[Услуги] Аудит безопасности вашего сайта.

[audit-saitov001]

Предлагаю услугу - Аудит безопасности Вашего сайта.
Суть услуги:
Ручная проверка скриптов Вашего сайта на все виды уязвимостей:
XSS
Sql - инъекция
RFI/LFI
PHP - инъекция
Backdoor
Возможность загрузки произвольных файлов
Произвольное чтение файлов и другие.
А также поиск:
Вирусов
Вебшеллов/минишеллов
Вредоносного кода в бд и проч.
Почему проверка сайта на уязвимости проводится именно вручную, а не обычным сканером безопасности?
Ответ прост: часто сканеры отлавливают лишь стандартные уязвимости, а нестандартные оказываются пропущенными.
Пентест (PenTest - тестирование сайта на проникновение) не всегда обнаруживает все те уязвимости, которые находятся при ручном анализе кода, т. к. представляет собой взгляд "снаружи" .
Именно поэтому для поиска уязвимостей применяется метод WhiteBox (анализ исходя из предположения, что злоумышленникам известен исходный код и архитектура сайта).
Платформа - любая (Linux, FreeBSD, Windows), при этом учитываются особенности поведения PHP для конкретной платформы.
CMS сайта - любая (включая самописную), написанная на PHP.
Результат:
В результате проведенного аудита безопасности Вы получите подробный отчет с найденными уязвимостями, включая найденные вирусы, вебшеллы и проч.
Также отчет будет содержать предлагаемый патч для каждой найденной уязвимости.
Стоимость:
Сумма зависит от объема работы, движка и оговаривается индивидуально, как правило, сумма всегда меньше, чем вам озвучит IT-студия, так как нет затрат на аренду и проч.
Порядок оплаты:
50% предоплата .
Контакты:
Чтобы заказать проверку сайта на уязвимости, а также по остальным вопросам просьба обращаться на audit-saitov001 собака yandex.ru

Помните - лучше предотвратить взлом и кражу данных сейчас, чем поставить под угрозу весь проект, потерять репутацию и понести финансовые потери.

 

[stealthdebuger]

Много апов и ни одного отзыва, а также, нежелание ТС продемонстрировать наглядно свои умения, а также тот факт, что для тестирования необходимо передавать исходные коды, лично во мне вызывает сомнения и опасения что будет сделано с переданным материалом и не всплывет ли он случайно на сторонних ресурсах у третьих лиц.

 

[audit-saitov001]

для тестирования необходимо передавать исходные коды

Если не давать исходные коды - это или пентест, или сканирование обычным сканером безопасности, можно взять любой сканер из инета, например xspider, сканер с find-xss.net, аккунетикс... и посканить самому.
А там уж что найдется то найдется.
Но на своем опыте скажу - пока не нашел спеца,который проверил мой сайт руками - сканеры находили лишь ерунду....
Всем, конечно, хочется за спасибо, но мой специалист по аудиту, увы, за спасибо не работает.
Контакт его дать по понятным соображениям не могу.

По поводы "всплывет"
Предположим, имеется веб-студия, которая в довесок к программным работам занимается безопасностью.
И где вообще гарантии, что там не подрабатывают фрилансеры, которые при сложном случае не вывесят код на форум?
Нигде. Вам вообще не скажут, что у них есть фрилансеры - все будут в штате, а по факту.......

 

[stealthdebuger]

Вы не совсем верно меня поняли. Лично мне не интересна ваша услуга ни платно, ни бесплатно.
Разницу между анализом кода и пентестом, а тем более, сканированием, я тоже понимаю прекрасно.
То, что ваш "дока" не работает за спасибо понятно, но согласитесь с тем, что и он и вы должны понимать такие вещи как реклама, особенно в тех случаях, когда по объявлениям об услугах нет ни одного подтверждения о их качестве. Нет представленных сертификатов специалистов, нет проф.сайта, нет примеров выполненных работ, нет отзывов от заказчиков, нет рекомендаций хотя бы с fixber, rdot или на худой конец с ачата.
В качестве рекламного хода можно было бы привести несколько примеров найденных "хитрых" (неявных) уязвимостей в коде, либо сделать какую-то работу "для народа", без определенного заказчика. Вот к примеру, есть продаваемый разработчиком скрипт Для просмотра ссылки Войди или Зарегистрируйся в который он вшил бекдор. Или такой скрипт Для просмотра ссылки Войди или Зарегистрируйся с точно такой же ситуацией. Найди вы эти бекдоры, и опубликовав в своей теме, вы бы подтвердили свою компетенцию не словом, а реальным делом.
Что касается "всплывет". Ваши слова лишь говорят о том, что вы не даете никаких гарантий и ссылаетесь на то, что подобное возможно и у других и, будто-бы гарантий нет никаких. Знаете, есть замечательная вещь, называется договор о неразглашении, который прекрасно защищает интересы заказчика даже, в случае недобросовестных исполнителей.
P.S. Упреждая ход ваших мыслей, могу сказать что лично мне нет в этих скриптах интереса, бекдоры там известны. И для рекламного хода можно взять массу иных вариантов: bitrix, instantcms, imagecms, flexcore, etc.

