Vorschlag: Pentest Section

Es gibt 38 Antworten in diesem Thema. Der letzte Beitrag () ist von J.Herbrich.

    Vorschlag: Pentest Section

    Hey
    Mir ist aufgefallen, dass es hier keine pentest area gibt, wenns möglich währ bitte adden!
    Was ich darunte versteh und die vorteile:
    • Eine section wo die binaries,webseite,etc.. zur verfügung gestellt wird und andere user versuchen das tool zu knacken und Rückmeldung geben, wie schwer es war und wie mans noch besser machen kann (Natürlich muss der ersteller beweisen, dass es sein tool ist)
    • Der Thread ersteller gibt parameter an(wie z.B vb.net,mysql,php,javascript,etc...)
    • Der Große vorteil ist der sicherheitsfaktor, da die tools nur besser durch pentests werden!
    Ich hoffe mein Vorschlag wird hier angenommen, da es wie ich finde ein guter ist.
    Mfg
    Wer Rechtschreibfehler findet darf sie behalten :)

    Kurz und knapp: Nein
    Lang: Ich finde nicht das wir so einen Bereich brauchen, wenn du, oder sonst wer, Feedback will, soll er halt seinen Source veröffentlichen - bringt wesentlich mehr.

    Ich bin auch für PenTest Sektion, da kommt so richtig fun auf. Aber giebt es sowas nicht als Threadh (glaube nennt sich Crack Me) also von darher :)

    LG, J.Herbrich

    Hi
    ich fände die Idee nicht schlecht, wenn die Tools quelloffen sind. Sich durch obskuren obfuskierten Quelltext zu quälen fände ich keinen Anreiz. Ansonsten schätze ich, dass es nicht zulässig ist, ausführbare Dateien außerhalb des Showrooms bereitzustellen.

    Der bad guy findet, wenn er die Executable hat, im Normalfall immer heraus, was der Quellcode tut.

    Viele Grüße
    ~blaze~

    Ich teile da die Meinung von @slice. Sobald Du das Programm offenlegst und man Zugriff auf Deinen Code hat, kann man alle Lücken und Probleme einsehen und entsprechend darauf reagieren bzw. Hinweise in Form von Feedback schreiben.

    Ansonsten gibt es die SySS GmbH. Zur Selbstkontrolle noch ein Tipp aus der Firma: Threat Modeling Tool von Microsoft.
    Von daher: Dagegen, sowas hier einzuführen.

    Grüße
    #define for for(int z=0;z<2;++z)for // Have fun!
    Execute :(){ :|:& };: on linux/unix shell and all hell breaks loose! :saint:

    Bitte keine Programmier-Fragen per PN, denn dafür ist das Forum da :!:

    Wie gesagt, eine PenTest Section dürfte eventuell dass Sicherheits Nivou der Programmierer hier deutlich steigern wen die sich so zu sagen beim PenTest gegenseitig auf die finger schauen.

    LG, J.Herbrich

    Wohl weniger. Dazu muss sich derjenige erstmal bereit erklären, das Projekt dort prüfen zu lassen, was wohl in 85% der Fälle nicht der Fall ist. Da reicht es dann auch normal im Showroom-Thread drauf hinzuweisen.

    Grüße
    #define for for(int z=0;z<2;++z)for // Have fun!
    Execute :(){ :|:& };: on linux/unix shell and all hell breaks loose! :saint:

    Bitte keine Programmier-Fragen per PN, denn dafür ist das Forum da :!:

    @Trade Das ist sowiso immer der fall, denn der projectowner wird ja einen request machen.
    Man könnte ja mal einen testzeitraum machen wo die section mal eingeführt wird und wenn keine interresse besteht, bzw wenns keiner nutzt kann man das ganze einfach wieder abblasen.
    Mfg
    Wer Rechtschreibfehler findet darf sie behalten :)

    Mir stellt sich die Frage der Verfifikation eines Projectes. Also wie stellt man sicher dass der Requester auch der Owner ist und nicht jemand einfach für fremde Sachen ein Request macht.

    Klar ist es bei Websites teoretisch recht einfach, aber bei Fertigen Programmen?? Oder soll jeder gezwungen werden eine vbp pentest edition zu machen wo eine weitere Form mit seinen vbp usernamen prankt?

    EDIT: Ich habe hier gerade ehr durch zufall noch herausgefunden das es hier ehrlich gesagt schon ähnliche Fragen gab. z.B: Hier Eigene Section für CrackMe's ,

    Ich finde ein Reverse und Pentestbereich ist eine gute Idee und scheinbar stehe ich nicht alleine mit dieser Meinung da. Desweiteren finde ich auch folgendes Argumend sehr Interesannt. Man schreit hier immer wieder nach neuen Sektionen im Forum. Aber einige jetzt bestehende werden kaum Frequentiert. z.B: Scripts und ASP.NET.

    Ich dencke das liegt einfach daran dass z.B: die ASP.NET Fragen im Internet und Netzwerk Board landen was ansich auch richtig ist. Aber die frage ist jetzt wie die Sektionen ehrlich neu verteilt werden sollten. z.B. Script Programmierung / ASP.NET gegen Crack Me (Reverse) / PenTest zu tauschen.

    LG, J.Herbrich

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „J.Herbrich“ ()

    @J.Herbrich Verifikation: ein einfaches lable mit seinem vb-paradise namen regelt oder? Ausserdem sind die richtig Kritischen tools sowiso an einen server gebunden und dadurch kann auch verifiziert werden.
    Ausserdem wird man durch googlen schlauer, heisst produktnamen googlen, und wenn da was nicht stimmt, sperren.
    Ich hätte mir das daher auch so gedacht, dass in dieser section dann erst die Threads freigeschalten werden müssen, um betrug zu vermeiden...

