Заговор. Продажа софта без проверок.

[Haunt]

Вопрос у меня созрел. А почему, собственно, допускается к продажам кривой софт, и не просто кривой, а с бекдорами. Ладно если функционал не так работает, это ещё пол беды в нонейм малвари. Но sqli вектор в таких продуктах как анубис и азор, особенно последний, кого нахваливают до сих пор... мало того, что это позволяет реверсерам(приближённым к элите, так сказать) получить доступ к логам клиента. И ладно бы только реверсерам из нашей тусовки, но ещё и красным, они то, сразу получают прямые улики хищения информации. В азоре, к примеру до определенной версии можно было скачать все логи по относительной ссылке /files.
И это все равно оказалось в продажах.
Выглядит как схема на самом деле, делаешь софт с бекдором. Продаёшь N клиентам. N * K получаешь логов. На претензии при раскрытии твоей схемы, делаешь вид что и сам не знал о подобной проблеме(лол продавать малварь, считающуюся чуть ли не топовой в своём сегменте и не знать про sqli вектор и про нормальную фильтрацию всех приходящих данных, которые ты хочешь или отобразить в админке или положить в бд, да ещё и в 2016-18). И знаете, ладно бы неочевидные уязвимости там были. Но все настолько тупо, что мысли о нарочном бекдоре просто не покидают. Честно, до сих пор не понимаю, почему эти персонажи не в блеке. Либо на корню это рубить проверками софта модерацией или хз кем, либо жестким наказанием по факту найденного. Если ни того, ни того нет, то можно сделать кое какие выводы и зиродей схему безнаказанных кидков со стороны авторов софта.

 

[admin]

Да, все правильно, но на практике - нереально. Только один вопрос - а кто проверять будет, кто возьмется? И как обеспечить максимальное доверие к такому человеку (чтобы не было разговоров "утекло", "слили мудаки", "украли сорцы" и т.д. т.п.). Лично я за это браться точно не хочу. И официально на форуме никаких проверок не будет. Потому что, это только подставляться лишний раз, а потом все равно виноват будешь. Не раз наступали уже на эти грабли.
Конкретный пример - https://xss.pro/threads/33716/ и https://xss.pro/threads/33588/
Но проблему решать нужно, тут я согласен. Вместо этого, вчера на форуме был установлен депозит - https://xss.pro/deposit/
Каждый уважающий себя сервис, серьезный, сможет залить депозит и обеспечить гарантии своей серьезности и адекватности $ деньгами. А пользователи должны будут стимулировать сервисы заливать депозиты. Завтра я выложу официальную информацию и короткую презентацию депа. И будем популяризировать этот инструмент. В т.ч. и для селлеров различного софта.

 

[doggi]

Каждый уважающий себя сервис, серьезный, сможет залить депозит и обеспечить гарантии своей серьезности и адекватности $ деньгами.

т.е.депозит будет не обязательное условие предоставления услуг?

 

[admin]

т.е.депозит будет не обязательное условие предоставления услуг?

Да, обязательным не будет. Я не хочу закрывать рынок для новичков и тех, кто только раскручивается (у них нет денег на начальном этапе). Но вот всяким подозрительным личностям будем "навязывать" добровольно-принудительно.

 

[Haunt]

Честно говоря, сомнительно. Ты вроде как кодер и фрилансишь, только чуть по другой модели, с заранее написанным продуктом, хочешь поднять копеечку без вложений. Предоставляя свои навыки. А тебе депозитами тыкают. Ну такое. Расходники - да депозит. А софт можно и через гаранта продавать. А если без гаранта сделка, то претензии не принимаются. Имхо было бы лучше мотивировать авторов софта проходить проверки путём обзоров софта модерами или ещё кем. Больше обзоров - больше годного контента - не лишняя реклама.

