Hace tiempo que no estoy activo en BB pero llevo años siguiendo esto y acudí a algunas BBs en Madrid. Por lo menos a algunos les sonaré familiar.
De todas formas me presento, soy Antonio, desarrollador de carrera y profesión, pero desde hace un año estoy girando hacia seguridad. De momento toco todos los palos: sistemas, redes, aplicaciones web o aplicaciones de escritorio. No es que sean temas nuevos para mí, pero ahora les estoy dedicando tiempo en serio.
Como aquí hay muchas aplicaciones web rulando he pensado que sería una buena oportunidad para trabajar en mis skills de web application tester ofreciendo hacer un testeo de seguridad totalmente gratuito a quien le interese. No pido nada a cambio más que libertad para hacer las pruebas a mi manera.
Como resultado enviaré un informe en inglés con los hallazgos, problemas de seguridad, agujeros o lo que sea y sugerencias de cómo resolverlos, dependiendo de cada caso.
Sobre los temas delicados:
1) Es legal hacer todo tipo de pruebas con el consentimiento del dueño de la aplicación. Si se planea hacer uso intensivo de la red es conveniente informar al proveedor de hosting de antemano. Puedo usar siempre la misma IP así que esto se puede controlar.
2) Sin el código fuente el testeo queda altamente limitado. Es necesario para una evaluación completa, y si hay código por medio yo firmo un NDA y todos contentos. Si da mal rollo lo de compartir código no pasa nada. Quizás pida bloques concretos como el login, session handling, etc.
3) En cualquier caso yo me comprometo a mantener privados toda la comunicación y hallazgos y ha hablar siempre anónimamente de la aplicación en los foros especializados a menos que se acuerde lo contrario.
4) Esto es para testear la seguridad a nivel de aplicación web, no de la framework que se use (Drupal, Joomla, WP) ni del sistema donde esté corriendo. Si por ejemplo hay un custom plugin hecho para la aplicación si se podría analizar.
No se pierde nada por probar y así yo aprendo. Win-win.
Hace tiempo que no estoy activo en BB pero llevo años siguiendo esto y acudí a algunas BBs en Madrid. Por lo menos a algunos les sonaré familiar.
De todas formas me presento, soy Antonio, desarrollador de carrera y profesión, pero desde hace un año estoy girando hacia seguridad. De momento toco todos los palos: sistemas, redes, aplicaciones web o aplicaciones de escritorio. No es que sean temas nuevos para mí, pero ahora les estoy dedicando tiempo en serio.
Como aquí hay muchas aplicaciones web rulando he pensado que sería una buena oportunidad para trabajar en mis skills de web application tester ofreciendo hacer un testeo de seguridad totalmente gratuito a quien le interese. No pido nada a cambio más que libertad para hacer las pruebas a mi manera.
Como resultado enviaré un informe en inglés con los hallazgos, problemas de seguridad, agujeros o lo que sea y sugerencias de cómo resolverlos, dependiendo de cada caso.
Sobre los temas delicados:
1) Es legal hacer todo tipo de pruebas con el consentimiento del dueño de la aplicación. Si se planea hacer uso intensivo de la red es conveniente informar al proveedor de hosting de antemano. Puedo usar siempre la misma IP así que esto se puede controlar.
2) Sin el código fuente el testeo queda altamente limitado. Es necesario para una evaluación completa, y si hay código por medio yo firmo un NDA y todos contentos. Si da mal rollo lo de compartir código no pasa nada. Quizás pida bloques concretos como el login, session handling, etc.
3) En cualquier caso yo me comprometo a mantener privados toda la comunicación y hallazgos y ha hablar siempre anónimamente de la aplicación en los foros especializados a menos que se acuerde lo contrario.
4) Esto es para testear la seguridad a nivel de aplicación web, no de la framework que se use (Drupal, Joomla, WP) ni del sistema donde esté corriendo. Si por ejemplo hay un custom plugin hecho para la aplicación si se podría analizar.
No se pierde nada por probar y así yo aprendo. Win-win.
Ya me diréis.
herraiz@gmail.com