Annonce

Réduire
Aucune annonce.

White Hat Security Team

Réduire
X
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • White Hat Security Team

    Hello :3

    Je m'inscrit sur ce forum afin de recruter quelconque personne ayant des compétences en informatique pouvant êtres intéressantes.
    J'ai pour projet en ce moment même, de créer une team de Hacking White-Hat, afin en effet, d'aider les administrateurs de sites internet le plus possible.
    L'équipe est basée sur plusieurs "règle" que j'ai mise en place, mais qui pourront être changer à l'avenir.

    Pour l'instant je suis le seul. J'ai besoin de hackers compétent pour faire marcher l'équipe.
    Notre but, du-moins le mien vus que je suis seul, est de détecter des vulnérabilités, les exploiter, prouver qu'elles nous permettent un accès et les signaler aux administrateurs.

    J'ai besoin de main d'oeuvre, et le but d'une équipe est d'être plusieurs

    Je recherche vraiment tout type de hackers avec tout type de spécialisation:

    Crypto
    Stéga
    Web-Hacking
    Cracking
    Network

    et tous ce qui suit.:-)

    Pour l'instant j'ai pus signaler une dizaine de faille en 2 jours, en prouvant les injections (s'ils y'en a à faire..) et autre.
    J'aimerai que ça tourne bien mieux que ça et que l'on devienne une vraie équipe d'entraide.

    N'hésitez pas à me donner votre avis ci-dessous.:-)

    Bien cordialement.

  • #2
    Bonsoir,

    J'espère que tu te protège bien lors des divers signalement.

    Dans un premier temps je te suggère d'étaler un peu plus tes compétences en sécu dans un seul et même but : paraître plus crédible aux yeux des potentiels mecs compétents intéressés.

    D'autre part, comment s'articule la chose ? Quelles sont ces règles ?
    Tu désigne arbitrairement des "cibles" ? Ou bien tu liste seulement les app web vulnérables via google dorks ?

    Quel est la finalité de la chose ? Une fois que tu as signalé et prouvé les vulns, tu vends des prestations de sécu ?
    Tu compte créer une plateforme où les admin peuvent demander un "audit" (rapide car gratuit) de leur app ?


    Suivre Hackademics: Twitter, Google+, Facebook.

    Commentaire


    • #3
      Envoyé par fr3d Voir le message
      Hello :3

      Je m'inscrit sur ce forum afin de recruter quelconque personne ayant des compétences en informatique pouvant êtres intéressantes.
      J'ai pour projet en ce moment même, de créer une team de Hacking White-Hat, afin en effet, d'aider les administrateurs de sites internet le plus possible.
      L'équipe est basée sur plusieurs "règle" que j'ai mise en place, mais qui pourront être changer à l'avenir.

      Pour l'instant je suis le seul. J'ai besoin de hackers compétent pour faire marcher l'équipe.
      Notre but, du-moins le mien vus que je suis seul, est de détecter des vulnérabilités, les exploiter, prouver qu'elles nous permettent un accès et les signaler aux administrateurs.

      J'ai besoin de main d'oeuvre, et le but d'une équipe est d'être plusieurs

      Je recherche vraiment tout type de hackers avec tout type de spécialisation:

      Crypto
      Stéga
      Web-Hacking
      Cracking
      Network

      et tous ce qui suit.:-)

      Pour l'instant j'ai pus signaler une dizaine de faille en 2 jours, en prouvant les injections (s'ils y'en a à faire..) et autre.
      J'aimerai que ça tourne bien mieux que ça et que l'on devienne une vraie équipe d'entraide.

      N'hésitez pas à me donner votre avis ci-dessous.:-)

      Bien cordialement.
      Je me permets juste de te remémorer que c'est illégal ce que tu fais !
      Il est ici question d'intrusions délibérées, donc tu n'es absolument pas couvert par la nouvelle loi sur la République Numérique !
      Tu risques très gros là !

      Writer, cybersecurity enthusiast ! Follow me on Twitter: @SwitHak

      Commentaire


      • #4
        L'ombre a bien raison, prend garde à ce que tu fais si tu ne veux pas finir dans une bien mauvaise situation.

        Du reste, il est vrai qu'il serait intéressant de connaître tes compétences et le système selon lequel tu penses travailler.
        Si c'est simplement signaler des failles pour en signaler, ce n'est pas le plus intéressant, par exemple, toutes les sqlis ne peuvent pas maner à un shell.
        Cet argument est d'autant plus vrai que comme dit plus haut mettre un guillemet simple pour tester une sqli est devenu illégal !

        De plus, tu ne nous as effectivement pas donné tes deux fameuses règles.

        Au sinon, je reconnais l'intérêt et l'idéologie derrière ton projet et je respecte ça !

        Commentaire


        • #5
          Moi j'avoue que je sui passionnés par ce genre de projet (mais je suis débutante) , Mais néanmoins j'ai une question concernant les interditction fait par les lois sur ce genre de pratique .
          En faisant des recherche je suis tombé sur deux choses qui ce contredisent .
          DANS LE Côté GAUCHE DU RING NOUS AVONS !!:

          La loi « pour la confiance dans l’économie numérique » du 21 juin 2004 (n° 2004-575) « Le fait d''accéder ou de se maintenir, frauduleusement, dans tout ou partie d''un système de traitement automatisé de données est puni de deux ans d''emprisonnement et de 30000 euros d''amende. Lorsqu''il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d''emprisonnement et de 45000 euros d''amende. »

          ET DANS LA PARTIE DROITE DU RING NOUS AVONS !!:

          http://www.lemonde.fr/pixels/article...6_4408996.html

          Donc si quelqu'un pourrait éclairer ma lanterne sur ce qui est légal en ce moment , je serai pas contre ^^.