 

[audit-saitov001]

Знаете, есть замечательная вещь, называется договор о неразглашении, который прекрасно защищает интересы заказчика даже, в случае недобросовестных исполнителей.

Нда, надеяться на него,конечно, хорошо, но предположим - он нарушен.
Что делать?
Можно пойти в суд на студию, но вот проблема - возможно банкротство ооо-шки может произойти быстрее, чем будет вынесено судебное решение.
А в договоре прописывается не студия такая-то, а ооо такое-то.
Нет ооо - нет ответчика - никто ничего никому не должен
Не забудьте - ооо отвечает уставным капиталом+имуществом, а он часто бывает 10 000руб....да и имущество может состоять из старого пня, пары стульев и стола, а остальное быть арендованным у другого ооо.
Как самый плохой вариант - ооо может вообще оказаться однодневкой......
Можно написать отзыв - мол люди полные "редиски", но ведь не все читают отзывы, прежде чем обращаются.
Да и дорогой сайт+солидные реквизиты+воз купленных отзывов обычно хорошо срабатывают.....
Соглашение - хорошо, но это "бумажка" , с ответчика еще надо что-то получить в случае его нарушения.
Человеку без сайта, напротив, так делать нет смысла - негативные отзывы около его рекламы совершенно не нужны.

В качестве рекламного хода можно было бы привести несколько примеров найденных "хитрых" (неявных) уязвимостей в коде, либо сделать какую-то работу "для народа", без определенного заказчика. Вот к примеру, есть продаваемый разработчиком скрипт Для просмотра ссылки Войди или Зарегистрируйся в который он вшил бекдор. Или такой скрипт Для просмотра ссылки Войди или Зарегистрируйся с точно такой же ситуацией. Найди вы эти бекдоры, и опубликовав в своей теме, вы бы подтвердили свою компетенцию не словом, а реальным делом.

Чтобы было всем понятно, я не являюсь специалистом по иб, я работаю вообще в другой сфере, я не писал(если бы я являлся специалистом, я бы как раз так и сделал, как Вы писали-продемонстрировал свои умения), что я специалист, просто у меня есть знакомый человек с ачата, он мне делал аудит моего сайта и нашел то, что не нашли другие, у него и так есть клиенты, но лишняя деньга никому не повредит.
Скинуть же отзывы на него - дать его контакты, тут думаю, понятно
На Для просмотра ссылки Войди или Зарегистрируйся

Вообще я мог бы привести массу бывших примеров дыр своего движка, но они специфические, да и двиг не так уж распространен, по ним всем сразу станет понятно, что за сайт у меня, а я не хочу его озвучивать.
Мог бы привести простую дыру всех сайтов на такой же платформе (у меня давно залечена), как у меня, но не хочу называть платформу по понятным причинам.
Думаю, больше вопросов не должно быть.

Интересно, что бы ответил тс на подобные вопросы из этой темы: Для просмотра ссылки Войди или Зарегистрируйся

 

[stealthdebuger]

Подведу итоги данного диалога и замнем тему.
1. ТС четко определил что не имеет никакого отношения к человеку, который будет проводить предлагаемые услуги. Предположу, что он выступает в качестве посредника в поисках новых клиентов, видимо за некое вознаграждение.
2. ТС предлагает услугу человека, об уровне профессиональности которого имеет весьма смутно представление, т.к. сам не обладает достаточными знаниями в оговариваемой области, но и подтверждать его квалификацию не видит смысла.
3. ТС недвусмысленно дал понять, что никаких гарантий о возможных утечках кода с его стороны быть не может, равно как и мат.компенсации заказчику услуги в случае обнаружения факта утечки.

 

[audit-saitov001]

Подведу итоги данного диалога и замнем тему.
3. ТС недвусмысленно дал понять, что никаких гарантий о возможных утечках кода с его стороны быть не может, равно как и мат.компенсации заказчику услуги в случае обнаружения факта утечки.

Могу сказать, что если бы специалист, который мне делал аудит, допустил утечку кода- то я бы с ним больше точно не связывался и никаких услуг не предлагал.
Но так как это я не могу Вам доказать - то пусть все останутся при своих мнениях.

Да, посредник, это я и сам написал.

Давайте прекратим дискуссию.
А то только флуд получается....

 

[TrueStory]

соглашусь с Для просмотра ссылки Войди или Зарегистрируйся договор NDA, отзывы или профили с профильных форумов подтвержающие глубокое понимание темы, а так же пару аудитов я не говорю построчных за отзыв не помешали. Плюс если чел действительно спец то бажные исходники ему никчему совсем стоимость аудита порой превышает цену скриптов, и зачем чье то ковырять если уровень позволяет написать свое без дыр уж точно. Предлагаю в топике квест на скрипте с бекдором который уже в паблике это доска объявлений от тамаранги, где замечен бекдор позволяющий грохнуть бд и категории, попасть в админку, неоднократно сигнализирующий про появление жадных разработчиков.