Проверка Ваших скриптов/сайтов на уязвимости.

Статус
В этой теме нельзя размещать новые ответы.

almary

Постоялец
Регистрация
1 Апр 2006
Сообщения
93
Реакции
164
1. Просмотр сорцов - бесполезная работа ИМХО
2. Нужно знать, что помимо дыр на самом сайте, могут быть и соседские, через которые сливаются большинство проектов
3. Выкладывать работы в паблик глупо
4. Доверяться пользователю, который даже не замечем в рядах РИПальщиков вообще маразм
5. Скоро мы открываем собственный проект по безопасности сайтов, ждем и скоро все увидим ;)
 

tostrss

Мой дом здесь!
Регистрация
16 Окт 2007
Сообщения
768
Реакции
219
1. Просмотр сорцов - бесполезная работа ИМХО
5. Скоро мы открываем собственный проект по безопасности сайтов, ждем и скоро все увидим
а также подпись
Предоставляю услуги по безопасности сайтов и поиску уязвимостей. Стучите в личку.
Уверен, что у вас просто отличный будет сайт по безопасности :D :ay:
 

almary

Постоялец
Регистрация
1 Апр 2006
Сообщения
93
Реакции
164
Приблизительный функционал:
1. Проверка входящих запросов и уведомление администратора сайта в случае установки кнопки (что-то типа счетчика статистики)
2. Проверка и устранение неверных запросов в случае установки кода, на первом этапе PHP, в дальнейшем будем развивать базу языков
3. Удаленная проверка по фтп зловредного кода в папках
4. Услуги специалистов по защите серверов

Это только бета версия нашего софта, список будет постоянно пополняться и расширяться, онлайн сервисов подобной тематики небыло, поэтому все методы тщательно проверяются и исследуются
 

mdss

♖♘♗♕♔♗♘♖
Регистрация
20 Фев 2007
Сообщения
1.152
Реакции
709
в качестве теста юзал систему, обнаружил залитый ко мне шелл *_*
 

roddik

Колбаска
Регистрация
26 Янв 2007
Сообщения
346
Реакции
292

Я к этой истории отношения не имею, высказал свое мнение :)
А таких делах я бы доверял в первую очередь отзывам от других клиентов - в истории мелькнуло, что пострадавшая была у них первым.
И к последнему сообщению от rebz, зачем покупать скрипт, который не поддерживается и имеет проблемы с безопасностью...
 

zeta

Постоялец
Регистрация
26 Сен 2006
Сообщения
112
Реакции
8
И к последнему сообщению от rebz, зачем покупать скрипт, который не поддерживается и имеет проблемы с безопасностью...

Видимо это все-таки относится к моему сообщению. а не к сообщению от rebz :)

Когда разработчики мне этот скрипт продавали - они как-то не уведомили меня, а равно как и других своих покупателей, что в скрипте есть уязвимости. Когда это стало широко известно - они просто прекратили поддержку этого скрипта. Контора достаточно известная, многие у них купили скрипты, все попали, не только я :). Не знаю, как другие поступили - может просто сменили скрипт, я не смогла, я его к тому времени уже очень основательно использовала...
 

tostrss

Мой дом здесь!
Регистрация
16 Окт 2007
Сообщения
768
Реакции
219
3. Удаленная проверка по фтп зловредного кода в папках

Можно за отзыв встать в очередь на тест?) Если найдете хотя бы 60% залитого лично мною evil code, будет просто отлично.


Когда разработчики мне этот скрипт продавали - они как-то не уведомили меня, а равно как и других своих покупателей, что в скрипте есть уязвимости.

Конечно, они полные негодяи, нельзя так некрасиво поступать.
 

