¿Qué se debe incluir en las reglas básicas para una revisión de ataque?

Navega tus respuestas
8

He redactado algunas reglas básicas para una llamada para un ataque adverso -revisión. He tratado de cubrir los siguientes temas:

  1. Enlace a la política que deseo aplicar.
  2. Enlace a un mínimo banco de pruebas e instrucciones de instalación si eso resulta engorroso.
  3. Algunas sugerencias sobre cómo demostrar un ataque.
  4. Lo que un atacante podría ganar.
  5. Lo que está fuera de los límites: cosas que, si son atacadas, no darán crédito.
  6. Cómo divulgar una vulnerabilidad, reclamar crédito, etc.
  7. Punteros a foros para más preguntas.

¿Qué debería cubrir un documento como este? ¿Algo que deba agregar o dejar de lado?

¿Qué hay en mi borrador específico (enlace anterior) es confuso, está mal pensado o simplemente es tonto?

    
pregunta Mike Samuel 23.08.2011 - 20:23
fuente

1 respuesta

2

Creo que tu documento es genial.

Si me obligaste a criticar algo , mencionaría dos cosas:

  1. Comprender la política que deseas aplicar requiere cierta acción: requiere leer un montón de códigos y expresiones regulares. No sé si eso es evitable.

  2. El escenario de ataque parece un poco limitado. Las reglas básicas no parecen abarcar el caso en el que el fragmento HTML desinfectado (por ejemplo, de un vendedor de eBay) se compone junto con un HTML de confianza (del propio eBay) para formar un documento HTML, y no dice qué propiedades de seguridad Se debe hacer cumplir en este caso. Por ejemplo, en ese tipo de situación, el lector se ve obligado a adivinar si está tratando de proteger la confidencialidad del resto de la página. Si el fragmento HTML desinfectado puede descubrir de alguna manera el valor de otros secretos almacenados en el mismo documento (por ejemplo, tokens CSRF encontrados en parámetros de forma oculta en la parte confiable del documento) y eliminarlos, ¿es un ataque? Sospecho que sí, lo es.

Pero estas son críticas menores, y creo que las reglas básicas publicadas son excelentes.

    
respondido por el D.W. 24.08.2011 - 09:36
fuente

Lea otras preguntas en las etiquetas

¿Almacenar el secreto de TOTP en una base de datos, texto sin formato o cifrado? ¿Hay algo como una lista / base de datos de IP de servidor proxy conocida?