el foro de bugs y exploits, y sera colocada en la web a discreción del administrador.

Se agrega también que:
No hay ventas de ningún tipo!
Acá no se vende nada por lo tanto si alguien insiste en realizar una venta tenga por seguro que yo o algún moderador global tiene todo el derecho de eliminar dicho post sin aviso alguno.

Este es un lugar para compartir y aprender, no para hacerse de dinero ni pagar por el conocimiento. Si fuera por eso entonces mejor cerramos el foro y nos vamos a una universidad y no es la idea.

Resumo..
Si se pueden publicar temas que estén directamente relacionados con sistemas CMS públicos, en caso de ser privado solo se podrá publicar con el consentimiento de su creador.

También se puede publicar temas relacionados con scripts relacionados directamente como por ejemplo plugins, módulos, themes, etc.

Solamente se puede publicar temas relacionados con sitios Webs externos si existe alguna otra referencia del tema, esto es para evitar problemas legales a futuro, en caso contrario los Moderadores de este subforo o alguien con mayor nivel de acceso puede modificar o eliminar el tema sin previo aviso. De todas formas se tratará lo mayormente posible de avisar antes de realizar alguna acción siempre y cuando el impacto no sea muy alto.
Si no sabes donde publicar tu información puedes crear un blog en blogger.com o wordpress.com por ser de fácil y rápida creación obiamente rigiendo las reglas de cada sitio.

Si se pueden colocar enlaces directos como prueba de concepto solo si ha sido publicado su referencia externa o si es con la aprobación del dueño del sitio o sistema afectado. En este caso puedes crear tu laboratorio o script de ejemplo dentro de tu web y publicar su prueba si lo deseas ya que tu mismo serías el propietario y fuente.

La publicación de herramientas debe ser explicativa y con mayor razon si no es de tu propiedad, en caso contrario será considerado "SPAM" (Esto es para evitar los post donde solo se publica el enlace y nada mas).

El enlace de fuente debe explicar el contenido de lo comentado. No se puede poner un enlace donde aparezca un par de dias y despues quede en otro lugar, lo correcto es poner el enlace de la noticia directa y no de la portada por ejemplo a emnos que la noticia permanezca ahi siempre.

Post que pregunten sobre como iniciar en la seguridad a nivel WEB
Ya existe un post hecho para la gente que quiere aprender sobre como iniciarse en la seguridad a nivel WEB:
http://foro.elhacker.net/nivel_web/iquestcomo_iniciarse_en_la_seguridad_web-t279791.0.html
Por lo tanto si alguien llega preguntando lo mismo "¿Como puedo iniciarme?" o "Como empiezo a aprender", etc etc serán eliminados sin previo aviso. Si alguien tiene dudas al respecto de sus mismos inicios en el tema puede hacer sus preguntas en ese mismo tema mensionado anteriormente.

Cualquier cambio a estas reglas no se efectuará necesariamente con su aviso anticipado. Cualquier moderador local o global puede hacer cualquier tipo de modificación al respecto.

Las reglas pueden ser evadidas siempre y cuando sea con el consentimiento del Administrador del foro unicamente.