[Демиург]

Ну что, опробовал на себе я услугу. Пришёл домой - а на ящике 353 письма. Оказалось, что это комментарии ко всем пяти (благо, что их всего пять, а не 5000, например) постам на одном из моих заброшенных блогов. Вскоре я понял, что это и была первая часть аудита, а чуть позже получил на почту pdf-файлик на 50 страниц на английском языке, сгенерированный дорогостоящей программой. Из файлика я не понял фактически ничего. В глаза бросилась информация о 15 ошибках высокого уровня, и 41 - низкого.

Основную проблему ТС перевёл, но что касается способа устранения, то ответ был таким:

Надо настроить в движке сайта , а в частности в заполнении вебформ фильтрацию всех знаков(" * ^ ' < >) не относящихся к тексту предполагаемо вводимому в эти формы

Как это сделать - понятия не имею, но и ТС за это не взялся.

Разумеется, на проблемы я забиваю, так как гуглить времени нет, а на конкретно этот блог мне глубоко фиолетово. Возможно, другие сайты я бы и "прогнал" даже по этой цене, если бы мне гарантированно исправили ошибки. Но с таким подходом данная услуга (имхо) не стоит ни копейки. Не хочу обидеть ТСа, но этому есть простые объяснения.

Так я потерял полчаса на общение с ТС, потратил минут 5 на удаление спама на почте, и гораздо больше времени потеряю, подчищая спам на блоге (зато нашёл "бок" новой для себя цмски - отмечать каждый коммент нужно отдельно, и группируются они на страницы по 20 штук на каждую)... Но, опять же, ничего не получил. Возможно, ТС просто не захотел ничего делать бесплатно, но ведь "за отзыв" - на то и "за отзыв".

Вижу для ТСа два пути развития:

1. снизить стоимость услуги до $3 и предупреждать клиентов о том, что они будут только в курсе проблем, и не более того;
2. снизить стоимость услуги до 0 и специализироваться на устранении проблем, предварительно опубликовав прайс-лист на свои услуги.

[LilDen]

Анализ проводится на все известные, на данный момент, угрозы и уязвимости.

Эта фраза ничего кроме улыбки не вызывает)))

Всех потенциальных клиентов ТС хочу предостеречь от нецелесообразной траты денег на школоло услуги.
Лучше ссылок пожирнее купите)

[kudiar]

Демиург,
Устранение большинства проблем подразумевает под собой ПОЛНЫЙ доступ к "пациенту" Вы пойдете на это?
Доверите постороннему человеку залезьть на ваш сайт и что то там исправлять? Бесплатный совет-не делайте так,ибо "доктор" в 99% случаев оставит после себя или бэкдор,или другую бяку!
Вывод один- если вы знаете о проблеме и проект для вас важен , уделите время и погуглите решение САМИ !!!
Но никогда не пускайте посторонних-сделаете хуже,чем было, Поверьте мне на слово!
А насчет цены согласен - знание дырок в ваших проектах я вам дам за 5$

---------- Сообщение добавлено 22:59 ---------- Предыдущее 22:57 ----------

[B]LilDА что именно Вас развеселило?
Или Вы думаете специальный софт за 3000$ не способен на решение такой задачи?

[Демиург]

Ну 5 ещё адекватно на самом деле. Только нужно всё же немного разбираться в теме, прежде чем заказывать :)

2 LilDen: ну почему, если 3-5 баксов - то можно и заказать. Но если не разбираться в безопасности - то это все равно деньги на ветер... Софт-то там реально дорогущий. Правда я не знаю, насколько адекватный, т.к. в этой теме полнейший ноль.

[.2FED]

Я конечно извиняюсь, по хотелось бы высказаться.

Я являюсь специалистом по вопросам сетевой безопасности

Надо настроить в движке сайта , а в частности в заполнении вебформ фильтрацию всех знаков(" * ^ ' < >) не относящихся к тексту предполагаемо вводимому в эти формы

ТС за это не взялся.

Что за специалист по IT безопасности, который не может устранить банальную XSS ?

А скачать с руторрента Acunetix Web Vulnerability Scanner и начать "проверять" им сайты за $ может каждый, всего-то 4 кнопки нажать.
Только смысла от этого мало, т.к. не сможет программа провести полный анализ кода.

[kudiar]

ну я,впринципе,ожидал подобные комментарии.Во-первых все,надеюсь,знают чего стоит ломанный софт с рутрекера и подобных ресурсов.У меня лицензия консультанта.Во-вторых,техника в руках варвара превращается в груду железа,то есть без определённых знаний и настроек вы не получите должного эффекта.В-третьих,данный программный комплекс на 98% выявляет все уязвимости,известные хакерскму сообществу на сегодняшний день.И это без всяких ковыряний кода.В-четвёртых за исправление я не берусь по собственным морально-этическим соображениям. И последнее,я повторюсь,моя задача найти брешь,и если вас это не устраивает,то попрошу не флудить в теме.

[muskatus]

kudiar, Да не выявляет он 98% уязвимостей, я Вас уверяю.... Темболее что половина "уязвимостей" полюбому будет ложная. Для примера прогоните какой нить сайт в acunetix wvs и в том же nikto или nessus, увидите что большинство ошибок будут разными. Данные сканеры в большинстве случаев говорят только о потенциальной проблеме(так как нашли в ответе сервера некий текст) в любом случае лучше ручного тестирования нет ничего. Я например Acunetix использую только как crawler и fuzzer, чтобы получить наглядную карту сайта. А для полного аудита и выявления ВСЕХ проблем нужен детальный анализ кода, подругому никак. И стоить это будет не 5$ ИМХО. П.с. А для взлома популярного движка много мозгов и не надо. Собрали информацию о ПО , зашли на http://cve.mitre.org/ или на http://www.exploit-db.com/ нашли сплоит, поломали сайт. -D Либо того проще, установите metasploit с армитажем. Он за вас все сломает....
Демиург чтобы во время тестов, да и вообще, не валился спам, формы надо капчей закрывать.

А решение от всех бед одно, наймите нормального админа который отстроит сервак, будет обновлять все ПО на нем и отслеживать логи.
+ Что качается данного сайта поставьте хотябы простейших антибот. А то обидется еще кто и заддосит acunetix-ом Ваш сервак -D