Challenge faille applicative N-PN

[dvor4x]

Salut à tous,

Ça fait déjà quelques temps que je me pose la question mais, pourquoi n-pn ne ne propose pas des épreuves de faille applicative comme sur root-me ou zenk ?
Manque de temps et/ou de motivation ?

S'il faut des personnes pour configurer l'environnement, je peux aider.

Je pense que ça pourrait être sympa de monter une petite équipe et de s'y mettre.

Qu'en pensez vous ?

[gruik]

n'hésites pas à proposer, tu ferais ça comment, sur quelle machine etc. ?

[dvor4x]

-Niveau machine, j'ai une vieille tour chez moi sous Freebsd qui peut faire l'affaire, après si quelqu'un a un VPS ce serait beaucoup mieux
-OS : Debian ou FreeBSD, c'est clairement les deux que j'utilise le plus et ou je suis le plus habile.
-Comment : méthode classique, 2 users par challenge (userX & userX_cracked) + config des droits + accès SSH + installation & config des tools utiles

Histoire de faire ça vite et bien on peut s'y mettre à 3/4 personnes max.

[gruik]

-Niveau machine, j'ai une vieille tour chez moi sous Freebsd qui peut faire l'affaire, après si quelqu'un a un VPS ce serait beaucoup mieux

un VPS en général c'est pas tres performant non plus, en admettant qu'on parle d'une VM il faudrait la dimensionner comment en CPU/RAM/disque pour pas qu'elle rame dès qu'y a 5 users dessus ?

quid des processus qui restent en l'air indéfiniment, des attaques en local contre le noyau ou autre, de l'encombrement croissant du disque etc. ?

un truc qui revient fréquemment aussi ce sont les problèmes du genre les petits malins qui se connectent en SSH, upload un binaire nmap ou autre et lancent au mieux des scans transversaux au pire carrément des attaques depuis ta machine, tu gères ça comment ?

[dvor4x]

-Ma tour elle a supporté pas mal de connexion sans problème, après c'est pour ça que je disais "un vps serait mieux"
-Pour gérer quelques connexions ssh & exécuter des petits binaires on a pas besoin d'un foudre de guerre non plus (à voir la consommation moyenne connexion ssh/user)
-On limite le nombre de connexion par user (limits.conf -> maxlogins)
-Pour la protection du réseau local une DMZ et configurer correctement le traffic sortant dans iptables.
-Attaque sur le kernel : On est jamais à l'abri d'une 0day mais un patch GrSec est un petit plus
-Purge de la partition /tmp tout les X temps et établir des quotas.
-Possibilité d'écrire uniquement dans /tmp

[dvor4x]

Vu sur IRC avec gruik,

Pour le projet nous aurons à dispo une machine isolé, ce qui nous permettrait de faire ce qu'on veut.

Les challenges développés sur cette machine seraient non officiel et se catégoriserait plus comme un "évènement" ponctuel annoncé sur le forum.
Les challenges seront orientés faille apps sous la forme d'un jeopardy classique.

Pour l'instant, il y a moi et notfound pour tout ce qui est configuration de l'environnement, par la suite, je peux développer quelques challenges.
Si quelqu'un veut nous rejoindre pour développer des apps faillible, qu'il nous contact par mp ou sur irc.

Si vous avez des questions, n'hésitez pas.

[Dobry]

Super initiative !
J'essaye de réfléchir a des idées de challenges.

[Creepy_p0ney]

Pas mal !!

Je vais essayer de trouver des codes vulnérables à faire

[dvor4x]

un petit point sur l'avancement du projet:

Un VPS chez OVH a été commandé, je pense commencer la configuration ce soir et continuer avec notfound dans la semaine.

Pour ce qui est du développement des challenges, nous avons besoins de 2/3 développeurs et vous êtes trois à vous être manifesté (Dobry, Creepy_p0ney, fr0g).

Si vous êtes motivé, on peut se donner rdv sur mumble ou sur irc dans la semaine pour parler de qui fait quoi et de comment on bosse.

[sakiir]

bonne question !
C'est vrai que je suis POUR en plus dvor4x au lieu de poutrer chez root-me on poutrera ici
Je veux bien participer aussi

[thxer]

Super tout ça, j'aimerai participer mais pour l'instant j'ai le temps de rien. Dès que j'ai plus de temps libre je vous aiderai.
A bientôt.

[dvor4x]

Des petites nouvelles concernant le projet !

Tout se passe bien, l'infrastructure est quasi prête (il reste 2/3 bidouilles à faire, rien de bien compliqué, il faut juste que je m'y colle).
En revanche concernant les développements de challenges, c'est un peu la pause... fr0g et Creepy sont un peu débordé par le taf des cours.

Je cherche donc un développeur avec un peu de temps libre (3h par semaine devrait suffire pour faire avancer le bousin).
On a déjà une liste d'épreuve prête qui demande juste a être développée.

Compétences requises : ASM, C, Dev web serait un plus.

Faites vos demandes par mp.

[sakiir]

je suis chaud enfin je sais pas si on peut me califier de "developper" mais en tout cas tu me connais envoi moi un petit pv puis je viendrai sur irc