Ваша безопасность

(Ответов: 16, Просмотров: 1225)
Страница 2 из 2 Первая 12
  1. Super Moderator Аватар для Демиург
    • Регистрация: 09.06.2011
    • Сообщений: 2,215
    • Репутация: 1782
    • Webmoney BL: ?
    Ну что, опробовал на себе я услугу. Пришёл домой - а на ящике 353 письма. Оказалось, что это комментарии ко всем пяти (благо, что их всего пять, а не 5000, например) постам на одном из моих заброшенных блогов. Вскоре я понял, что это и была первая часть аудита, а чуть позже получил на почту pdf-файлик на 50 страниц на английском языке, сгенерированный дорогостоящей программой. Из файлика я не понял фактически ничего. В глаза бросилась информация о 15 ошибках высокого уровня, и 41 - низкого.

    Основную проблему ТС перевёл, но что касается способа устранения, то ответ был таким:
    Надо настроить в движке сайта , а в частности в заполнении вебформ фильтрацию всех знаков(" * ^ ' < >) не относящихся к тексту предполагаемо вводимому в эти формы
    Как это сделать - понятия не имею, но и ТС за это не взялся.

    Разумеется, на проблемы я забиваю, так как гуглить времени нет, а на конкретно этот блог мне глубоко фиолетово. Возможно, другие сайты я бы и "прогнал" даже по этой цене, если бы мне гарантированно исправили ошибки. Но с таким подходом данная услуга (имхо) не стоит ни копейки. Не хочу обидеть ТСа, но этому есть простые объяснения.

    Так я потерял полчаса на общение с ТС, потратил минут 5 на удаление спама на почте, и гораздо больше времени потеряю, подчищая спам на блоге (зато нашёл "бок" новой для себя цмски - отмечать каждый коммент нужно отдельно, и группируются они на страницы по 20 штук на каждую)... Но, опять же, ничего не получил. Возможно, ТС просто не захотел ничего делать бесплатно, но ведь "за отзыв" - на то и "за отзыв".

    Вижу для ТСа два пути развития:

    1. снизить стоимость услуги до $3 и предупреждать клиентов о том, что они будут только в курсе проблем, и не более того;
    2. снизить стоимость услуги до 0 и специализироваться на устранении проблем, предварительно опубликовав прайс-лист на свои услуги.
    Последний раз редактировалось Демиург; 05.12.2011 в 23:45.
    • 0
  2. Опытный Аватар для LilDen
    • Регистрация: 07.02.2008
    • Сообщений: 434
    • Репутация: 212
    • Webmoney BL: ?
    Цитата Сообщение от kudiar Посмотреть сообщение
    Анализ проводится на все известные, на данный момент, угрозы и уязвимости.
    Эта фраза ничего кроме улыбки не вызывает)))

    Всех потенциальных клиентов ТС хочу предостеречь от нецелесообразной траты денег на школоло услуги.
    Лучше ссылок пожирнее купите)
    • 0
  3. Новичок
    • Регистрация: 02.08.2011
    • Сообщений: 13
    • Репутация: -2
    Демиург,
    Устранение большинства проблем подразумевает под собой ПОЛНЫЙ доступ к "пациенту" Вы пойдете на это?
    Доверите постороннему человеку залезьть на ваш сайт и что то там исправлять? Бесплатный совет-не делайте так,ибо "доктор" в 99% случаев оставит после себя или бэкдор,или другую бяку!
    Вывод один- если вы знаете о проблеме и проект для вас важен , уделите время и погуглите решение САМИ !!!
    Но никогда не пускайте посторонних-сделаете хуже,чем было, Поверьте мне на слово!
    А насчет цены согласен - знание дырок в ваших проектах я вам дам за 5$

    ---------- Сообщение добавлено 22:59 ---------- Предыдущее 22:57 ----------

    [B]LilDА что именно Вас развеселило?
    Или Вы думаете специальный софт за 3000$ не способен на решение такой задачи?
    • 0
  4. Super Moderator Аватар для Демиург
    • Регистрация: 09.06.2011
    • Сообщений: 2,215
    • Репутация: 1782
    • Webmoney BL: ?
    Ну 5 ещё адекватно на самом деле. Только нужно всё же немного разбираться в теме, прежде чем заказывать :)