 

[Quake3]

А кто будет проверять и зачем? Вот я по мере сил проверяю говномалварь, чтобы уж откровенный шлак не допускать на рынок. И что? сколько ругани при этом, перепалок, типа автор ничего не должен доказывать..
Если же реверсить полноценно, т.е. вот в случае того же локера - проверка криптостойкости, утечек памяти - ну можно, но займет недели 3, и кому оно надо? Плодить новых крабов, чтобы они зарабатывали себе лямы? Нет, раз уж человек заявил о себе что он супер-кодер, пусть потом разгребает сам свои косяки перед клиентами. Но это ничего не изменится. В том же смоке дыры в админке были еще в 11, и толку.

 

[Haunt]

А кто будет проверять и зачем? Вот я по мере сил проверяю говномалварь, чтобы уж откровенный шлак не допускать на рынок. И что? сколько ругани при этом, перепалок, типа автор ничего не должен доказывать..
Если же реверсить полноценно, т.е. вот в случае того же локера - проверка криптостойкости, утечек памяти - ну можно, но займет недели 3, и кому оно надо? Плодить новых крабов, чтобы они зарабатывали себе лямы? Нет, раз уж человек заявил о себе что он супер-кодер, пусть потом разгребает сам свои косяки перед клиентами. Но это ничего не изменится. В том же смоке дыры в админке были еще в 11, и толку.

Тогда вопрос. Если клиент пользовался софтом, а через определённое время оказывается, что, допустим, в админке софта были sql инжи неприкрытые, имеет ли право покупатель написать блек на автора и какое влияние это окажет на топик продавца? Прикроют ли топик и насовсем ли(учитывая, что ущерб пользователю уже мог быть нанесён через дыру, будь то деанон красными или сливом логов?) или только временно, до исправления уязвимостей? Забанят ли автора? Каковы правила касательно этой темы. Было бы неплохо добавить в правила продаж какие то условия, которые затрагивают данный кейс.

А по поводу реверса, было бы прикольно видеть подобное не со стороны «проверки», а со стороны указания на минусы софта, за деньги автора. А если все ок, это ж реклама получается. И автору софта, и скиллу модера.

То есть норм ребята, кому скрывать нечего, готовят бабки на обзор со стороны доверенного. Если обзор показывает гуд - доверие к софту же максимальное становится. А те, кто не хочет проходить - доверие ниже. Все логично и классно.

 

[Quake3]

имеет ли право покупатель написать блек на автора и какое влияние это окажет на топик продавца

за 10 лет я таких прецендентов не помню.

А по поводу реверса, было бы прикольно видеть подобное не со стороны «проверки», а со стороны указания на минусы софта, за деньги автора. А если все ок, это ж реклама получается. И автору софта, и скиллу модера.

Ну это долго и уже за деньги разве что (или за статьи, хз).. типа как кроба делает, пентест админок. Хз, локеры смотреть на криптостойкость нет ни малейшего желания, а что-то другое, типа как можно сделать лучше в лоадере - я бы может и смотрел. Но нечего.

 

[Поп-Хлоп]

Вопрос у меня созрел. А почему, собственно, допускается к продажам кривой софт, и не просто кривой, а с бекдорами. Ладно если функционал не так работает, это ещё пол беды в нонейм малвари. Но sqli вектор в таких продуктах как анубис и азор, особенно последний, кого нахваливают до сих пор... мало того, что это позволяет реверсерам(приближённым к элите, так сказать) получить доступ к логам клиента. И ладно бы только реверсерам из нашей тусовки, но ещё и красным, они то, сразу получают прямые улики хищения информации. В азоре, к примеру до определенной версии можно было скачать все логи по относительной ссылке /files.
И это все равно оказалось в продажах.
Выглядит как схема на самом деле, делаешь софт с бекдором. Продаёшь N клиентам. N * K получаешь логов. На претензии при раскрытии твоей схемы, делаешь вид что и сам не знал о подобной проблеме(лол продавать малварь, считающуюся чуть ли не топовой в своём сегменте и не знать про sqli вектор и про нормальную фильтрацию всех приходящих данных, которые ты хочешь или отобразить в админке или положить в бд, да ещё и в 2016-18). И знаете, ладно бы неочевидные уязвимости там были. Но все настолько тупо, что мысли о нарочном бекдоре просто не покидают.

