Al probar vulnerabilidades de seguridad en sitios como los Proyectos OWASP, ¿debemos estar en un entorno seguro / protegido?

Navega tus respuestas
6

Tenía curiosidad por la necesidad de asegurarnos / protegernos cuando realizamos proyectos en sitios como OWASP para obtener información sobre vulnerabilidades o "Wargames / Challenges", como lo que se publica en estos enlaces

¿Cómo empezar?

¿Los mejores recursos para conocer los ataques de seguridad web?

¿Cómo empiezo con la seguridad? (principiante)

Parece que estos sitios están creados para fines legales, con la intención de aprender. Tengo curiosidad si eso también es una preocupación para los usuarios malintencionados que alteran estos proyectos que podrían perjudicar a otros, o posiblemente algunos de estos no estén tan protegidos ...?

Tengo curiosidad por saber si la gente recomendaría estar en una máquina virtual / de prueba (¿siempre querría usar una máquina virtual, en una máquina física, en caso de malware de hardware o w / e?), así como VPN / Proxy para privacidad, etc?

Es curioso si se necesita algo de esto, o si la mayoría de estos sitios son legítimos ...

¿Quizás sea una buena práctica en general protegerse siempre de sitios que no conoce (es decir, bloquear JS, cookies, complementos, etc.)? Pensé que ya que estamos trabajando con vulnerabilidades y cosas que podrían ser peligrosas, ¿también deberíamos estar protegidos por nuestra parte?

    
pregunta XaolingBao 09.06.2016 - 18:35
fuente

4 respuestas

1

Hay un dicho que dice: Sólo sobrevive lo paranoico
Para responder a su pregunta, este tipo de máquinas de práctica están diseñadas para el propósito de la práctica por enthu de seguridad y expertos que desean devolver algo a la sociedad. Al hacerlo, el creador obtiene reputación y fama (más o menos) en la familia Infosec.
Por otro lado, si lo piensa, las personas que practican en estas máquinas son en su mayoría principiantes con la mitad del conocimiento y pueden ser un objetivo perfecto para tales cosas. Me refiero a las noticias diarias de Infosec como CISCO 0 Days , backdoors de Xiomi , explotaciones en sistemas Linux como overlayfs y muchos otros ejemplos solo lo harán. inspirarte a ser tan cauteloso como puedas. Aunque nunca ha aparecido tal noticia, al menos no que yo sepa. Pero también hay una primera vez para todo.
Nuevamente, si uno lo piensa, todos los proyectos de este tipo son de código abierto y todos sus códigos y pasos están disponibles y son fácilmente visibles. También los sitios web como Vulnhub que albergan los CTF, siempre deben asegurarse de que no ocurran este tipo de cosas antes de que alojen una nueva máquina enviada por el usuario. Entonces, mientras esté descargando su máquina de práctica desde un sitio web legítimo, debería estar listo. Pero una vez más no puedo discutir la necesidad de ser más cuidadosos. Porque no importa lo cuidadoso que sea, nunca es suficiente, al menos no en el campo infosec.

    
respondido por el 7h1n0b1 20.09.2016 - 08:31
fuente
0

Parece que respondiste tu propia pregunta. Sería muy prudente que tomes medidas para protegerte de las amenazas. Nunca puedes ser demasiado cuidadoso.

    
respondido por el Desthro 09.06.2016 - 18:43
fuente
0

En caso de duda, configura algo de seguridad. Los hackers siempre están buscando la próxima gran hazaña. Y hay millones de ellos en el mundo trabajando todas las horas de la noche en muchos, muchos sistemas diferentes.

    
respondido por el Yokai 10.06.2016 - 06:26
fuente
0

Aunque los proyectos en la lista de juegos de guerra OWASP están bastante bien probados y son confiables, no se equivoca al ser cauteloso. Usar una protección como Sandboxie (para Windows), o FireJail, BitBox, Cuckoo cuando se ejecuta algo de origen desconocido es una buena idea.

    
respondido por el Jedi 15.06.2016 - 23:02
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son los inconvenientes de los sistemas de administración de claves no PKI o distribuidos? ¿Existe una base de datos con vectores XSS, posible referencia e información de prueba?