Проверка Ваших скриптов/сайтов на уязвимости.

Статус
В этой теме нельзя размещать новые ответы.

Лариса

Читатель
Регистрация
21 Сен 2007
Сообщения
387
Реакции
132
  • Заблокирован
  • #11
Думаю что чела вдохновила идея *** скрытое содержание ***
Это да. Не думаю, что кто-то вообще будет бесплатно смотреть код, выискивая слабые места ибо это довольно трудно.
.

Будут. но для этого нужны стимулы.
В той же ссылке, что ты приветл на античат, модератор раздела -грин обещает плюсы в грин-репу (за серьезные уязвимости). Просто плюсы ставят авторы/хозяева скриптов, либо другие.
Косвенно грин-репа показатель проф.репутации на специализированном сайте=) и косвенно - довод для "карьерного роста" - прохода в закрытые группы со своими приватами и тд.
Поэтому на форуме где основная профессия - взлом, искать баги престижно и "выгодно". а на форуме, допустим, кодеров- участникам будет малоинтересно.
Что касается предложения ТС - оно смешное, извиняйте-с за прямоту.
Кто будет анализировать, чем, уровень "аналитиков"...
От себя добавлю, что есть средние цены в сети на аналиц 1 мб сорцов.
При этом известен профессионализм тех, кто будет выполнять работу.
Как правило, это кодеры, авторы эксплойтов, постоянные авторы неплохих статей и видео в том же Хакере, победители поинтов, авторы докладов на международных конференциях и т.д.

P.S. Уж если хотите сделать доброе дело- поставьте сканер портов nmap,еще лучше Nikto... есть и еще лучше..но- низзя.
Авторизация, проверка прав собственности, отчеты на мыло. Мелочь, а не помешает =)
 

zeta

Постоялец
Регистрация
26 Сен 2006
Сообщения
112
Реакции
8
Заказала поиск и устранение уязвимостей по ссылке Для просмотра ссылки Войди или Зарегистрируйся

переговоры вела с rebz. Нет смысла передавать все подробности, одно хочу сказать, заплатила 40000 рублей, качеством осталась недовольна. Для того, чтобы было более полное представление о том, как и что, даю ссылку на обсуждение их работы на softtime форуме

Для просмотра ссылки Войди или Зарегистрируйся

Также собираюсь дать отзыв об их работе (не знаю, совместный это был труд, или один rebz постарался) на их форуме по ссылке Для просмотра ссылки Войди или Зарегистрируйся и на всех остальных, где смогу.

Надеюсь, больше никто не попадется и не закажет у них подобную "услугу". Желаю всем сталкиваться при работе в Интернет только с по-настоящему ответственными исполнителями.
 

tostrss

Мой дом здесь!
Регистрация
16 Окт 2007
Сообщения
768
Реакции
219
Вам нужен был нормальный кодер, а не тестеры уязвимостей.
Цена нормальная для этой работы.
Но нужно было обратится к грамотному программеру, тогда бы за день все это сделал и не дорого, около 10к.


Я тут кстати подумал, если еще накинуть 20к (ну т.е. всего заплатить 60к), то можно смело заказывать создания такого скрипта с НУЛЯ
 

zeta

Постоялец
Регистрация
26 Сен 2006
Сообщения
112
Реакции
8
Цена нормальная для этой работы.
Но нужно было обратится к грамотному программеру, тогда бы за день все это сделал и не дорого, около 10к.

Как-то вы сами себе противоречите - то цена нормальная для этой работы, то за 10 можно было бы сделать :)

Но в любом случае, я не в претензии на цену - я сама на нее согласилась. Я имею претензии к качеству выполненной, а скорее невыполненной работы. Как я уже написалаЮ, цель моего поста - не обсуждать заново, что меня обманули и за халтуру сняли 40 000, а просто предупредить возможных заказчиков - не пользоваться их услугами. Уверена, что полно в интернет людей, которые выполняют эту работу гораздо более качественно.
 

tostrss

Мой дом здесь!
Регистрация
16 Окт 2007
Сообщения
768
Реакции
219
Как-то вы сами себе противоречите - то цена нормальная для этой работы, то за 10 можно было бы сделать

Прочитайте внимательно, за 10к, вам бы все это исправили программисты, а за 40к, вам это исправили "хакеры". Чувствуете разницу? Вы же не лечите зубы у кардиолога? Хотя если вы ему заплатите нормально он вам и зубы "вылечит". Вот так и вы обратились не к тому "врачу".