Насколько я знаю, дыры были во всех более менее известных админках.
Объясняется это тем, что код пишут кодеры далекие от понимания всевозможных векторов атак. Про одни векторы они знают, а другие упускают из виду. Пример - отфильтровал пользовательский инпут как надо, а про трюк с редиректом при basic auth - не знал. Или пофиксил все SQL\XSS, а вектор с сериализацией пропустил, и т.д...
У меня всегда вопрос возникал, в чем была проблема свой php код показать ребятам, т.н. "вебщикам"? Кода там как правило не вот прям много, и все очевидные ляпы секьюрности опытный "вебщик" увидит сразу.

А с другой стороны, базовые азы по безопасности не лишним будет знать и покупателям подобного софта.
С веба наружу должен торчать только один гейт для взаимодействия "софта" с удаленным сервером. Всё остальное, /admin.php /files/ logs/ должно быть закрыто правилами nginx, или .htaccess (в случае с apache)

 

[n1ppyyyy]

за 10 лет я таких прецендентов не помню.
Ну это долго и уже за деньги разве что (или за статьи, хз).. типа как кроба делает, пентест админок. Хз, локеры смотреть на криптостойкость нет ни малейшего желания, а что-то другое, типа как можно сделать лучше в лоадере - я бы может и смотрел. Но нечего.

На поставленный вопрос так и не ответил.

Если клиент пользовался софтом, а через определённое время оказывается, что, допустим, в админке софта были sql инжи неприкрытые, имеет ли право покупатель написать блек на автора и какое влияние это окажет на топик продавца?

 

[Quake3]

На поставленный вопрос так и не ответил.

Я хз, имеет или нет. Теоретически - да, практически, повторюсь - за 10 лет я не помню ни одного такого случая.

 

[mugwort]

На поставленный вопрос так и не ответил.

Я хз, имеет или нет. Теоретически - да, практически, повторюсь - за 10 лет я не помню ни одного такого случая.

если не путаю,одного чувака за такое забанили
Арбитраж писал создатель фоллаута на селлера балдра
они потом совсем соскамились и закрыли проект

 

[sweetMika7]

если не путаю,одного чувака за такое забанили
Арбитраж писал создатель фоллаута на селлера балдра
они потом совсем соскамились и закрыли проект

Все правильно говорите. Я тогда делала аудит их админки (когда их продукт только появился) и указывала ему на проблемы с дырами - он писал что все пофиксит, но увы...

 

[Quake3]

Ну еще был иск криптоманьяка к создателю оптимы, за что последний (его типа приватный рат палился) поехал в баню. Но это такая редкость, что скорее исключение, чем правило.

 

[return]

Тогда вопрос. Если клиент пользовался софтом, а через определённое время оказывается, что, допустим, в админке софта были sql инжи неприкрытые, имеет ли право покупатель написать блек на автора и какое влияние это окажет на топик продавца? Прикроют ли топик и насовсем ли(учитывая, что ущерб пользователю уже мог быть нанесён через дыру, будь то деанон красными или сливом логов?) или только временно, до исправления уязвимостей? Забанят ли автора? Каковы правила касательно этой темы. Было бы неплохо добавить в правила продаж какие то условия, которые затрагивают данный кейс.

А по поводу реверса, было бы прикольно видеть подобное не со стороны «проверки», а со стороны указания на минусы софта, за деньги автора. А если все ок, это ж реклама получается. И автору софта, и скиллу модера.

То есть норм ребята, кому скрывать нечего, готовят бабки на обзор со стороны доверенного. Если обзор показывает гуд - доверие к софту же максимальное становится. А те, кто не хочет проходить - доверие ниже. Все логично и классно.

была ситуация с балдром, на bhf он продавался долгое время и ещё на нескольких площадках, так на bhf кучу арбитражей было, но они закрывались почему-то всегда в пользу балдра, потом они полезли на экспу, немного повисели там и с первым арбитражом(если не ошибаюсь) улетели, после один в группе писал что выложит в паблик, но этого не произошло.