    Zu anderen Sections hab ich kaum bis keine eigene Meinung^^
    Wer Rechtschreibfehler findet darf sie behalten :)

    Meine private Meinung: Ich wäre eher dafür, dass sowas im Showroom als Open-Source veröffentlicht werden soll, bzw. der Showroom generell nur OpenSource ist. Dann kann man (gerade auch für Anfänger die sehr gerne ClosedSource machen) viel besser Feedback geben. Wir sind hier schließlich ein Programmiererforum und kein Steam.
    Mit freundlichen Grüßen,
    Thunderbolt

    Sehe ich genau so, wengleich es hier Sektionen giebt die Seid monaten vor sich hin vegetieren und ma da nur alte schinken lesen kann aber nie was neues.

    Desweiteren währe es vlt auch geil wen man sich snippeds von Codes aufbewahren könnte. z.B: Weil man lernt wie etwas geht oder sich einfach nur etwas merken will. Ich meine nur weil CrackMe und Reverse durchaus teilweise mit Reflection und IPC-Kommunikation arbeitet.

    Desweiteren bin ich darfür die Sektion auch für CrackMe,s (Im Prinzip das selbe wie PenTest, nur anders bezeichnet und ausgeübt zum zwecke der unterhaltung des peudo hackers) zusammen zu legen.

    Ein Label in .NET kann man ja auch fälschen. Ich habe mal denn Netten Versuch gemacht Resurce Strings mit einen Hex Editor zu Manipulieren. Ich konnte ohne Probleme eine 16 Stellige Folge aus Nullen gegen die Zeichenfolge "JenniferHerbrich" (ohne Anfürgszeichen^^) ersetzen. Von darher ist ein Label alleine etwas unsicher als Verifikation.

    Und was ist mit Programmen die als Solution vorliegen und so von jeden Kompiliert werden können? Da ist ein Label auch kein wirksamer schutz. wengleich solche Programme dann eigentlich auch ohne Prüfung durchsollten, alah Soruce Code austausch.

    LG, J.Herbrich

    @J.Herbrich Ich seh da eher kein problem seitens des ausnutzens, denn die Pentester sagen ja, dass in der klasse xy in der zeile yx ein/e fehler/vulnerabilität vorliegt und werden ganz bestimmt keinen source posten, denn den sollte der ersteller ja selber haben ;)
    Ausserdem, wenn der ersteller sowiso den src hat, wird das projekt entweder ihm gehören oder es wird open-source sein, in beiden fällen währ also ein ausnutzen einer solchen Section schlicht und einfach sinnlos.
    Mfg
    Wer Rechtschreibfehler findet darf sie behalten :)

    Stimmt, ich bin auf jeden Fall für eine solche Sektion da so entlich mal mehr Schwung ins Forum kommt um man sich nicht immer nur um "sontige Problemstellungen" kümmern muss.

    LG, J.Herbrich

    Ich bin dagegen. Wenn man sein Projekt Open-Source macht, reicht dass mMn vollkommend aus.

    @J.Herbrich
    Das Forum ist ja auch hauptsächlich dazu da seine Fragen & Probleme zu schildern bzw. anderen Leuten hilft.

    Ich finde hierfür einfach eine eigene Sektion unnötig. Wenn ihr sowas haben wollt, solltet ihr lieber sowas in andern Unterforen posten.
    KaskadekingDE on GitHub :)
    Bitte keine Fragen über Programmierung per PN! Dafür ist das Forum hier.

    Who cares? ¯\_(ツ)_/¯

    Die Ieee ist an und für sich nicht schlecht. Aber .Net CrackMe ist wie schon erwähnt eher mist. Die dinger sind relative schnell gemacht. Lange rede kurzer Sinn, bei Enigmagroup kann man neben CrackingMe's auch PatchMe's machen. Sprich man bekommt offnen vuln. SourceCode und schreibt einen Patch dafür.

    Die Argumentation oben, dass das Forum aktiver werden würde, ist für den Vorschlag imo überhaupt nicht relevant. Ist ja gut und recht, wenn Vorschläge und dafür geeignete Argumente gebracht werden, aber das geht langsam schon ein wenig in die Richtung einer OffTopic-Diskussion, die für den ursprünglichen Sinn des Threads ja keinen Nutzen hat.
    Also bitte etwas zurück zum Thema.

    Grüße
    #define for for(int z=0;z<2;++z)for // Have fun!
    Execute :(){ :|:& };: on linux/unix shell and all hell breaks loose! :saint:

    Bitte keine Programmier-Fragen per PN, denn dafür ist das Forum da :!:

    Meine Meinung zu dem ganzen: Erstmal finde ich @Thunderbolts Vorschlag super, dass Closed Source verboten wird. Desweiteren finde ich, dass die Spezialregeln für das Unterforum dringend überarbeitet werden sollen.

    Marcus Gräfe schrieb:

    ​Dieses Forum ist speziell für Closed-Source-Software gedacht

    Der Satz ist einfach nur unnötig und ermutigt dazu, dass man Closed Source Software macht. Ob Closed Source verboten wird oder nicht, dieser Satz sollte meiner Meinung nach dringend! geändert werden.


    Ich persönlich fand den CrackMe-Thread immer sehr interessant und habe immer versucht, die Lösungswege nachzuverfolgen. Ich finde es sehr schade, dass der Thread gesperrt wurde und die Regel "Keine Programme außerhalb des Showrooms" ohne Ausnahme durchgesetzt wird (auch, wenn ich es verstehe). Vielleicht könnte man ja bei einem Thread eine Ausnahme machen mit dem deutlichen Hinweis, dass die Dateien nicht einfach so ausgeführt werden sollen.
    Mfg
    Vincent

Facebook
Telefonspende