0day.today - The Underground, ist eine der meistbekanntesten und umfassensten Computer Security Webseiten Unsere Seite wird von Privatleuten, Firmen, Universitäten, der Regierung und militärischen Institutionen täglich besucht. Wir bestehen aus Sicherheitsspezialisten, deren Ziel es ist, notwendige Informationen zum Sichern von Anwendungssoftware bereitzustellen. Wir wollen dieses Ziel erreichen, indem wir neue Security Advisorys im Internet veröffentlichen. Das 0day.today Team besteht aus einer Gruppe hochprofessioneller Sicherheitsspezialisten, die alle direkt im technischen Computer- bzw. Softwaresicherheitssektor beschäftigt sind. bietet nützliche Informationen für Leute, die Penetration Tests ausführen, IDS Signatur Entwicklung und Exploit Forschung betreiben. Dieses Projekt wurde ins Leben gerufen, um Informationen zu Exploit-Techniken und eine Ressource für Exploit-Entwickler und Sicherheitsspezialisten bereitzustellen. Die Tools und Informationen auf dieser Seite dienen der legalen Sicherheitsforschung, sowie Testzwecken. Zum ersten Mal kam uns der Gedanke das 0day.today Projekt zu gründen am 13. Mai 2008 Dieses Projekt ist der Computersicherheit, dem Schutz und dem Hacken von Netzwerken, Software und Informationen gewidmet. Die 0day.today Seite ist eine Datenbank, die regelmäßig mit Beschreibungen von Schwachstellen und Schwachstellen zu diversen Softwareprodukten aktualisiert wird. Die Datenbank ist in folgende Bereiche unterteilt: Lokal, Remote, DoS, etc. Außerdem wird nach den Betriebssystemen unterschieden: BSD, Linux, QNX, OSX, Solaris, Unix, Windows usw. Die neuesten Exploits wurden veröffentlicht, um kritische Schwachstellen offenzulegen. Das Projekt wurde entwickelt, um Informationen zwischen den Parteien, die thematisch zu Computeraktivitäten zu gehören zu erhalten, abzulegen und auszutauschen. Eine der Prioritäten ist es, interessierten Personen ein einzigartiges Nachschlagewerk zu bieten. Seien es Programmiersprachen, Netzwerkprotokolle oder Sicherheitshardware und -ressourcen - wir versuchen das alles im Projekt zu erläutern.

1) Du hast stabile, überprüfte und sichere öffentliche Referenzen mit Deinen eigenen Credits oder Profil. 2) Unser Team kann Dir bei Schwachstellen/Advisory Überprüfungen, Präsentationen oder Securitytests behilflich sein. 3) Wir fordern CVE/CWE-IDs von einem Pool an und informieren den Hersteller über ein sicheres Verfahren mit verschlüsselter Kommunikation. 4) Member ( Forscher und Analysten ) mit Publikationen bekommen kostenlosen Zugriff zu Zero-Days in einem privaten Bereich. 5) Der Service ist 24/7 erreichbar über E-mail, Jabber, Facebook, Twitter und Skype. 6) Das Berechtigungssystem von 0day.today gestattet uns, fortgeschrittenen Forschern Zugriff auf Schwachstellendetails und Lab-Services zu geben. 7) Aktive Forscher können auch kostenlos an Securityevents von Partern und privaten, anonymen Sicherheitsmeetings teilnehmen. 8) Der Entdecker einer Schwachstelle kann in den Prozess der Benachrichtigung des Herstellers, sowie der Bezahlung einbezogen werden. 9) Sicherer Bezahlungs-, Belohnungs- und Preisablauf bei kommerziellen Bugs.

Gehe zur Kontaktseite und wähle die E-Mail-Adresse des Admins aus.

Wenn Du ein registrierter Benutzer bist: Gehe zu Support. Wenn Du kein registrierter Benutzer bist: Sende Deine Ideen an [email protected].

Wenn Du einen Fehler gefunden hast, informiere bitte den Administrator. Wir werden ihn beheben und sehr dankbar sein. Das könnte Dir helfen, Teil von unserem Team zu werden. Wir sind auch bereit eine Schwachstelle zu kaufen, die Du auf unserem Projekt gefunden hast.

0day.today ist ein Service der an Personen gerichetet ist, die in der IT-Branche arbeiten, wie Webmaster, systemadministratoren oder einfach an alle, die denken, dass Sicherheit essentiell ist. 0day.today versucht dich so früh wie möglich zu informieren, wenn Sicherheitslücken von Software, kostenpflichtig oder -frei, im Internet ausgenutzt werden. Das Registrieren bei unserem Service ist nicht mit Kosten verbunden und kinderleicht. Wenn Du Dich bei unserem Projekt registrierst, bekommst Du Zugang zu allen Funktionen und dem nicht-öffentlichen Bereich. 0day.today ist Dein neuer Partner, der Dir hilft die täglichen Sicherheitsprobleme zu vermeiden. Bitte denke daran, dass BugSearch nicht für die illegale Verwendung dieser Informationen verantwortlich ist. 0day.today wird ohne jegliche Gewährleistung veröffentlicht und dient nur Bildungszwecken.

Du musst dich hier registrieren und Du wirst Mitglied.

Wenn Du Deine Exploits und Deinen Nickname findest, kannst Du Deinen Acoount aktivieren, indem Du die E-Mail-Bestätigung aus Deinem E-Mail-Postfach nutzt. Wenn die E-Mail-Adresse nicht in Deinem Account existiert, musst Du einen Administrator kontaktieren. Wir geben Dir ein Passwort.

Cross Site Scripting (persistent) Vulnerabilities Cross Site Request Forgery Click-Jacking & Cam-Jacking Unrestricted & unauthorized local / remote file include Directory Traversal / Path Traversal Authentication, Filter or Exception Bypass SQL Injection & Blind SQL Injection Input Validation Vulnerabilities (persistent / non-persistent) Stack / Buffer / Heap / Integer / Unicode overflows Local / Remote privilege escalation Format Strings Memory Corruption Division / Divide by Zero Bugs Pointer vulnerabilities (... Null Pointer, Access Violation, Read, Write) Local / Remote command execution Local / Remote code execution Denial of Service & stable Firmware Freeze + Blocks Information leaking & information disclosure Weak algorythm, weak encryption & weak ciphers Misconfiguration of OS, systems & applications Structure & design errors / flows Kernel panic / black & blue screens Stable application- & software-crashes Wenn Du eine Schwachstelle gefunden hast, die zu keiner der oben genannten Kategorien passt, kannst Du sie trotzdem einsenden und wir werden sie für Dich überprüfen.

Wenn Du registriert bist: Bitte melde Dich an oder registriere Dich auf 0day.today Klicke auf [ Exploit hinzufügen ] oben auf der Seite. Oder gehe auf http://0day.today/add Fülle die Form auf der Seite aus und drücke Einsenden. Das war es schon.Danach werden unsere Admins das Material überprüfen und veröffentlichen. Wenn etwas unklar sein sollte - fragen wir Dich.

---

Wenn Du nicht registriert bist: Sende Deinen Exploit bitte an die Supportmail [email protected] und lies die Regeln. Wenn Du die Regeln nicht akzeptierst, veröffentlichen wir Dein Material nicht !

Wir werden KEINE Prozesse, Schwachstellen oder Exploits akzeptieren, die gegen Live-Webseiten gerichtet sind.

Um die Bearbeitung Deiner Einsendungen zu beschleunigen, halte Dich an diese einfachen Richtlinien:

1) Sende Exploits per E-Mail mit dem Exploittitel als Betreff. 2) Sende Deinen Exploit als Dateianhang (.zip, .tgz, .gz, .rar, .c, .py, .txt, .pl, .html, etc). 3) Sende einen Link zu der verwundbaren Software in der E-Mail mit ( wenn verfügbar ).

Bitte lies die folgenden Richtlinien zur Einreichung sorgfältig:

1) Wir akzeptieren keine Non-Persistent XSS Vulnerabilities. 2) Wir akzeptieren keine XSS Vulnerabilities für unbekannte, nicht weit verbreitete Anwendungen. 3) Wir akzeptieren keine Vulnerabilities, die keine Daten oder Details preisgeben. 4) Wir akzeptieren keine Exploits für Software, die unbekannt oder nicht weit verbreitet ist. 5) Wir akzeptieren keine doppelten Exploits, die einfach in einer anderen Programmiersprache geschrieben sind.

