Wat vinden jullie van OWASP WrongSecrets? - Privacy en beveiliging

donderdag 13 april 2023 05:01

Acties:

+1 Henk 'm!

commjoenie2011

Topicstarter

Hi iedereen,
Na 2 jaar lang aardig wat vrije tijd er in gestoken te hebben, vraag ik me af: wat vinden jullie van dit hobby project https://github.com/OWASP/wrongsecrets?

donderdag 13 april 2023 06:16

Acties:

+3 Henk 'm!

mrmrmr

Ik vind het heel belangrijk dat webprogrammeurs goed worden opgeleid in hoe ze lekken kunnen voorkomen. De doelstelling spreekt mij helemaal aan.

Members only:

Alleen zichtbaar voor ingelogde gebruikers. Inloggen

donderdag 13 april 2023 08:42

Acties:

0 Henk 'm!

commjoenie2011

Topicstarter

Dankjewel allebei

. Ja de README.md is nogal geschreven als een hackers-voor-hackers, een "afterthought".

Zou een introductie helpen in de vorm van:
"Welcome to the OWASP WrongSecrets game! The game is packed with real life examples of how to not store your secrets in your software. Each of these examples is captured in a challenge, which you need to solve using different tools and techniques. Solving these challenges will help you to recognize mistakes often made & can help you to reflect on your own secrets management strategy.
Can you solve all the 29 challenges?
Try a few of them at https://wrongsecrets.herokuapp.com/ .
Want to know more? Scroll down ;-)"
?

donderdag 13 april 2023 11:04

Acties:

0 Henk 'm!

mrmrmr

Hoe kan ik de game draaien? Onder welk OS of in een browser? Wat moet ik daarvoor installeren? Wat is optioneel? Prerequisites dus.

Wat is de bedoeling van de link? Er wordt gesproken over allerlei dingen in challenge 1. Maar waar staat die code, container, repo? Als ik dit online bekijk lijkt het erop alsof er een groot deel ontbreekt en het niet online te spelen is.

Maar ik ben niet de juiste persoon voor challenges omdat ik er me vrijwel altijd aan erger. Dat heb ik gek genoeg in de praktijk nooit.

donderdag 13 april 2023 11:33

Acties:

0 Henk 'm!

commjoenie2011

Topicstarter

Dankjewel @mrmrmr

. Ik heb geprobeerd om de teksten verder aan te passen : https://github.com/OWASP/wrongsecrets/pull/759/files . Op die manier kan je vanaf challenge0 zien waar de belangrijkste items staan (code/container).
Het klopt inderdaad dat het niet volledig online te spelen is: per challenge zijn er een heel aantal technieken die je kan gebruiken om een geheim terug te vinden

.

edit: Ik zal nog even mijn hoofd moeten breken over de pre-requisites. Ik heb tot nu toe vooral de hosting laten zien, niet zozeer de tooling, anders dan https://github.com/OWASP/...owed-to-install-the-tools

.
Is het misschien een idee om die in challenge0 terug te laten komen? Als in iets van

"note: for many of the challenges you might need some tools to find the secret. Don't have the patience to install all of them? try `docker run -p 3000:3000 -v /var/run/docker.sock:/var/run/docker.sock jeroenwillemsen/wrongsecrets-desktop:latest` to get started."

[ Voor 42% gewijzigd door commjoenie2011 op 13-04-2023 11:45 ]

donderdag 13 april 2023 18:42

Acties:

0 Henk 'm!

commjoenie2011

Topicstarter

Ik ga nog even broeden op die Prerequisites ^^.
Dankjewel voor het documentatiedeel!

Is er iemand die als ontwikkelaar/Tweaker wat feedback zou willen geven op de challenges

?

donderdag 13 april 2023 20:02

Acties:

+1 Henk 'm!

mrmrmr

@commjoenie2011 Ja, mijn probleem waren vooral de onduidelijke punten. Je uitleg maakt het duidelijker.

Hopelijk geven anderen ook nog inhoudelijk feedback.

maandag 24 april 2023 19:15

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

commjoenie2011 schreef op donderdag 13 april 2023 @ 18:42:
Is er iemand die als ontwikkelaar/Tweaker wat feedback zou willen geven op de challenges ?

Modbreak:Hoewel het onderwerp zeker raakvlakken heeft met Privacy en beveiliging, is dit helaas niet de juiste plek om feedback op je project te vragen. Ik ga dit topic dan ook sluiten.

Exchange en Office 365 specialist. Mijn blog.