Comunidad de pruebas de penetración de aplicaciones web de código abierto

5

Hago desarrollo web para ganarme la vida pero mi verdadera pasión es la seguridad. He trabajado con innumerables aplicaciones / marcos web de código abierto y he encontrado vulnerabilidades en la mayoría de ellos. La causa principal de esas vulnerabilidades es la falta de educación sobre seguridad de parte de los desarrolladores. He estado pensando en lo que se podría hacer acerca de esos problemas. Mi idea sería iniciar una comunidad de pruebas de penetración de "aplicación web de código abierto". La comunidad estaría compuesta por profesionales / entusiastas de la seguridad con ideas afines.

La comunidad:

  • seleccione una versión específica de una aplicación web de código abierto y dedíquele un período de tiempo de 1 a 4 semanas (según el tamaño de la aplicación).
  • prueba la aplicación para problemas de seguridad. Pruebas de penetración + revisión de código fuente. (tal vez siguiendo las diversas guías de OWASP)
  • emitir una lista de vulnerabilidades a la organización de código abierto
  • ayudar a escribir / revisar los parches
  • proporcionar recomendaciones de diseño y materiales educativos a la organización de código abierto
  • compile todos los materiales creados y publíquelos con fines educativos

Los miembros de la comunidad pueden enviar sus vulnerabilidades dentro del plazo establecido. Los envíos de vulnerabilidades solo son visibles para los miembros de confianza / participantes y permanecen ocultos hasta X (?) Semanas antes de la publicación. Sé que algunas personas tienen sentimientos encontrados sobre la divulgación de vulnerabilidades, pero creo que los beneficios superan con creces las desventajas (y no quiero iniciar un debate sobre eso aquí).

Ahora las preguntas:

  • ¿Cuántas semanas deben permanecer ocultas las vulnerabilidades?
  • ¿Debemos pedir permiso a la organización de código abierto? (¿Existe alguna ley / licencia contra el pentesting de código abierto?)
  • ¿Deberíamos invitar a un miembro de la organización de código abierto para que supervise el proceso desde adentro? (ver los envíos de vulnerabilidades / participar en la discusión)
  • ¿Crees que dicha comunidad sería relevante para el código abierto?
pregunta Cut Copy 21.08.2011 - 18:17
fuente

3 respuestas

10

Ya existe un método estándar para reportar vulnerabilidades a los proveedores. CERT es excelente para ponerse en contacto con los proveedores y mitigar el problema.

Creo que sus ideas pueden ser útiles y hay muchas coincidencias con sus ideas y OWASP. Debe buscar un capítulo local de OWASP en su área. Si no existe uno, ¡HAGA UNO! , y utilícelo como plataforma para su taller. OWASP lo ayudará a correr la voz y atraerá más atención a su causa.

    
respondido por el rook 21.08.2011 - 20:04
fuente
3

Creo que lo principal es: ¡hazlo! Ejercite un poco de liderazgo: simplemente siga adelante y comience a realizar tales análisis usted mismo. El desafío más grande aquí será encontrar personas que se ofrezcan como voluntarios para realizar tales análisis, por lo que tendrá que dar el ejemplo. No se preocupe demasiado por las reglas de la comunidad, el proceso o los metadatos, hasta que haya encontrado suficientes personas que contribuyan y que tenga que pensar en ello. Le recomiendo que empiece por el supuesto de que podría ser el único colaborador que realice estas evaluaciones de seguridad, al menos por un tiempo.

Recomiendo esto en base a la experiencia pasada con esfuerzos similares, por ejemplo, el proyecto Sardonix de Crispin Cowan. Para obtener más detalles, consulte discusión de Crispin Cowan ("organizamos una fiesta y nadie vino "), Por qué Falló Sardonix , y El centro de seguridad de Linux financiado por DARPA se marchita . Sardonix fue que se formó en respuesta a el hecho de que el Proyecto de auditoría de seguridad de Linux, otro intento de comunidad - proyecto de auditoría de seguridad basado, no cumplió con las esperanzas.

    
respondido por el D.W. 24.08.2011 - 09:23
fuente
3

Dependiendo de exactamente a qué nivel quieres llevarlo, tengo tres pensamientos:

  • Como dijo @Rook - OWASP hace que sea muy fácil comenzar su propio capítulo, brindando soporte, experiencia, incluso algo de presupuesto. Puede recibir gastos de oradores invitados en algunas circunstancias.

  • Otra opción es un capítulo de Defcon local. Eche un vistazo a enlace para encontrar uno local, u ofrezca crear uno. Por lo general, tiene más sabor de ataque, pero esto no es obligatorio de ninguna manera.

  • Si ninguno de estos es adecuado, crear un grupo local puede ser una excelente manera de compartir información y experiencia.

El seguimiento de ellos con listas de correo y / o grupos de LinkedIn también ayuda a mantenerlos activos y creciendo.

    
respondido por el Rory Alsop 24.08.2011 - 09:45
fuente

Lea otras preguntas en las etiquetas