          Merci a vous.

          TCHUSS

          Commentaire


          • #6
            D.G Et bien en effet, il est illégal de s'introduire, que se soit avec de bonnes intentions ou non, sur un réseau, un site web, ou un quelconque espace numérique. Comme tu as pu le lire, les peines encourues sont très lourdes, et la loi en elle même est très flou. Il arrive quelque fois que les admins et les hackers arrive à travailler dans de bon termes, mais il ne vaut mieux pas prendre de risque.

            Mais tu as raison, il y a environ 1an, un amendement à été voter, et il permet de protéger ces hackers, mais uniquement lorsque ils rentrent par un cadre légal. On peut alors citer la plateforme Bounty Factory, qui met en relation des administrateurs, et des testeurs, dans le cadre légal. Ainsi, les entreprises qui le souhaite, peuvent soumettre leurs systèmes à des audits, et les White Hat peuvent travailler avec des règles établies au préalable sans aucune contraintes.

            fr3d Si tu veux continuer ce que tu fais dans un cadre plus légal et plus professionnel, c'est une plateforme de ce type qu'il faudrait que tu mettes en place. Tu ne serais alors pas à l'encontre de la justice, car même si les intentions sont compréhensibles, ça reste néanmoins désagréable.

            J'espère t'avoir éclairée D.G, et je te souhaite une bonne continuation pour ton projet fr3d
            "Textes, pensées, et réflexions open source"
            †|

            Commentaire


            • #7
              L'ANSSI a en effet mis en place en formulaire pour signaler les vulns trouvées (l'ANSSI se charge alors de faire le lien avec la boite vulnérable) MAIS... la "couverture" du lanceur d'alerte peut être maigre ... : http://mobile.lemonde.fr/pixels/arti....co/6nJfTwCWS0

              Voyons quels sont les aboutissants de ton projet (cf mes questions plus haut) avant d'aller plus loin.


              Suivre Hackademics: Twitter, Google+, Facebook.

              Commentaire


              • #8
                Envoyé par D.G Voir le message
                Moi j'avoue que je sui passionnés par ce genre de projet (mais je suis débutante) , Mais néanmoins j'ai une question concernant les interditction fait par les lois sur ce genre de pratique .
                En faisant des recherche je suis tombé sur deux choses qui ce contredisent .
                DANS LE Côté GAUCHE DU RING NOUS AVONS !!:

                La loi « pour la confiance dans l’économie numérique » du 21 juin 2004 (n° 2004-575) « Le fait d''accéder ou de se maintenir, frauduleusement, dans tout ou partie d''un système de traitement automatisé de données est puni de deux ans d''emprisonnement et de 30000 euros d''amende. Lorsqu''il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d''emprisonnement et de 45000 euros d''amende. »

                ET DANS LA PARTIE DROITE DU RING NOUS AVONS !!:

                http://www.lemonde.fr/pixels/article...6_4408996.html

                Donc si quelqu'un pourrait éclairer ma lanterne sur ce qui est légal en ce moment , je serai pas contre ^^.

                Merci a vous.

                TCHUSS
                Salut,

                Pour moi actuellement, c'est le caractère volontaire de l'intrusion qui est pénalement répréhensible. Cependant, la loi a un vide juridique concernant la caractérisation du côté volontaire !
                Mais, il y a la jurisprudence, qui est tout aussi importante que la loi en France. Une de ces jurisprudence, bien que datant de longtemps, les juges ont considéré que l'intrusion d'un chercheur en sécurité informatique était répréhensible (Affaire Zataz).
                Le problème reste juridique, mais aussi de sécurité publique. Car au-delà de l'aspect juridique, il y a aussi le fait que si c'est légalisé, cela ouvre la voie aux tests tout azimuts, et cela n'est pas vraiment super pour nos amis les RSSI.

                Mon avis:
                Il faudrait une évolution juridique mais aussi consacrer le fait involontaire et volontaire des tests de sécurité. Le mouvement des BugsBounties est tout nouveau, il ne fait que commencer. La législation est souvent en retard avec les évolutions sociétales et technologiques.
                Writer, cybersecurity enthusiast ! Follow me on Twitter: @SwitHak

                Commentaire


                • #9
                  Envoyé par _47 Voir le message
                  L'ANSSI a en effet mis en place en formulaire pour signaler les vulns trouvées (l'ANSSI se charge alors de faire le lien avec la boite vulnérable) MAIS... la "couverture" du lanceur d'alerte peut être maigre ... : http://mobile.lemonde.fr/pixels/arti....co/6nJfTwCWS0

                  Voyons quels sont les aboutissants de ton projet (cf mes questions plus haut) avant d'aller plus loin.
                  La fameuse loi GODFRAIN <3
                  Writer, cybersecurity enthusiast ! Follow me on Twitter: @SwitHak

                  Commentaire


                  • #10
                    EDIT: J'ai effacer mon offre, normal, pas de réponse, donc pour moi c'est The end, bonne continuation
                    Sert à rien de demander si derrière y a plus personne
                    Dernière modification par DreAmuS, 08 décembre 2016, 19h12.

                    Commentaire

                    Chargement...
                    X