• Seite:
  • 1
  • 2

THEMA: Bug-Bounty Programm

Bug-Bounty Programm 4 Jahre 3 Monate her #672310

  • Speiger
  • Speigers Avatar
  • Nichtskönner
  • Nichtskönner
  • Beiträge: 8
  • Dank erhalten: 0
@Ithariel

Es gibt bereits foren die können PCs direkt sperren (Account auch gesperrt), und wenn diese sich ausloggen dann können sie trotzdem nicht im forum rumlaufen. (auch nach wochen gehts nicht habs erlebt) und die haben sehr wohl erkannt welchen pc ich beim gleichen router nehme...
^^"

Obs nun die Mac addresse ist oder nicht ka. Aber es gibt wege den PC zu erkennen.

Bug-Bounty Programm 4 Jahre 3 Monate her #672319

  • Ithariel
  • Ithariels Avatar
  • Nichtskönner
  • Nichtskönner
  • Beiträge: 5
  • Dank erhalten: 5
@Speiger

da hast du natürlich Recht. :)

Mit einer Mischung aus IP/ISP, Betriebssystem, Webbrowser und Plugins lässt sich ein Ziemlich Einzigartiges Profil erstellen. Dazu noch z.B. Cookies und das ganze ist Perfekt. Schon hat Proxer seinen eigenen "Proxer Guard" >:-D
Letzte Änderung: 4 Jahre 3 Monate her von Ithariel.
Folgende Benutzer bedankten sich: jojoniter

Bug-Bounty Programm 4 Jahre 2 Monate her #672329

  • genesis
  • genesiss Avatar Autor
  • Administrator
  • Administrator
  • Beiträge: 2472
  • Dank erhalten: 17665
Geehrte Community,
ich bin zur Zeit leider mit einigen sehr hoch priorisierten und zeitaufwendigen Schwachstellen beschäftigt. Die Antworten werden sich daher leider etwas verspäten. Ich werde voraussichtlich am Wochenende alle Mails (die ihr mir im Rahmen dieses Programmes gesendet habt) und Fragen in diesem Thread beantworten.

Ich entschuldige mich für die Umstände.

LG
genesis
Folgende Benutzer bedankten sich: sabaoz

Bug-Bounty Programm 4 Jahre 2 Monate her #672623

Die idee finde ich super gut!
Da ich aber eher im SEO Bereich arbeite, ist auch der hinweis auf grafische bugs und SEO tipps möglich?
kann ich euch (meiner absoluten lieblings anime seite :D ) da irgenwie helfen?
Folgende Benutzer bedankten sich: chillenmitdenarbeitslosen

Bug-Bounty Programm 4 Jahre 2 Monate her #672931

  • genesis
  • genesiss Avatar Autor
  • Administrator
  • Administrator
  • Beiträge: 2472
  • Dank erhalten: 17665
Toutoi schrieb:
Muss ich mich persönlich bei dir anmelden, wenn ich versuche auf den Server zuzugreifen (illegal)? Nicht das ich nachher am arsch bin, nur weil du meintest, "Sucht mal nach Zugriffslücken in meinem System"? :D

Du darfst dich gerne direkt zu schaffen machen. Informiere mich bitte kurz vorher per Mail am besten und mit welcher IP du das machst :)

V3ritas schrieb:
Hey, klingt doch super.

crawler / Spiders erlaubt?
wie schauts mit page usability aus?
wie schauts mit SEO hinweisen aus?

Das du keine richtigen Tools zulässt verstehe ich, dass macht das ganze aber natürlich doch ne ecke schwieriger was zu finden.
Wie wäre es mit einer gespiegelten Seite wo man sich auslassen kann?
Also seperater Server, separates Netzwerk (irgend ein low hoster).
Also copy paste Homepage ohne Video Content.(oder nur ein Video mit allen Mirows)
Replace user mail mit username@proxer.me
replace Password mit hash(username)

Dann könntest du auch einfach in dem richtigen Forum anfragen, dann bekommst auch garantiert deine Sicherheitslücken raus.
Ich z.B. hab bislang nie auf FB oder Forum geschaut, bin jetzt am Wochenende nur wegen extremer langweilig hier gelandet.
Also bezweifle ich, dass gerade viele Leute mit den richtigen Skills sich dieses Post durchlesen.

lg
veri

Eine extra Seite dafür einzurichten, wär mir aktuell ehrlich gesagt zu viel Aufwand. Wir können es aber so machen:
Unter der Woche zwischen 2 und 12 Uhr gilt eine Ausnahme, bei der ihr Crawler verwenden dürft :)
SEO und usability werden in diesem Programm nicht umfasst. Dafür kannst du aber gerne einen eigenen Thread in unserem Support-Bereich erstellen :) Wir gehen jeden Vorschlag durch ;D
Litom schrieb:
Wie siehts mit Ddos schutz aus bzw testen wieviel Gbps der Server aushält und euch tipps geben eure Server bessere gegen Ddos Angriffe zu schützen, gibts dafür auch nen Preis?

