Skip to content

SEGURIDAD

Solo contra lo que posees.

Riposte dirige herramientas ofensivas reales contra sistemas reales. Ese poder viene con una regla estricta y un conjunto de controles hechos para hacerla cumplir. Esta página cubre ambos: cómo usarlo de forma responsable, y cómo avisarnos si encuentras un agujero en el propio Riposte.

SOLO USO AUTORIZADO

Riposte dirige herramientas de ataque reales.

LA REGLA

Ejecuta Riposte solo contra sistemas que poseas o que tengas autorización explícita para probar. Apuntar herramientas ofensivas a infraestructura para la que no tienes permiso escrito de evaluar es muy probablemente ilegal, y la responsabilidad es tuya. Ante la duda, no tienes autorización.

Los controles de abajo están hechos para mantener un compromiso autorizado dentro de sus límites. No sustituyen esa autorización, y no pueden volver legal tocar un objetivo fuera de alcance. Existen para que, cuando tengas vía libre para probar algo, siga siendo difícil pasarte del borde de lo que se te autorizó.

CÓMO RIPOSTE SE MANTIENE EN LÍMITES

Tres controles, activos por defecto.

01

Alcance denegado por defecto.

Nada está en el alcance hasta que tú lo pongas ahí. Tú declaras los objetivos exactos, y todo lo que quede fuera de ese alcance no se toca nunca, ni se enumera ni se prueba.

02

Aprobación en cada movimiento con consecuencias.

El operador hace el trabajo tedioso pero no decide. Cualquier movimiento que pueda cambiar o alcanzar un sistema se detiene y espera tu visto bueno explícito. Nunca escala por su cuenta.

03

Un registro de auditoría encadenado por hash.

Cada acción se escribe en un registro a prueba de manipulaciones donde cada entrada se encadena con la anterior. Si rompes la cadena, se nota, así que siempre hay un registro honesto de lo que se ejecutó.

Cada control falla en cerrado. Si el alcance no está definido, nada se ejecuta. Si no se da una aprobación, el movimiento no ocurre. Si no se puede escribir el registro, el operador se detiene en lugar de actuar sin dejar constancia.

REPORTA UNA VULNERABILIDAD

¿Encontraste un agujero en Riposte? Avísanos.

Riposte es una herramienta de seguridad, así que un fallo en ella es un fallo que importa. Si encuentras una vulnerabilidad en el propio Riposte, por favor repórtala en privado a través de un aviso de seguridad de GitHub antes de divulgarla en cualquier otro sitio. Así el reporte queda entre nosotros hasta que haya una solución.

  • Reporta primero en privado, no en un issue o pull request público.
  • Pre-alpha significa que aún no hay un SLA formal, pero cada reporte se lee y se toma en serio.
  • Todavía no hay programa de bug-bounty. Los reportes son bienvenidos por su propio mérito.
  • Cuéntanos qué encontraste, cómo reproducirlo, y el impacto que ves.

pre-alpha . solo uso autorizado . sin telemetría . funciona offline