1. Внимание! Строго запрещен ап своих тем чаще чем раз в 7 дней! Если ваши услуги/товары никому не интересны - UP вам не поможет! Хотите чтобы тема была сверху всегда - оплачивайте закрепление!

[Услуги] Услуги по аудиту серверов

Тема в разделе "Рекламный раздел", создана пользователем pr0tect0r, 19 июн 2008.

Статус темы:
Закрыта.
  1. pr0tect0r

    pr0tect0r Читатель

    Заблокирован
    Регистр.:
    28 июл 2007
    Сообщения:
    13
    Симпатии:
    2
    Я специализируюсь именно защите от атак, несанкционированного доступа, аудите безопасности веб-серверов и веб-приложений.
    Опыт работы в этом направлении - 4 года. Опыт программирования PHP|PERL|C/C++|ASM - 7 лет.

    Анализ защищенности сервера можно разделить на 3 этапа - внешний, внутренний, анализ кода.
    1. Внешний. Сканирование портов и доступных приложений, отвечающих по этим портам на уязвимости (проверяется версия ПО, происходит попытка применения известных уязвимостей для этого ПО); "атака на отказ" (DoS) как сервера в целом, так и конкретного приложения.
    2. Внутренний. Сканирование портов и системы "изнутри"; анализ ОС, политики обновлений, правил FireWall, запущенных сервисов. Анализ пользовательской среды, попытка "атаки изнутри" (внедрение root-kit, повышение привилегии, DoS)
    3. Анализ кода. Анализ исходного кода приложений заказчика на предмет: защищенность переменных; возможность выполнения/внедрения внешнего кода; переполнения буфера/стека; бесконечных циклов (рекурсий).

    За каждым выполняемым пунктом следует отчет, содержащий: время анализа, объект анализа, тип анализа, примененные процедуры, результат и, по желанию, рекомендации по исправлению.

    Цена строится исходя из сложности сканируемой системы и "глубины сканирования".
    Поверхностное сканирование портов без применения известных уязвимостей и внешний анализ веб-приложения (вебформ и переменных на SQL-инъекции, XSS) стоит $200. Попытка применения уязвимостей и DoS атака - 60 и 200 долларов соответственно.

    Внутренний анализ складывается из сложности системы (тип ОС, кол-во сервисов, пользовательская среда, приложения виртуализации, etc...). Стандартный набор - *nix/Apache/php/perl(python)/mysql/postfix(qmail,sendmail,etc...),ipfw
    (pf,iptables, etc...)/без локальных пользователей - $80 ($120 - ОС Windows 2000/2003). Кластерные системы и системы динамического распределения нагрузки $150 за каждый узел. Каждое дополнительное приложение $5. Анализ пользовательской среды - $30.

    Анализ исходного кода. Проверяются переменные, функции (в том числе и системные). Валидность кода на соответствие стандартам не производится. Только на возможность атаки. Анализ PHP/PERL кода $1.5/1000 строк, C/C++ - $3/1000. В качестве дополнительной услуги - рекомендации по оптимизации кода - цена аналогично анализа.

    Для осуществления аудита сервера от вас необходимо получить:
    1. параметры доступа к серверу и параметры учетной записи с привилегиями супер пользователя (администратора в windows)
    2. копию уведомления Вашего хостинг-провайдера (ISP) о том, что будет произведено сканирование Вашего сервера в определенный период с применением/без DDoS. И копию письма, что Ваш хостинг-провайдер (ISP) не возражает и не будет блокировать сегменты, атакующие Ваш сервер в определенный период.
    3. Список/техническое задание с перечнем служб и задач, которые необходимо проверить.
    4. Исходные коды приложений, которые необходимо проверить

    Сроки:
    Внешнее сканирование от 3-х до 5-ти дней.
    Внутреннее сканирование от 5-ти до 7-ми дней
    Анализ кода: 30 мин/1000 строк.
     
  2. someone

    someone сисадмин всея 0ed

    Administrator
    Регистр.:
    3 апр 2006
    Сообщения:
    330
    Симпатии:
    374
    В качестве проверки ваших услуг попробуйте что нибудь произвести по отношению к серверу nulled.ws (разумеется снаружи).

    Уязвимости, ддос и т.д., на ваше усмотрение.

    По результатам будет и вам "проверка сервиса" и нам, возможно, что-то дельное подскажите ;)
     
  3. mentanos

    mentanos Постоялец

    Регистр.:
    27 дек 2007
    Сообщения:
    128
    Симпатии:
    35


    итого работа специалиста по безопасности оценивается им самим в $3/час при работе с пхп.

    подробно все написано, красиво (если закрыть глаза на ошибки), но досадный прокол с $3/час. с ТС дел не имел, НО если "специалист" оценивает свою работу в такую цену, то он совсем не в теме. похоже на фейк.
     
  4. lift

    lift Читатель

    Заблокирован
    Регистр.:
    1 июл 2007
    Сообщения:
    2.226
    Симпатии:
    1.377
    someone отписал критерий прохождения проверки топикстартеру. Пока собственно проверка не будет произведена тема закрыта.
     
Статус темы:
Закрыта.