Das ist ein guter Punkt! Unsere DDos Sicherheit basiert darauf, dass unsere richtige Server-IP geheim ist. Ich werde in diesem Programm demnächst zusätzlich den Punkt "DDos" ergänzen :)


LensFLareEFfect schrieb:
Naja, ist ja schön und gut, das ihr mal eure Insekten sucht, aber fangt doch erstmal von unten an, oder? ;)

1. Bad gateway Problem: Es kommt öfters vor das (ich habe keine Konsole vor mir, daher erstmal nur Vermutungen) die Seite nicht lädt und ein "Bad Gateway" anzeigt. Dies lässt sich aufgrund einer nicht zurückgeschickte Seite bzw. bereits belegten Serverport hinweisen. Das dies passiert liegt entweder daran das ein sehr freches Botnetzwerk gelegentlich Angriffe startet und die User somit aus der Anfrage rausdrängt, das die Seite an sich den Zugriff sperrt, wenn die Serverlast zu groß ist oder aber das der Cache unoptimiert und wiederholt eine Seite ausgibt. Wenn ihr darauf ne Antwort habt, mal raus damit.

2. Der Manga-Reader hat sehr lange Ladezeiten, die nach 5-6 Kapitel beginnen und sich auf bis zu 20 sek. ausdehnen. Woran es liegt vermag ich momentan wenig zu sagen, aber hierbei scheint es so als ob die kapitel aufeinander stacken und somit unnötig Speicher reservieren, welche erst gelöscht/hinzugefügt/gelöscht/etc. und somit das Laden vergrößern.

3. Wenn ihr mal drüber nachdenkt, das Geld in eine SSL-verschlüsselung (Ja, ihr müsstet die Hyperlinks, Subdomains, Bildmaterial etc. auf ebenfalls gesicherte Quellen umlenken, aber nur mal so zum Anstoß dessen, das ihr gewillt seid 150€ für 1 Bug auszugeben anstatt das ihr schaut die Sicherheit der User zu erhöhen) zu stecken. Es gibt zwar viele, die meinen das es nichts hilft, aber grade was Injection betrifft kann man größere Schäden so vermeiden, da die Verbindung auf externe Programme ebenfalls darüber läuft und die Seite diese automatisch sperrt. Kann sein, das ich mich irre, aber hatte es getestet und es war so wie oben beschrieben.

4. !JQUERY UPDATEN!. Sorry, aber ist momentan das einzig Große was ich nach 5 Minuten suchen gefunden habe. 1.9.1 hat manche Sicherheitslücken, die mit der 1.11 behoben wurden. Wenn ihr euch mit euren Sicherheitsbemühungen ernst seid, dann solltet ihr schauen immer aktuell zu bleiben, das meine ich für alle externen Scripte. Und mit dem jquery meine ich den hier auf der Startseite:

/templates/proxer14/js/--->jquery-1.9.1.min.js<

5. Um Hackangriffe zu vermeiden, bitte schaut zu das ich genügend Kaffe da habe um es mir mit Popcorn gemütlich zu machen und dem Treiben zuzuschauen. Ansonsten werde ich aggro und mache mit :D (Achtung: Sarkasmus, dafür bringt mich Yuno jetzt um).

Ich werde es tunlichst vermeiden eure IP zu flooden oder ähnliches, wäre auch ziemlich scheiße nach einer Attack, wenns läuft, sowas zu machen. Wenn jemand es macht, um die Fehler zu suchen: Nein....einfach.....Nein. Lasst es. bringt nix, und den Mitgliedern verderbt ihr den Feierabend.
Von daher ansonsten alles palettie.
MfG,
LFE
Edit:
Ach, und noch an euren lieben Webadmin: Sag doch deinem lieben Webdesigner, im blauen Theme fehlt die Farbe für die komplette Navigation oben, und weiß und weiß verträgt sich nicht ;). Die anderen 3 passen.


Edit by Yuriko.

Doppelpost zusammengefügt.

Ich habe unsere Server noch nicht optimal konfiguriert, das wird auf jeden Fall noch besser :) Damit werden Punkt 1 und 2 behoben.

Zu Punkt 3:
Kurz nach dem Angriff wars nur kurz nicht möglich, aber unsere Webseite ist dafür ausgelegt, auch vollständig mit SSL zu laufen. Unsere ganzen Server (außer streaming) sind inzwischen diesbezüglich konfiguriert.

Zu Punkt 4:
Wir werden jQuery in naher Zukunft updaten :)

LG
genesis
Letzte Änderung: 4 Jahre 2 Monate her von genesis.

Bug-Bounty Programm 4 Jahre 2 Monate her #673004

  • genesis
  • genesiss Avatar Autor
  • Administrator
  • Administrator
  • Beiträge: 2472
  • Dank erhalten: 17665
Es wurde eine weitere Bedingung ergänzt:
"Die Lücke muss mit einer aktuellen Brwoserversion reproduzierbar sein."

LG
genesis

Bug-Bounty Programm 4 Jahre 2 Monate her #673279

geh bitte nochmal deinem Webadmin aufm Geist und sag ihm er solle die <li> tags oben bei der Navigation im blauen theme ebenfalls mit einer Hintergrundfarbe versehen.


Danke schonmal dafür.

Bug-Bounty Programm 4 Jahre 2 Monate her #673757

  • genesis
  • genesiss Avatar Autor
  • Administrator
  • Administrator
  • Beiträge: 2472
  • Dank erhalten: 17665
Ich bitte um Verzeihung. Wurde behoben :)

Zusätzlich habe ich explizit eine Zeitangabe ergänzt. Ich bitte euch, mir eine Woche Zeit zum Abarbeiten/Antworten der Einsendungen zu geben.

LG
genesis
  • Seite:
  • 1
  • 2
Moderatoren: ForummodkinehLaynaKnivesYuriko.FauliRockt
Powered by Kunena Forum