Проверка Ваших скриптов/сайтов на уязвимости.

Статус
В этой теме нельзя размещать новые ответы.

tostrss

Мой дом здесь!
Регистрация
16 Окт 2007
Сообщения
768
Реакции
219
2zeta

Вы неправы.

У вас было 2 постановки задачи насколько я понял:
1) Исправить уязвимости.
2) Сделать перевод на register_globals off.


Они вам ОБА этих пункта сделали, т.к.
1) НИКТО и никакая программа, вам не показала уявзимости. То что вы кричите от акунетексе, это все фигня, пока кто-нить не укажет ошибки. За неделю обсуждений, никто не смог найти уявзимости, значит этот пункт выполнен.
2) Сайт они вам перевели на register_globals off, т.к. все работает. За качество кода, они не ручались, смысл был перевести любой ценой. Они это сделали.

Так что хватит флудить по форуму, развешивая какие они нехорошие.
 

zeta

Постоялец
Регистрация
26 Сен 2006
Сообщения
112
Реакции
8
я же написала - просто оставила отзыв, пусть потенциальные клиенты сами решают. Я писала об уязвимостях, которые показывает сканнер - чтобы не быть голосовной - прикрепляю. Насчет ошибок - сама знаю. Этот сайт нерабочий. Доберусь и до него - исправлю.
 

zeta

Постоялец
Регистрация
26 Сен 2006
Сообщения
112
Реакции
8
прикрепленный отчет сканнера
 

Вложения

  • datfull.rar
    25,3 KB · Просмотры: 7

tostrss

Мой дом здесь!
Регистрация
16 Окт 2007
Сообщения
768
Реакции
219
В отчете видны несколько пхп ошибок (не знаю чьих они рук дело).
А вот, то что там найден phpinfo считаю, уже ихней недоработкой.

Все остальные ошибки нужно смотреть либо при исходниках либо при сурсе запрошенной страницы. Сканер не показывает на основании каких данных он посчитал это ошибкой.
 

zeta

Постоялец
Регистрация
26 Сен 2006
Сообщения
112
Реакции
8
Вот видите, и вы не можете точно сказать. Я же по сути и не утверждаю, что они не сделали работу, я только пишу, что сканнер показывает уязвимости. И согласитесь, я не выдумываю, он их-таки показывает :nezn: Они пишут, что это ложные, но на этом настаивают только она сами, никто кроме них не подтвердил мне, что уязвимостей нет.... Я же только рада буду, если код, который мне вернули реально безопасен... Может я и неправа, я же не отрицаю... Может, код и безопасен. Я в этом больше всех других заинтерсована, это ж мой сайт, я больше всех хочу, чтобы он работал нормально, именно для этого я и деньги платила... Но хочется знать ТОЧНО, понимаете... И никого я не отговариваю пользоваться их услугами, просто ставлю в известность, что есть такая проблема... Ну, что мне ждать, пока мой сайт взломают, чтобы с уверенностью сказать - все-таки я была права и код был небезопасен:(. Вы думаете мне это надо?
 

tostrss

Мой дом здесь!
Регистрация
16 Окт 2007
Сообщения
768
Реакции
219
Но хочется знать ТОЧНО, понимаете...

Не понимаю. Как вы хотите это узнать?) Скрипты/адрес сайта есть только у вас и у той команды. Только вы можете объективно смотреть на вещи.
Если хотите объективной оценки со стороны других людей, то нужно выложить скрипт и пусть народ оценит качество выполненной работы.

p.s. Можете стукнуть ко мне в icq, поставлю акунетикс и гляну, врет он или нет, посмотрю, чего это он так вопит, разумеется бесплатно.
 

zeta

Постоялец
Регистрация
26 Сен 2006
Сообщения
112
Реакции
8
Я этот процесс немного проще представляла :( :ah::eek:. Никак не думала, что так трудно будет определить, исправно ли сделана работа или нет... :nezn:. Думала - заплачу и получу безопасный код и все мне уверенно и гарантированно скажут - да, код безопасен, уязвимостей нет... А тут оказывается все так неоднозначно :)
 

roddik

Колбаска
Регистрация
26 Янв 2007
Сообщения
346
Реакции
292
Товарищи, есть SQL Injection, есть Blind SQL injection - Blind SQL Injection is used when a web application is vulnerable to SQL injection but the results of the injection are not visible to the attacker. Использование error_reporting 0 - это перевод всех наявных дыр в blind. Это ни в коем случае не есть "исправить уязвимости", это dirty hack, который делает взломщику на порядок сложнее достигнуть успеха, но так как скрипт нуленный, он элементарно скачает себе его тоже, провернет в нем свои делишки в обычном режиме с выводом ошибок и они сработают на "защищенном" сайте. zeta, тебя банально кинули. В будущем работай гаранта или/и проверяй отзывы в интернете, если есть возможность и смысл, заключай договор, в этом случае лучше бы купила скрипт от производителя, судя по тому, что у тебя есть, то есть были 1.5к на услуги сомнительного качества без гарантий от хз кого, ты можешь себе это позволить (и да, на фрилансерских сайтах есть довольно полезная история отзывов/оценок). Еще раз повторюсь, это ни разу не исправление ошибок, адекватному кодеру сделать то, что сделали ребята - на 2-3 часа, а брать за это 40000 рублей - афера, я бы за такое морду бил.
 

swer

Профессор
Регистрация
14 Июн 2008
Сообщения
304
Реакции
38
roddik
Если уж модеру античата не доверят ,то кому же)
а по поводу "разводиловки" скажу лишь одно-вы поздно пищете,вам надо было сперва написать такого рода пост
"Дорогие форумчане,у меня есть сайт,на нуленом "дуршлаке" и есть опасения что его рано или поздно разнесут в пух и прах,что посоветуете":).Вот тут бы и пошли бы (по большей части) дельные советы.
Если хотите совет-не заморачивайтесь с этим скриптом,лучше и проше,а так же дешевле перевести (конвертировать) базу под другой движок,более надежный этот
к примеру,а за 40 косых вам из сайта конфетку бы сделали и еще на доп. модули хватило бы.
 

zeta

Постоялец
Регистрация
26 Сен 2006
Сообщения
112
Реакции
8
Как-то вы странно рассуждаете... Во-первых, у меня есть лицензия на этот скрипт, даже если вам это покажется странным. Да, я отдала на проверку нуленый, но пользуюсь лицензионным. Проблема в том, что лицензионный ничем не отличается от нуленного, в нем все те же дырки и работает он только при register_globals on. Разработчики написали, что они больше эту разработку не поддерживают, ничем помочь не могут, вот и пришлось выкручиваться...

Во-вторых, rebz сначала получил от меня скрипт, посмотрел его и сказал, что они берутся за работу.

Если скрипт такой поганный, что его до ума довести невозможно - так и надо было с самого начала сказать - знаете что, девушка, ваш скрипт нужно выкинуть на помойку и писать новый. Но они сказали - да, мы беремся и гарантируем безопасность. Так что то, что вы написали никак не относится к делу...

И вообще, тему нужно закрывать. Я написала отзыв об их работе и подкрепила теми аргументами, которыми смогла.

Мои - это обсуждение их работы на форуме и отчеты сканнера. Их аргументы - это их слова о том, что кроме них никто ничего в этом не понимает, а они работу сделали отлично и я на них клевещу.

Кому мои аргументы покажутся неубедительным - могут заказывать у них подобную услугу, на здоровье.

У меня нет оснований слепо доверять модеру античата, я с ним не знакома, на брудершафт не пила. Если кто-то ему доверяет безгранично - замечательно, пусть себе доверяет:tcl:
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху