Alcance denegado por defecto.
Nada está en el alcance hasta que tú lo pongas ahí. Tú declaras los objetivos exactos, y todo lo que quede fuera de ese alcance no se toca nunca, ni se enumera ni se prueba.
SEGURIDAD
Riposte dirige herramientas ofensivas reales contra sistemas reales. Ese poder viene con una regla estricta y un conjunto de controles hechos para hacerla cumplir. Esta página cubre ambos: cómo usarlo de forma responsable, y cómo avisarnos si encuentras un agujero en el propio Riposte.
SOLO USO AUTORIZADO
Ejecuta Riposte solo contra sistemas que poseas o que tengas autorización explícita para probar. Apuntar herramientas ofensivas a infraestructura para la que no tienes permiso escrito de evaluar es muy probablemente ilegal, y la responsabilidad es tuya. Ante la duda, no tienes autorización.
Los controles de abajo están hechos para mantener un compromiso autorizado dentro de sus límites. No sustituyen esa autorización, y no pueden volver legal tocar un objetivo fuera de alcance. Existen para que, cuando tengas vía libre para probar algo, siga siendo difícil pasarte del borde de lo que se te autorizó.
CÓMO RIPOSTE SE MANTIENE EN LÍMITES
Nada está en el alcance hasta que tú lo pongas ahí. Tú declaras los objetivos exactos, y todo lo que quede fuera de ese alcance no se toca nunca, ni se enumera ni se prueba.
El operador hace el trabajo tedioso pero no decide. Cualquier movimiento que pueda cambiar o alcanzar un sistema se detiene y espera tu visto bueno explícito. Nunca escala por su cuenta.
Cada acción se escribe en un registro a prueba de manipulaciones donde cada entrada se encadena con la anterior. Si rompes la cadena, se nota, así que siempre hay un registro honesto de lo que se ejecutó.
Cada control falla en cerrado. Si el alcance no está definido, nada se ejecuta. Si no se da una aprobación, el movimiento no ocurre. Si no se puede escribir el registro, el operador se detiene en lugar de actuar sin dejar constancia.
REPORTA UNA VULNERABILIDAD
Riposte es una herramienta de seguridad, así que un fallo en ella es un fallo que importa. Si encuentras una vulnerabilidad en el propio Riposte, por favor repórtala en privado a través de un aviso de seguridad de GitHub antes de divulgarla en cualquier otro sitio. Así el reporte queda entre nosotros hasta que haya una solución.
pre-alpha . solo uso autorizado . sin telemetría . funciona offline