Desarrollo y diseño

Busco hacker

eXtreM3
eXtreM3 #1 Feb '15

Hola =),
he desarrollado una plataforma de venta online de entradas, estamos a punto de lanzar la versión de pruebas (beta) y me gustaría intentar reventar el sistema (bien colapsándolo, modificando transacciones, etc.) en busca de vulnerabilidades.

Las tecnologías en las que está basado son: PHP, HTML, JS y CSS.

Realiza peticiones asíncronas, mucho JS, conexión ida y vuelta con la pasarela de pago...

¿Cómo se hacen estas cosas? Quiero contratar a algún experto que busque (y encuentre, si las hay) cualquier vulnerabilidad de las anteriormente mencionadas. Por supuesto sería remunerado, por convenio mutuo según la gravedad de la vulnerabilidad encontrada (rollo Google Awards).

pd: no es para reventarle la web a alguien que me caiga mal. En caso de ser necesario puedo demostrar que el proyecto es mío sin problemas.

D
deiFFok #2 Feb '15

#1 Pasa link y miro a ver si veo algo típicos fallos de seguridad, pero no soy ningún hacker xD

1 respuesta
Nucklear
Nucklear #3 Feb '15 BugHunter

#1 ¿Tienes algun requisito para las pruebas? ¿Caja blanca o caja negra? ¿Cual es el scope del ataque? ¿La plataforma web o toda la infraestructura que la sostiene? ¿Buscas fallos comunes o un analisis meticuloso? Todo eso varia bastante. Yo mismo puedo ofrerme o buscar a alguien que cubra tus necesidades, pero habría que ver que buscas.

Ten en cuenta que la busqueda de vulnerabilidades es un trabajo meticuloso y requiere horas, no por no encontrar algun fallo significa que no se han gastado horas en ello.

1 1 respuesta
B
[Borrado] #4 Feb '15

Cómo sabemos que no eres del FBI?

1 respuesta
S
Sarwaz #5 Feb '15

Me espero a que este online, j3

1 respuesta
eXtreM3
eXtreM3 #6 Feb '15

#2 aún no está subido, calculo que la semana que viene o como mucho la siguiente estará operativo.

#3 no sé responderte a esas preguntas... Me gustaría que fuese algo meticuloso y que el hacker dedicase las horas que fuesen necesarias. Fallos comunes creo que no habrá (creo), habría que buscar algo más escondidillo.

#4 si fuera del FBI iba a hackear mi propia web?

#5 I'm in! edit: ah te referías a la web xd, pues 2 semanas máximo.

1 respuesta
Nucklear
Nucklear #7 Feb '15 BugHunter

#6 Pues si quieres hablamos por privado y en base a los datos que me des te digo como se suelen hacer estas cosas.

1 respuesta
eXtreM3
eXtreM3 #8 Feb '15

#7 adelante, dame toda la info que puedas.

He hablado de esto con mi jefe y ha dado luz verde al asunto. Me interesaría que fueseis alguno de vosotros o algún conocido vuestro que sepáis que es bueno en estos temas, toda la información que podáis darme será bien recibida.

1 respuesta
Nucklear
Nucklear #9 Feb '15 BugHunter

#8 Antes de nada lo primero sería saber si las pruebas serían con acceso al codigo fuente (Caja blanca) o sin él (Caja negra) y las tecnologías empleadas (PHP, JS, etc como ay dijiste). Otro dato importante es si ademas de analizar la plataforma se analizaría la seguridad del propio servidor.

¿Sería posible tener un entorno de pruebas donde se puedan romper cosas?¿Es una plataforma ya desplegada que se está usando?

1 respuesta
S
Sarwaz #10 Feb '15

.

1 respuesta
eXtreM3
eXtreM3 #11 Feb '15

#9 En principio sin acceso al código fuente, y las tecnologías ya las dije. La seguridad del servidor no me interesa, ya que la empresa tiene ciertos acuerdos con ellos y si es por temas de servidor yo me lavo las manos.

La semana que viene seguramente se despliegue el entorno de pruebas definitivo (ahora mismo ya existe, pero no está completo y no interesa hacerlo porque tiene algunos errores, no tenemos la información definitiva del banco para la pasarela, etc.), y ahí se puede reventar lo que haga falta, como si petas la bd entera.

#10 sigue buscando xD

1 respuesta
Nucklear
Nucklear #12 Feb '15 BugHunter

#11 No veo mucho problema en hacerlo, depende del tamaño de la aplicación y en caso de ser necesario podría conseguir a mas personas que controlen de tecnologías específicas. Si te interesa mandame MP, con algun dato de contacto para hablar mas cómodos que por aqui.

1 respuesta
JoSeTTo
JoSeTTo #13 Feb '15 Jester of darkness

0z4m4 es tu hombre

eXtreM3
eXtreM3 #14 Feb '15

#12 la aplicación es pequeña. Tiene 2 páginas, en la primera se seleccionan los datos como fecha, hora, tipos de entradas; en la segunda se rellenan los datos del cliente, se aceptan las condiciones del servicio y se redirige a la pasarela de pago. Cuando el retorno sea correcto (pago OK), se actualizan datos del ticket como que ha sido pagado y validado, se envía un email al cliente con los datos del ticket y un pdf adjunto, y poco más... Eso es todo :P

1 respuesta
Nucklear
Nucklear #15 Feb '15 BugHunter

#14 Entonces con una persona es suficiente. Lo dicho, mandame un contacto y hablamos en privado.

#16
comentario moderado
1 comentario moderado
4 meses después
NueveColas
NueveColas #17 Jun '15

#1 ¿Has avisado a Olemoudi?

Ya tardas, y dale un plus por haber ayudado a tener esta nuestra web tan makuki

Usuarios habituales

Tags