Мне как-то фиолетово на всю эту ситуацию и на ихнюю команду в целом, но могу сказать, что они свою работу выполнили, по крайне мере никто не смог доказать обратное. Уязвимостей нету, значит работа выполнена. Корявый код - не показатель уязвимостей.
 

zeta

Постоялец
Регистрация
26 Сен 2006
Сообщения
112
Реакции
8
Прочитайте внимательно, за 10к, вам бы все это исправили программисты, а за 40к, вам это исправили "хакеры". Чувствуете разницу? Вы же не лечите зубы у кардиолога? Хотя если вы ему заплатите нормально он вам и зубы "вылечит". Вот так и вы обратились не к тому "врачу".

Мне как-то фиолетово на всю эту ситуацию и на ихнюю команду в целом, но могу сказать, что они свою работу выполнили, по крайне мере никто не смог доказать обратное. Уязвимостей нету, значит работа выполнена. Корявый код - не показатель уязвимостей.

Согласна, обратилась не к тому "специалисту"

По поводу, что никто не нашел уязвимостей - так никто и не гарантировал, что код неуязвим. Просто людям не очень-то хочется копаться в чужой работе и по сути проделывать эту работу, но уже бесплатно, чтобы понять, есть уязвимости или нет. Сканнер показал оставшиеся уязвимости в 5 файлах, какие - я перечислила в теме. Еще раз повторю, что то, что у людей, может в принципе, нет ни времени ни желания копаться в чужой халтурной работе и искать, что и где они там забыли отфильтровать - это еще не показатель того, что уязвимостей нет. Я выложила один только кусок кода и он вызвал массу споров. А там ведь были еще и другие спорные моменты... Что вообще странно - rebz вообще написал, что 100% гарантии того, что код будет безопасен он мне не давал, а давал просто гарантию того, что код будет безопасен... Для меня это как-то вообще непонятно... Но в любом случае, все согласились, что это не работа, а халтура. Ну, да ладно... они не хотят исправлять свои ошибки, не хотят делать свою работу, а я не могу их застаивить. Я просто предупреждаю других об этом, вот и все...

Что касается кардиолога и стоматолога - кардиолог не дает объявления о том, что вылечит зубы А они именно и сделали тему о том, что они это сделают и профессионально - тема называется Профессиональный аудит безопасности сайта от команды Antichat,

в теме написано
В нашей команде работают лучшие умы Античата, которые не понаслышке знают что такое уязвимости.
* Поиск уязвимостей осуществляется вручную, анализируется каждая строчка кода. В своей работе мы не используем программных продуктов типа X-Spider, Security Shadow Scanner и др.
* Даем 100% гарантию того, что Ваши исходные коды сайта никуда не утекут.
* Отвечаем за качество своего сервиса.

В общем, я предупреждаю других, думаю, что вряд ли кто захочет после моего печального опыта заплатить им деньги за их "сервис". Я написала им уже - репутацию заработать и сохранить гораздо труднее, чем заработать деньги.
 

tostrss

Мой дом здесь!
Регистрация
16 Окт 2007
Сообщения
768
Реакции
219
Как вы могли им довериться? Сайт, такое ощущение что написан за 5 минут на редакторе, отзывов никаких нету, цены завышенные...


Еще раз повторю, что то, что у людей, может в принципе, нет ни времени ни желания копаться в чужой халтурной работе и искать, что и где они там забыли отфильтровать - это еще не показатель того, что уязвимостей нет.

А может быть и есть;) Но только для публичного процесса, негодяев нужно знать в лицо!
 

zeta

Постоялец
Регистрация
26 Сен 2006
Сообщения
112
Реакции
8
ну, вообще-то мне казалось античат - достаточно известный сайт...
 

tostrss

Мой дом здесь!
Регистрация
16 Окт 2007
Сообщения
768
Реакции
219
Античат известный и достаточно крупный сайт данной тематики, на котором есть знающие люди.
НО, в объявлении, заметьте, список людей занимающихся конкретно в команде, не написан. (Возможно, это просто из-за увода клиентов) Сам Ребз, аудитом (судя по его постам на форуме, не занимается, всего лишь руководитель).

Так что, в той команде может быть кто угодно, все равно никто не узнает.
 

zeta

Постоялец
Регистрация
26 Сен 2006
Сообщения
112
Реакции
8
Оставила отзыв об их работе (не столько отзыв, сколько ссылку на обсуждение на softtime) на их сайте по адресу Для просмотра ссылки Войди или Зарегистрируйся. Очень хочу, чтобы никто больше не лоханулся, как я.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху