Foro de elhacker.net

Seguridad Informática => Seguridad => Mensaje iniciado por: mr-medi en 16 Diciembre 2019, 20:58 pm



Título: Duda - Simular entorno vulnerable
Publicado por: mr-medi en 16 Diciembre 2019, 20:58 pm
Buenas, estoy llevando a cabo un proyecto que consiste en hacer una especie de battlefield online de hackers  :xD.

La idea es subir al servidor una pagina como puede ser una agencia de viajes totalmente funcional pero con vulnerabilidades para que los usuarios las exploten y aprendan, pero antes de implementar el componente online me gustaría asegurarme de desarrollar bien la seguridad del sistema. La cosa es que cuando ese proyecto vulnerable es subido a un servidor ¿como se podría simular una especie de entorno seguro dentro del proyecto para no comprometer la seguridad del servidor y de los usuarios que se encuentren en esa misma partida?

Saludos.


Título: Re: Duda - Simular entorno vulnerable
Publicado por: BloodSharp en 16 Diciembre 2019, 23:58 pm
¿como se podría simular una especie de entorno seguro dentro del proyecto para no comprometer la seguridad del servidor y de los usuarios que se encuentren en esa misma partida?

No soy experto en servidores, pero no creo que se pueda proteger al 100% un servidor vulnerable y que quienes prueben la vulnerabilidades una vez dentro encuentren en los logs y escaneos de otros terceros en juego...


B#


Título: Re: Duda - Simular entorno vulnerable
Publicado por: @XSStringManolo en 17 Diciembre 2019, 06:14 am
Se simulan/emulan los fallos. No hace falta hacerlos de verdad. Aunque también se puede.

if(inputText.value == "\"/>confirm()")
{
alert("Enhorabuena, explotaste un bug");
}

if(login.value == "1\' or \'1\' = \'1")
{
contenedor.innerHTML = arrayBaseDeDatos;
}


Título: Re: Duda - Simular entorno vulnerable
Publicado por: mr-medi en 17 Diciembre 2019, 23:12 pm
Se simulan/emulan los fallos. No hace falta hacerlos de verdad. Aunque también se puede.
Lo único es que la idea es que sean los usuarios quienes suban las paginas vulnerables para que los demas jugadores encuentren esos fallos, no es mala la idea de simular fallos pero en este caso no creo que quede bien.
¿Sabes si se podría crear un servidor virtualizado para esas paginas vulnerables?
Aunque ahora que lo pienso como lo hacen las paginas que tienen retos de hacking con paginas vulnerables


Título: Re: Duda - Simular entorno vulnerable
Publicado por: @XSStringManolo en 17 Diciembre 2019, 23:33 pm
Por qué no va a quedar bien? El usuario no sabe lo que pasa en el back-end.
Normalmente se da una página a cada usuario por cuenta. De tal forma que solo el usuario que entre en la cuenta pueda ver sus scripts inyectados.

Yo no pondría un sevidor vulnerable sin ser un experto. Igual dejas la puerta abierta a una escalada real sin tener la menor idea y se infecta a todos los usuarios.

Si tuviese que hacerlo así, desarrollaría mi propio servidor. Quizás emulando la máquina virtual de dalvik.