Pentest sur nos jeux web
#1
Salutations,

c'est très con, mais j'aurai dû y penser avant: ayant des compétences (enfin, me semble-t-il?!) en matière de sécurité applicative web, j'aimerai savoir qui serait intéressé et accepterait que j'attaque ses jeux web pour tâcher d'y trouver des failles?

Mon but, en pratique, serait de me re-frotter à des cas concrêts et pratiques, qui me manquent un peu, plutôt qu'à des labs/CTF/et autres environnements "hack me" prévus pour s'entrainer... mais qui n'ont pas de réalité derrière: on sait qu'ils sont faillibles, et les failles trouvées ne seront pas corrigées (puisque c'est pour s'entrainer). J'aimerai donc trouver des projets où les failles trouvées seront alors corrigées (théoriquement).

Sur le principe, comment ça se passe? Cela se passerait ainsi:

1) Autorisation de la part du créateur du jeu, et de son équipe s'il y en a. On définit un périmètre d'attaque, sous la forme: qui attaque (moi uniquement), qui est attaqué (les noms de domaine du site par exemple, est-ce qu'il faut pousser jusqu'à la DB derrière? jusqu'à d'autres serveurs internes s'il y en a [souvent, non]? etc), dans quelle mesure (uniquement via le web? via social engineering? side-channel [exemple-type: attaquer un mutu OVH via un autre mutu OVH]? etc) et pour quelle période (2019? jusqu'en 2020? 2022? etc). Ca peut se faire via Discord (cf channel JeuWeb, je suis là le soir, suffit de demander), par MP sur le forum, ou simplement en réponse à ce message (on va dire que cela suffira).

2) Recherche de failles de ma part, "quand j'ai le temps". Je ne compte pas faire payer (on n'est que des amateurs de jeux, donc niveau budget...), en conséquence, je "travaille" quand j'aurai le temps.

3) Quand une faille est trouvée, je la reporte: contexte, description de la faille, exploitation possible (avec proof of concept), pistes de corrections. Ce rapport est uniquement donné au créateur de jeu (celui du point 1)

4) Enfin, une fois que le créateur de jeu m'en a donné l'autorisation, je publie sous la forme d'un article, la faille trouvée. Idéalement, j'aimerai que cela puisse se faire dans les 90j suivant le signalement, histoire de ne pas laisser trainer des trucs 15 ans... Après, plus le créateur attend, plus il s'expose, c'est lui qui prend des risques : )


Voilà, ça me manque un peu les cas concrets, alors, pourquoi ne pas en trouver ici? Si vous avez des questions, n'hésitez pas.

Edit: les rapports finirait sur mon blog perso, https://toile.reinom.com . Je ne l'avais pas précisé. Le but étant bien clairement que ce soit moi qui l'endosse, et non la communauté JeuWeb.
Répondre
#2
Oui pourquoi pas, quand j'aurai fini mon projet actuel, d'ici un mois je dirais.
Répondre
#3
Salut,


Tu avais déjà cherché des failles sur mon projet, tu en avais trouvé quelques-unes et je t’en remercie encore!

Pour ma part, je ne serais pas contre de renouveler l’opération, si tu le souhaites bien sûr.

Je te donnerai avec plaisir l’autorisation de trouver des failles, telles quelles soient et sans aucune retenue.

Le but est double :

1) te permettre de tester tout ce que tu souhaites, avec les outils que tu souhaites et espérons t’améliorer davantage ;
2) et bien sûr, de rendre plus sûr mon jeu.

Si t’es OK, nous pourrions échanger davantage, sans aucun problème!

Cordialement,
Répondre
#4
Comment tu attaques un nom de domaine au juste ?
Répondre
#5
D'acc Metallique; on pourra en reparler via Discord (si t'es dessus & sur le server de JeuWeb, tu me contactes en DM?)?

Niahoo, principalement via la partie applicative web: tout le top 10 de l'owasp en gros (SQLi XSS, XXE, généralement et malheureusement, ça suffit parfois), mais également via la configuration DNS/Serveur (les cas de certificats absents ou mal réglés par exemple [oui, ça arrive même aux banques... celles qui accusent ensuite leurs trader de prendre trop de risques, histoire de ne pas citer la banque en question], ou les headers HTTP mal choisis [web cache deception par exemple]).

C'est donc du très "manuel", parce que c'est la recherche qui m'intéresse: je n'aime pas (même si c'est efficace industriellement) le principe de juste lancer sqlmap ou metasploit et renvoyer le rapport brut.

(edit: après, quand on dit "attaquer un nom de domaine", c'est pas exactement juste le NDD en lui-même que j'attaque: c'est ce qui délimite le périmètre; si je trouve une adresse mail sans mot de passe type admin@domaine.com ou postmaster@domaine.com, ça rentre dedans; dans ce genre de cas, c'est signalement direct au respo, et demande du type "ok, j'ai juste vu qu'il y avait un accès, mais je ne suis pas allé lire les emails. Est-ce qu'on continue le pentest en considérant que l'attaquant a pu les lire? Si oui, merci de me donner une copie [partiellement éventuellement] de la boite mail")
Répondre
#6
Quand j'aurais mis en ligne mon jeu, ce sera avec plaisir. C'est une bonne occasion pour apprendre à bien défendre mes sites.
On en reparlera probablement au moment de la sortie si tu es toujours disposé à faire le test.
Répondre
#7
Ca marche, Theo, merci 2

Ah, de la même façon, vous pouvez y aller sur les miens de projets, si vous trouvez une faille applicative (ie: injection SQL [bonne chance!]) ou métier (ie: je peux déplacer 10000 tonnes de viandes alors que je n'en ai que 5000), n'hésitez pas à me le signaler en MP ou sur Discord via Direct Message, ou sur le bug tracker (n'oubliez pas de flagger le bug comme "private"...!), ou par mail (si vous l'avez! 2 ). J'essaierai d'ajouter un encart/indication quelconque pour encourager et faciliter ces reports de bugs de sécu.
Répondre




Utilisateur(s) parcourant ce sujet : 1 visiteur(s)