BugsCollector.com — все security баги в одном месте

в 13:58, , рубрики: bugs, information security, я пиарюсь, метки: ,

image 2 с лишним года я старался радовать Хабр статьями (преимущественно, личными) в области информационной безопасности, по большей части в сфере веб. Делился знаниями, получал опыт и отзывы, знакомился с интересными людьми.

BugsCollector.com — все security баги в одном месте
Не заметно для себя, сделал самый большой вклад в хаб «Информационная безопасность» за всё время. За это время я сам научился многому, совершенно не сравнить уровень моих знаний тогда и сейчас.

И, работая в этой сфере, я прочувствовал несколько проблем, решения для которых я не мог найти нигде. Я встречал и других людей, которые столкнулись с этим же. Но решения так и не было! И тогда я принял решение — решить, в первую очередь, свою проблему, и знать, что я точно помогу многим. Так и родился ресурс с говорящим за себя адресом — bugscollector.com.

Проблема #1. Массовое, личное уведомление об уязвимостях

Помните статью, которая стала второй по рейтингу за всю историю Хабрахабр? Были получены исходники 3300 глобальных интернет-проектов. Или когда я пытался уведомить администраторов различных государственных, военных системы, платежных систем, банков возможно, об опасной утечке данных? Ну или свежее — как нашли свыше 6000 XSS на сайтах из alexa top 5000. Как уведомить всех разом? Когда на половине сайтов нет емейлов для контактов, некоторые игнорят, а еще некоторые и угрожают.

Неплохо было бы иметь ресурс, куда бы можно было бы отправить данные о найденной уязвимости на всех сайтах и уведомить в приватном режиме? Есть CERT, seclists, но это всё не то. Они не будут рассматривать XSS, они не имеют контактов всех этих сайтов, никто не поможет. Итак, нужен ресурс, где будут зарегистрированы все желающие владельцы сайтов, где их можно будет уведомить в случае подобного (в частном порядке). BugsCollector — не доработка существующего, это совершенно другое, новое.

Проблема #2. Личная история найденных уязвимостей

Здесь меня поймут некоторые из тех, кто любит постоянно искать где-нибудь дыры :) Неплохо было бы иметь просто, лично для себя, историю всего, что ты нашел, верно? Я не раз задумывался, где бы вести такую личную статистику найденных багов, а ещё и смотреть, что другие находят.

Проблема #3. Игнор вендора

Очень часто находится что-то серьезное, о чем пытаешься сообщить вендору / администратору — а он тупо игнорит. Привлечение публики обычно помогает.

Проблема #4. Личный интерес

Интересно же, какие уязвимости были найдены за все время на Google, Facebook, Yahoo, Yandex и других сайтах? Что-то в формате вики, заходишь на страничку ресурса — а там все найденные баги. Не разбросанные по личным блогам и твиттерам, а вот, все вместе. Кстати, порой это помогает разобраться, куда же можно копать, если решил поучаствовать в BugBounty (например узнать о ресурсах, которые входят в scope, но не указаны явно).

Реализация

Я не профессионал в сфере веб-разработки и совсем не дизайнер, но свою задумку стал реализовывать. Бета вариант (если не альфа), с начальным функционалом уже доступен — bugscollector.com/ (размещается на микроинстансе Амазона), можно зайти, посмотреть найденные баги, прокомментировать, проголосовать, авторизоваться через твиттер, добавить свои баги. Хотя, можно и чужие, там есть галка — но обязательна ссылка на оригинального ресерчера (если он в будущем сам зарегистрируется на ресурсе — то мы «привяжем» баг к нему).

Уже получены отзывы от различных security guys, практически все говорят — стрельнет :) Сейчас идет период активной разработки, но уже нужны:

  • Хакеры, ресерчеры, скрипт-кидди. Добавлять свои баги (необязательно на популярном ресурсе);
  • Владельцы сайтов. Добавлять свои сайты и получать уведомления о добавленной уязвимости на вашем сайте;
  • Мимо проходящие. Оставить отзывы, пожелания, комментарии и идеи;
  • Знатоки английского. Мои тексты оставляют желать лучшего.

Мой личный TODO лист на проект пока еще огромен. Планируется отложенная публикация уязвимости, если администратор зарегистрирован на ресурсе, добавление музыкальных трэков, которые слушал хакер, пока искал уязвимость. Авторизация через фейсбук/gmail и др. ресурсы и многое другое. А на сайте уже доступны найденные уязвимости на Google, Facebook, Yandex и других.

Чуть позже обязательно отчитаюсь о добавленных читателим (и не только) багах, процессе разработки и других деталях :)

P.S. Постарался настроить сервер под хабраэффект. Прогонял через ab и не только сравнимыми с хабром нагрузками — должен выжить.

Автор: BeLove

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js