Showing posts with label pentest. Show all posts
Showing posts with label pentest. Show all posts

Top10Archive: Top 10 Notorious Hackers Around The World

Quote: "Welcome to Top10Archive! In today’s day and age the internet can become a battleground for cyber wars. Hackers have been known to take down crucial websites, steal credit card information, take down gaming servers, and even use their expertise to assist government agencies. In the cyber world, some of these hackers have gained quite a bit of fame for their computer expertise, becoming some of the most notorious hackers in internet history."


Watch the video
10. Lizard Squad
9. Johnathan James
8. Syrian Electronic Army
7. Gary McKinnon
6. Jeanson Ancheta
5. Kevin Mitnick
4. Kristina Svechinskaya
3. ASTRA
2. TinKode
1. Anonymous


Auditing United Airlines - Bug Bounty Program

Acum câteva luni de zile cei de la United Airlines au deschis un program de Bug Bounty puțin mai diferit decât cele deja existente. Adică, în loc să te premieze cu o anumită sumă de bani, te premiază în mile pe care le poți folosi pentru a zbura (or for car rentals, hotel stays, merchandise and more) cu linia lor sau una care face parte din cadrul Star Alliance. Recompensele sunt cuprinse între 50,000 / 250,000 până la 1,000,000 de mile. Ca să fiu mai explicit, sunt doar niște puncte de "loialitate". De exemplu, un zbor București - Dublin valorează cam 30,000 miles.

Sună promițător, nu? :)

După câteva zile de la deschiderea programului, am început să caut și eu vulnerabilități în *.united.com (cred că așa era la început - după care au modificat lăsând valide doar câteva subdomenii - dar au specificat in TOS că pot schimba regulile când vor ei, deci nu putem comenta).


După 2 luni de așteptări și 29 de vulnerabilități descoperite și trimise, am primit primul răspuns:
o recompensă de 50,000 mile în cadrul programului MilesAge. În așteptare mai sunt încă alte 3 vulnerabilități (au fost validate, dar nu le-au reparat). Bănuiesc că și acelea vor fi încadrate tot cu 50,000 fiecare, rezultând un total de 200,000 de miles. Având în vedere că testarea a durat doar două zile, pot spune că sunt mulțumit.



Auditing WesternUnion China - Bug Bounty Program

Acum vreo 3 săptămâni am început serios să caut vulnerabilități în WesternUnion după ce am văzut că s-au înscris într-un program de bug bounty. Pentru necunoscători, semnificația unui program de bug bounty este aceea de: găsește o vulnerabilitate în sistemele noastre și noi te răsplătim cu o sumă de bani în funcție de impactul ei. Până acum sună frumos, dar există o mulțime de dezavantaje în comparație cu avantajele oferite.

Avantajul ar fi că în loc de o echipă de pentesteri limitată din punct de vedere numeric poți avea auditate serverele de sute de mii de oameni care lucrează în domeniu sau care sunt freelanceri. Unul din marele dezavantaje ar fi că dai acordul tuturor potențialilor atacatori rau intenționați să umble nestingheriți prin lucrurile tale, ei putând foarte ușor să vândă (neputând fi acuzați de acces neautorizat) ceea ce găsesc pe piața neagră. Dar să nu ne abatem prea mult de la subiect.

Din lista de domenii valide pentru acest program am ales să caut vulnerabilități în WesternUnion China (www.WesternUnion.cn). După o scurtă perioadă de timp am găsit câteva vulnerabilități ce s-au dovedit a fi duplicate (raportate de alții). Dar asta nu m-a descurajat să caut în continuare.

După câteva ore de auditare, am găsit următoarele:
  • Restricted files bypass
  • MySQL Injection
  • Arbitrary File Download
  • Cross-Site Scripting
  • Information Exposure
  • Multiple Session Vulnerabilities
Voi detalia în ordine cronologică vulnerabilitățiile identificate.

My interview for M6 France


Acum câteva luni de zile am dat un interviu pentru M6 France. Tema emisiunii (Zone Interdite) a fost despre hackeri. Aici puteți urmări întreaga emisiune (eu apar la sfarșit - 01:17:00) : M6 France - Zone Interdite. Un rezumat îl puteți găsi AICI.

Vizionare plăcută.

Romsys a încheiat un parteneriat strategic cu Cyber Smart Defence, în domeniul securităţii IT

Romsys, membră a holdingului austriac New Frontier Group și unul dintre primii trei integratori din România, a încheiat recent un parteneriat cu Cyber Smart Defence, companie specializată în soluţii de securitate IT. Parteneriatul are ca scop furnizarea de servicii complexe de securizare a soluţiilor pe care Romsys le oferă clienţilor săi.
Răzvan Olteanu, Deputy CEO Romsys:

„Parteneriatul cu Cyber Smart Defence este o nouă confirmare a strategiei Romsys de a oferi clienţilor săi soluţii complexe şi complet integrate.
În era atacurilor cibernetice, noi propunem o nouă abordare, aceea de securizare avansată a informaţiei, fie că vorbim de sisteme de tipul CRM, ERP sau de un simplu website sau outlook.
Specialiştii în securitatea cibernetică oferă cele mai bune servicii de testare a sistemelor informatice, de identificare a vulnerabilităţilor cibernetice şi de furnizare a mijloacelor optime de rezolvare a acestora. Împreună avem capacitatea să oferim clienţilor noştri atât soluţii existente, cât şi mijloacele necesare pentru a dezvolta împreună cu aceştia soluţii de securitate adaptate nevoilor lor”.