Salutations,
c'est très con, mais j'aurai dû y penser avant: ayant des compétences (enfin, me semble-t-il?!) en matière de sécurité applicative web, j'aimerai savoir qui serait intéressé et accepterait que j'attaque ses jeux web pour tâcher d'y trouver des failles?
Mon but, en pratique, serait de me re-frotter à des cas concrêts et pratiques, qui me manquent un peu, plutôt qu'à des labs/CTF/et autres environnements "hack me" prévus pour s'entrainer... mais qui n'ont pas de réalité derrière: on sait qu'ils sont faillibles, et les failles trouvées ne seront pas corrigées (puisque c'est pour s'entrainer). J'aimerai donc trouver des projets où les failles trouvées seront alors corrigées (théoriquement).
Sur le principe, comment ça se passe? Cela se passerait ainsi:
1) Autorisation de la part du créateur du jeu, et de son équipe s'il y en a. On définit un périmètre d'attaque, sous la forme: qui attaque (moi uniquement), qui est attaqué (les noms de domaine du site par exemple, est-ce qu'il faut pousser jusqu'à la DB derrière? jusqu'à d'autres serveurs internes s'il y en a [souvent, non]? etc), dans quelle mesure (uniquement via le web? via social engineering? side-channel [exemple-type: attaquer un mutu OVH via un autre mutu OVH]? etc) et pour quelle période (2019? jusqu'en 2020? 2022? etc). Ca peut se faire via Discord (cf channel JeuWeb, je suis là le soir, suffit de demander), par MP sur le forum, ou simplement en réponse à ce message (on va dire que cela suffira).
2) Recherche de failles de ma part, "quand j'ai le temps". Je ne compte pas faire payer (on n'est que des amateurs de jeux, donc niveau budget...), en conséquence, je "travaille" quand j'aurai le temps.
3) Quand une faille est trouvée, je la reporte: contexte, description de la faille, exploitation possible (avec proof of concept), pistes de corrections. Ce rapport est uniquement donné au créateur de jeu (celui du point 1)
4) Enfin, une fois que le créateur de jeu m'en a donné l'autorisation, je publie sous la forme d'un article, la faille trouvée. Idéalement, j'aimerai que cela puisse se faire dans les 90j suivant le signalement, histoire de ne pas laisser trainer des trucs 15 ans... Après, plus le créateur attend, plus il s'expose, c'est lui qui prend des risques : )
Voilà, ça me manque un peu les cas concrets, alors, pourquoi ne pas en trouver ici? Si vous avez des questions, n'hésitez pas.
Edit: les rapports finirait sur mon blog perso, https://toile.reinom.com . Je ne l'avais pas précisé. Le but étant bien clairement que ce soit moi qui l'endosse, et non la communauté JeuWeb.
c'est très con, mais j'aurai dû y penser avant: ayant des compétences (enfin, me semble-t-il?!) en matière de sécurité applicative web, j'aimerai savoir qui serait intéressé et accepterait que j'attaque ses jeux web pour tâcher d'y trouver des failles?
Mon but, en pratique, serait de me re-frotter à des cas concrêts et pratiques, qui me manquent un peu, plutôt qu'à des labs/CTF/et autres environnements "hack me" prévus pour s'entrainer... mais qui n'ont pas de réalité derrière: on sait qu'ils sont faillibles, et les failles trouvées ne seront pas corrigées (puisque c'est pour s'entrainer). J'aimerai donc trouver des projets où les failles trouvées seront alors corrigées (théoriquement).
Sur le principe, comment ça se passe? Cela se passerait ainsi:
1) Autorisation de la part du créateur du jeu, et de son équipe s'il y en a. On définit un périmètre d'attaque, sous la forme: qui attaque (moi uniquement), qui est attaqué (les noms de domaine du site par exemple, est-ce qu'il faut pousser jusqu'à la DB derrière? jusqu'à d'autres serveurs internes s'il y en a [souvent, non]? etc), dans quelle mesure (uniquement via le web? via social engineering? side-channel [exemple-type: attaquer un mutu OVH via un autre mutu OVH]? etc) et pour quelle période (2019? jusqu'en 2020? 2022? etc). Ca peut se faire via Discord (cf channel JeuWeb, je suis là le soir, suffit de demander), par MP sur le forum, ou simplement en réponse à ce message (on va dire que cela suffira).
2) Recherche de failles de ma part, "quand j'ai le temps". Je ne compte pas faire payer (on n'est que des amateurs de jeux, donc niveau budget...), en conséquence, je "travaille" quand j'aurai le temps.
3) Quand une faille est trouvée, je la reporte: contexte, description de la faille, exploitation possible (avec proof of concept), pistes de corrections. Ce rapport est uniquement donné au créateur de jeu (celui du point 1)
4) Enfin, une fois que le créateur de jeu m'en a donné l'autorisation, je publie sous la forme d'un article, la faille trouvée. Idéalement, j'aimerai que cela puisse se faire dans les 90j suivant le signalement, histoire de ne pas laisser trainer des trucs 15 ans... Après, plus le créateur attend, plus il s'expose, c'est lui qui prend des risques : )
Voilà, ça me manque un peu les cas concrets, alors, pourquoi ne pas en trouver ici? Si vous avez des questions, n'hésitez pas.
Edit: les rapports finirait sur mon blog perso, https://toile.reinom.com . Je ne l'avais pas précisé. Le but étant bien clairement que ce soit moi qui l'endosse, et non la communauté JeuWeb.