    2 LilDen: ну почему, если 3-5 баксов - то можно и заказать. Но если не разбираться в безопасности - то это все равно деньги на ветер... Софт-то там реально дорогущий. Правда я не знаю, насколько адекватный, т.к. в этой теме полнейший ноль.
    • 0
  5. Студент Аватар для .2FED
    • Регистрация: 17.01.2011
    • Сообщений: 68
    • Репутация: 41
    Я конечно извиняюсь, по хотелось бы высказаться.
    Цитата Сообщение от kudiar Посмотреть сообщение
    Я являюсь специалистом по вопросам сетевой безопасности
    Цитата Сообщение от Демиург Посмотреть сообщение
    Надо настроить в движке сайта , а в частности в заполнении вебформ фильтрацию всех знаков(" * ^ ' < >) не относящихся к тексту предполагаемо вводимому в эти формы
    Цитата Сообщение от Демиург Посмотреть сообщение
    ТС за это не взялся.
    Что за специалист по IT безопасности, который не может устранить банальную XSS ?

    А скачать с руторрента Acunetix Web Vulnerability Scanner и начать "проверять" им сайты за $ может каждый, всего-то 4 кнопки нажать.
    Только смысла от этого мало, т.к. не сможет программа провести полный анализ кода.
    • 0
  6. Новичок
    • Регистрация: 02.08.2011
    • Сообщений: 13
    • Репутация: -2
    ну я,впринципе,ожидал подобные комментарии.Во-первых все,надеюсь,знают чего стоит ломанный софт с рутрекера и подобных ресурсов.У меня лицензия консультанта.Во-вторых,техника в руках варвара превращается в груду железа,то есть без определённых знаний и настроек вы не получите должного эффекта.В-третьих,данный программный комплекс на 98% выявляет все уязвимости,известные хакерскму сообществу на сегодняшний день.И это без всяких ковыряний кода.В-четвёртых за исправление я не берусь по собственным морально-этическим соображениям. И последнее,я повторюсь,моя задача найти брешь,и если вас это не устраивает,то попрошу не флудить в теме.
    • 0
  7. Новичок
    • Регистрация: 05.12.2011
    • Сообщений: 3
    • Репутация: 0
    kudiar, Да не выявляет он 98% уязвимостей, я Вас уверяю.... Темболее что половина "уязвимостей" полюбому будет ложная. Для примера прогоните какой нить сайт в acunetix wvs и в том же nikto или nessus, увидите что большинство ошибок будут разными. Данные сканеры в большинстве случаев говорят только о потенциальной проблеме(так как нашли в ответе сервера некий текст) в любом случае лучше ручного тестирования нет ничего. Я например Acunetix использую только как crawler и fuzzer, чтобы получить наглядную карту сайта. А для полного аудита и выявления ВСЕХ проблем нужен детальный анализ кода, подругому никак. И стоить это будет не 5$ ИМХО. П.с. А для взлома популярного движка много мозгов и не надо. Собрали информацию о ПО , зашли на http://cve.mitre.org/ или на http://www.exploit-db.com/ нашли сплоит, поломали сайт. -D Либо того проще, установите metasploit с армитажем. Он за вас все сломает....
    Демиург чтобы во время тестов, да и вообще, не валился спам, формы надо капчей закрывать.

    А решение от всех бед одно, наймите нормального админа который отстроит сервак, будет обновлять все ПО на нем и отслеживать логи.
    + Что качается данного сайта поставьте хотябы простейших антибот. А то обидется еще кто и заддосит acunetix-ом Ваш сервак -D
    Последний раз редактировалось muskatus; 06.12.2011 в 13:38.
    • 0
Страница 2 из 2 Первая 12

Похожие темы

Темы Раздел Ответов Последний пост
Раздел безопасность.
Обсуждение форума и ваши предложения 2 23.08.2011 18:46
Безопасность Livestreet
Софт, скрипты, сервисы 3 30.03.2010 20:42
Информация и Безопасность
Дайджест блогосферы 0 08.02.2010 16:03
Безопасность и интернет.
Оффтоп и свободные темы 71 01.10.2009 21:52

У кого попросить инвайт?

Вы можете попросить инвайт у любого модератора:

Информеры