Bitte gib so viele Informationen zu der Schwachstelle wie möglich an, um die Überprüfung zu beschleunigen. Wenn Du einen Exploit einsendest, solltest Du mindestens folgende Punkte angeben:

# Exploit Titel: [Title] # Datum: [Datum der Entdeckung] # Autor: [Autor] # Hersteller- oder Softwarelink: [Downloadlink, wenn vorhanden] # Version: [Version des Produkts] # Kategorie: [Remote, Local, Webapps, DoS, etc] # Google Keywords: [inurl: und intext:] # Getestet unter: [Betriebssysteme (OS)] # Demoseite: [Minimum von 3 verwundbaren Seiten -- je mehr, desto besser, weil das die Bestätigung des Exploits beschleunigt] Ein Bespiel für einen veröffentlichten Exploit/Schwachstelle ist (15057).

Was habe ich davon, wenn ich meine Exploits/Schwachstellen einsende?

0day.today bietet Dir viele Vorteile, wenn Du für den Disclosure Deiner Schwachstellen nutzt. In 0day.today, kannst Du Dein Material komplett kostenlos ( d.h. kein Gold wird benötigt ) veröffentlichen. Gold wird nur benötigt um nicht-öffentliches Material von anderen Schwachstellen zu öffen, die für Leute, die kein Gold haben, nicht zugänglich sind. Vor dem veröffentlichen Deiner Schwachstelle kannst Du angeben, ob man zum Ansehen dieser Gold benötigt, oder es kostenlos ist ( Du kannst einen Preis angeben, wenn Du dich für die Variante mit dem Gold entscheidest ) Jede Schwachstelle wird von den Admins von 0day.today überprüft und dann veröffentlicht. Falls Deine Schwachstelle allerdings ein Fake ist, werden die Admins Deinen Account sperren. Wenn Dein Material für Gold verkauft wird, erhälst Du selbstverständlich das Gold vom Verkauf.

Warum solltest Du Exploits/Schwachstellen auf 0day.today veröffentlichen?

1) Du hast sichere und überprüfte öffentliche Referenzen auf Deinem Profil. 2) Unser Team kann Dir bei Schwachstellen/Advisory Überprüfungen, Präsentationen oder Securitytests behilflich sein. 3) Wir fordern CVE/CWE-IDs von einem Pool an und informieren den Hersteller über ein sicheres Verfahrung über verschlüsselte Kommunikation. 4) Member ( Forscher und Analysten ) mit Publikationen bekommen kostenlosen Zugriff zu Zero-Days in einem privaten Bereich. 5) Der Service ist 24/7 verfügbar über E-mail, Jabber, Facebook, Twitter und Skype. 6) Das Berechtigungssystem von 0day.today gestattet uns, fortgeschrittenen Forschern Zugriff auf Schwachstellendetails und Lab-Services zu geben. 7) Aktive Forscher können auch kostenlos an Securityevents von Partern und privaten, anonymen Sicherheitsmeetings teilnehmen. 8) Der Entdecker einer Schwachstelle kann in den Prozess der Benachrichtigung des Herstellers, sowie der Bezahlung einbezogen werden. 9) Sicherer Bezahlungs-, Belohnungs- und Preisablauf bei kommerziellen Bugs.

---

Wenn die Schwachstelle ordentlich beschrieben wurde und die Anforderungen des entsprechenden Kriteriums erfüllt sind, wird die Schwachstelle zum Üperprüfen gesendet. Sobald der Status der Schwachstelle auf "Überprüft" wechselt, wird Dein Exploit veröffentlicht und in der richtigen Kategorie, mit den angegebenen IDs und Referenzlinks online gestellt.

Wenn Du Material einsendest, aber die Regeln nicht gelesen hast ( http://0day.today/submit ),werden wir Dein Material nicht veröffentlichen. Bitte gib so viele Informationen wie möglich an, um den Prozess der Überprüfung zu beschleunigen. Wenn Du einen Exploit einsendest, solltest Du mindestens diese Header angeben: # Exploit Titel: [title] # Datum: [date] # Autor: [author] # Hersteller oder Softwarelink: [Downloadlink, wenn vorhanden] # Version: [Version des Produktes] # Kategorie: [Remote, Local, Webapps, DoS, etc..] # Google Dork: [inurl: + intext:] # Getestet unter: [betroffene Betriebssysteme] # Demoseite: [3 verwundbare Seiten zum Vereinfachen der Überprüfung] ODER Screenshot Die veröffentlichten Advisories in folgendem Format: (Beispiel: http://0day.today/exploits/18906)

Wir werden Deinen Account sperren und zukünftig keine Exploits mehr von Dir annehmen.

0day.today Gold is the currency of 0day.today project. It used for paying for the services, buying exploits, earning money, etc. To get Gold read F.A.Q. chapters:

• How to buy 0day.today Gold?
• How to earn 0day.today Gold?

How I can fund my account? Go to the payment page

To earn 0day.today Gold you can:

• sell exploits
• help with cracking hashes
• New ways to earn Gold will be avaliable soon.

Wie kann ich einen nicht öffentlichen Exploit kaufen ?

• Jedes Material hat ein Feld - :: GOLD. Es hat zwei Typen. Kostenlos oder den Preis Du solltest genug Geld haben, um den Code zu kaufen.

Wie kann ich meinen Account aufladen ? Go to the Bezahlseite

Wie kann ich meinen Exploit verkaufen ?

• Du schickst Deine Sachen über die Form zum Einsenden auf der Webseite und gibst einen Preis an. field: Gib den Preis des Materials an (max 1000, für öffentliche 0)
• Füge einen Screenshot hinzu field: Wähle die Bilder aus (um Dein Material zu belegen; nur *.jpg; max: 3 Bilder)
• Und schicke es an uns!

Wenn Du Material an uns sendest mit einem Preis größer als 0, wird die Administration es überprüfen und einen passenden Preis festlegen. ( Wenn wir mit Deinem Preis nicht übereinstimmen, werden wir Dich kontaktieren und den Preis mit Dir diskutieren ) danach wird das Material veröffentlicht und folgendermaßen aussehen: Dein Material kann nicht von Leuten gekauft werden, dessen Goldguthaben weniger als der Preis des Materials ist. Wenn eine Person Dein Material zu diesem Preis kauft, werden wir das Gold auf Deinem Account gutschreiben. Du kannst das Gold in Geld umwandeln, wenn Du mindestens MIN_SUMM_GOLD_TAKE_OFF_SYSTEM Gold hast http://0day.today/gold Wenn wir den Exploit im Internet finden, entfernen wir den Preis und Dein Exploit wird kostenlost! Um das Gold aus unserem System auszubuchen, kontaktiere bitte den Support. In diesem Fall wird Dir PERSENT_RECEIVE_WHEN_TAKE_OFF des Kontostandes ausgezahlt. Der Minimalbetrag, der aus dem System ausgezahlt werden kann, beträgt MIN_SUMM_GOLD_TAKE_OFF_SYSTEM Gold.

Wie kann ich meinen Exploit bekannter machen [ Highlight ] ?

• Wenn Du Deine Sachen in die Bewertungskategorie aufnehmen willst, klicke [ highlighted ] Dein Exploit hat einen sehr hohen Bewertungsschnitt. Der Service kostet 10 Gold.
• Nach dem Klick wird Dein Exploit in die hervorgehobene Kategorie dupliziert Nach 10 Tagen, oder wenn neue Exploits die leeren Plätze vor Deinem Exploit füllen, wird Dein Exploit von dieser Kategorie verschwinden.

To take the gold out of the system, please contact our support. In this case you receive PERSENT_RECEIVE_WHEN_TAKE_OFF of your balance Minimal summ to take out of the system is MIN_SUMM_GOLD_TAKE_OFF_SYSTEM Gold

Wir führen Penetrationtests aus und nehmen das Thema sehr ernst. Wir spielen kein Spiel, wir halten uns nicht zurück. Wenn Du Sachen über das 0day.today Team im Internet nachliest, weißt Du, was wir im Bezug auf Penetrationtests bieten können. Wenn einmal Zugang zum Zielsystem verschafft ist, beginnt die eigentliche Arbeit. Nämlich zu zeigen, mit welchen Themen die Orgnisation konfrontiert werden würde, wenn die eine wirklich bösartige Attacke wäre. Das hat mehr als den Vorteil, mögliche Lücken in der Verteidigung des Systems zu finden, es gibt die Sicherheit, dass wenn eines Tages ein solcher Vorfall eintritt, diese Situation angemessen behandelt werden kann. Wenn es gewünscht wird, können wir mit Deinem Developmentteam, im Zuge des Application Lifecycle zusammenarbeiten, um sicherzustellen, dass Sicherheitsprobleme früher erkannt werden und kostengünstig behoben werden können. Nach dem Test arbeiten wir mit Dir zusammen, um herauszufinden, was hätte getan werden müssen, um bösartige Attacken zu verhindern, zu identifizieren und das Unternehmen vom Angriff zu erholen. Wenn Du einen Penetrationtest benötigst, möchten wir uns mit Dir unterhalten. Das kannst Du erwarten:

• Richtlinien werden festgelegt, die zu den Zielen führen, die Du vorgegeben hast.
• Die Arbeit wird ausgeführt und wir stellen sicher, dass Du zu jedem Zeitpunkt über die aktuellen Schritte informiert bist.
• Es wird ein Bericht erstellt, der Dir zeigt, was wir entdeckt haben und was wir für Verbesserungen vorschlagen.
• Wir werden mit Dir zusammenarbeiten, um sicherzustellen, dass Du die Ergebnisse verstehst und das Wissen hast, die erforderlichen Maßnahmen zu treffen

0day.today nimmt diese Arbeit sehr ernst. Wenn Du für einen ernsthaften Penetrationtest bereit bist, befolge diese Schritte:

• Überprüfe Dein Guthaben Was kostet das? 1) Der Pentest Deiner Seite kostet Dich 50 Gold. Du musst einen Banner auf der Seite für den Pentest platzieren. 2) Wenn Du irgendeine Seite überprüfen lassen willst, kostet das 100 Gold. Wie kann ich Guthaben auf mein Profil gutschreiben ? siehe 12) Wie kann ich bezahlen ? Wie kann ich Material oder den Service bezahlen ?
• Nach dem Bezahlen solltest Du die Form hier ausfüllen Wie geht das? 1) Gib die URL der Seite ein, die von uns überprüft werden soll. 2) Wähle den Besitzer. Wenn Du der Besitzer der Seite bist, die Du eingegeben hast, solltest Du das beweisen. Du musst unser Banner auf Deiner Webseite platzieren, während wir sie überprüfen. Das ist der Indikator für uns, die Überprüfung zu beginnen. Wir starten nicht, bevor der Besitz der Webseite bestätigt ist.
• Danach bekommen wir die Information über die Webseite und starten das Überprüfen. Du erhälst unseren detaillierten Bericht in einer Woche, oder später.

Der Hash Cracker Service bietet Dir die Möglichkeit, die Sicherheit verschiedener Typen von Hashes zu testen (SHA1, 32 bit MD5, MD4, mysql, etc. ). Wie bekommen ich einen gecrackten Hash ? Wie kann ich einen Hash zum Cracken hinzufügen ? Du musst ein registrierter Benutzer sein, und mindestens 5 Gold besitzen. Du musst auf die Hash Cracker Seite und das Form zum Hinzufügen eines neuen Hashs ausfüllen. Nachdem ein anderer User das Passwort zu dem Hash an uns gesendet hat überprüft die Administration diesen und benachrichtigt dich über den gecrackten Hash. Wenn der Autor ein Betrüger ist, wird dessen Account gebannt. Wenn Du den Button [ Passwort kaufen ] siehst, ist das 100% das Passwort zu dem Hash. Wie kann ich das Passwort zu einem Hash verkaufen ? Benutzer bekommen Gold wenn sie anderen Benutzern dabei helfen Hashes zu cracken. Der Benutzer, der das Passwort zu einem Hash als erstes entdeckt und an uns verkauft, wird der Besitzer des Hashes. Bei jedem Kauf des Passworts zu diesem Hash bekommt er das Gold.