swer

Профессор
Регистрация
14 Июн 2008
Сообщения
304
Реакции
38
Как-то вы странно рассуждаете... Во-первых, у меня есть лицензия на этот скрипт, даже если вам это покажется странным. Да, я отдала на проверку нуленый, но пользуюсь лицензионным. Проблема в том, что лицензионный ничем не отличается от нуленного, в нем все те же дырки и работает он только при register_globals on. Разработчики написали, что они больше эту разработку не поддерживают, ничем помочь не могут, вот и пришлось выкручиваться...
Во-вторых, rebz сначала получил от меня скрипт, посмотрел его и сказал, что они берутся за работу.
Если скрипт такой поганный, что его до ума довести невозможно - так и надо было с самого начала сказать - знаете что, девушка, ваш скрипт нужно выкинуть на помойку и писать новый. Но они сказали - да, мы беремся и гарантируем безопасность. Так что то, что вы написали никак не относится к делу...
И вообще, тему нужно закрывать. Я написала отзыв об их работе и подкрепила теми аргументами, которыми смогла.
Мои - это обсуждение их работы на форуме и отчеты сканнера. Их аргументы - это их слова о том, что кроме них никто ничего в этом не понимает, а они работу сделали отлично и я на них клевещу.
Кому мои аргументы покажутся неубедительным - могут заказывать у них подобную услугу, на здоровье.
У меня нет оснований слепо доверять модеру античата, я с ним не знакома, на брудершафт не пила. Если кто-то ему доверяет безгранично - замечательно, пусть себе доверяет:tcl:
Какая то вы невная,успокойтесь:),я не говорю что вы тут не правы,но и не говорю что ребз неправ,тут уж извените но если мне предложат оптимизировать скрипт который нужно слить в урну да еще и за такую сумму,я(да и не только я) бы не стал отказыватся,но не дал бы 100% гарантий.Я имею ввиду что вы слишком поспешили с мерами по обеспечению безопасности и то что вы тут пытаетесь абузить работу команды неправильно(имхо),попросите их провести независимую экспертизу скрипта(они обязаны если у вас претензии,но оплачивать экспертизу будете вы если таких не обнаружится) и если обнаружится что там еще есть серьезные дыры(не ошибки) то либо они отрабатывают ,либо возврашают н-ую процентную долю суммы.
Это все мое мнение вы можете не соглашатся с ним и возможно не согласитесь тк понять женскую логику не подсилам нам..:)
 

almary

Постоялец
Регистрация
1 Апр 2006
Сообщения
93
Реакции
164
Можно за отзыв встать в очередь на тест?) Если найдете хотя бы 60% залитого лично мною evil code, будет просто отлично.
Конечно, они полные негодяи, нельзя так некрасиво поступать.

eval code мы распаковываем, пока до 1000 сжатий поддерживается, разные алгоритмы сжатия также распознаются, будет ругаться на любую системную команду в файлах как подозрение о вирусе, публичное бета-тестирование начнется с середины января, оставляй мыло, уведомим о запуске :)

при внедрении кода на сайт, можно будет воспользоваться услугой контроля версий файлов с полным бекапом системы и в случае дефейса сайт автоматом будет восстанавливаться с контрольной точки
 

zeta

Постоялец
Регистрация
26 Сен 2006
Сообщения
112
Реакции
8
но если мне предложат оптимизировать скрипт который нужно слить в урну да еще и за такую сумму,я(да и не только я) бы не стал отказыватся,но не дал бы 100% гарантий.

Это вы исходя из мужской логики так рассуждаете? То есть вы бы заранее пошли на обман клиента? Я правильно вас поняла? деньги бы сняли, а работу не выполнили?

Вот вам пример (построенный на женской логике)
Вы идете в ателье, чтобы сшить себе хороший костюм, приносите с собой ткань и говорите портнихе:

- вот вам ткань, вы беретесь сделать из нее хороший костюм?

Вы при этом, прошу заметить, в тканях не разбираетесь, хорошая ткань или плохая - ткань и ткань, цвет вроде ничего, вас устраивает, а в качестве тканей вы не очень-то смыслите ... в общем, надеетесь на профессионализм портнихи, что с вашей точки зрения совершенно естественно

Вам отвечают:
- да, конечно, мы вам сошьем хороший костюм, это будет стоить столько-то и столько-то

вы уточните при этом:
- но это точно будет хороший костюм, вы гарантируете?

Портниха на ткань смотрит, видит, что ткань плохого качества, костюм из нее не получится, ей это понятно сразу, но ей очень хочется бабла срубить и она, не ставя вас в известность о возможных осложнениях из-за ткани говорит:

-да, конечно, мы гарантируем, что костюм будет хороший.

Вы еще уточняете при этом:

-вы уж извините за недоверие, а какие гарантии?

Вам отвечают:
- мои гарантии - статус суперпортнихи в этом ателье.

Ну, ателье хорошее, вы про него много слышали, в общем, репутации этого ателье вы доверяете...

Сошьют вам костюм, вы денежки заплатите, а он на второй день вытянется и разойдется по швам...

Вы пойдете к портному и спросите:

- а что это у меня с костюмом -то случилось?

а она вам ответит:

- ну так, милок, ты принес поганную ткань, из нее изначально было невозможно сделать хороший костюм, не виноватая я.

А вы ей:
- Но вы жа 100% гарантировали, что костюм будет хороший!

А она вам:
Ничего я вам не гарантировала, 100% гарантировать в этом мире вообще ничего нельзя гарантировать...

А вы ей:
- но здесь же еще и швы кривые-косые, и пуговицы не пришиты, и подкладка перекошенная

А она вам:
-а это уже к делу не относится. И вообще, вы же ничего не понимаете ни в швах, ни в подкладке, ни в самой ткане... что за претензии ко мне, в самом деле? Костюм я вам сшила? Сшила. До свиданья.

Так вот вы, возможно, в суд не пойдете на эту портниху подавать, но второй костюм к ней тоже не пойдете шить и рекомендовать ее никому не будете.

Вот такая вот у меня женская логика...
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху