Как проверить сайт на уязвимость

Много народа предлагает провести аудит сайта как на форуме, так и просто по поиску в ПС. Или вам бесплатно нужно? 🙄

Автоматическими средствами именно сайт проверить можно тут например http://www.ptsecurity.ru/ (правда сервисом не пользовались, поэтому не скажем насколько он хорош).

Но вообще наше имхо, что проверять именно сайт на уязвимости смысла особого нет. Есть смысл проверять движок на уязвимости, но для этого нужен открытый код движка, иначе проверка будет недостаточной.

Если Вы ищите конкретного человека для проверки, Вам лучше в раздел "работа для вебмастеров". Услуги такие безусловно предоставляются.

Не верю, плохо искали. :)

http://www.google.ru/search?hl=ru&client=firefox-a&rls=org.mozilla%3Aru%3Aofficial&hs=SEi&q=%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D1%8B%D0%B9+%D1%81%D0%B0%D0%B9%D1%82+%D1%81%D1%82%D0%B0%D1%82%D1%8C%D0%B8&lr=

P.S. Верный спопособ проверить наличие уязвимостей вводите везде где можете (формы, адресная строка) " или '. Если будет ошибка при выполнении значит можно копать дальше, вероятно наличие ошибки!

Спасибо за ссылки.

Собствено вопрос критичным не является...

На сайте используется два бесплатных скрипта, один их них - поиск (на РНР, без MySQL).

Я не сильный знаток в РНР (азы знаю и мне достаточно), в скрипте стоит какая-то защита - невозможно поменять название папки где хранится вся информация (админка, файловые базы... т.д.), меняеш название - скрипт не работает (в смысле говорит что папка должна называться ХХХ).

Заинтересовало - нет ли тут случайно подвоха. Ведь сайты, имеющие папки с таким названием легко найти. А если в скрипте какая-то бяка (преднамеренная или нет - вопрос другой), которая может вылезти стороной (я имею в виду "поисковые дыры")?

Я конечно понимаю, что запретив в robots.txt индексацию папки можно избежать проблем, однако интересно.

Значит плохо смотрели код, либо кусочек кода в котором прописано название папки закодирован в base 64 или зазенден.

А что за скрипт поиска, название можете дать?

P.S. Если кто-то не согласен с моим мнением, можете высказаться прямо здесь.

Скрипт phprusearch, бесплатный... адрес сейчас сброшу.

П.С.: но на одном из хакерских сайтов, публикующем уязвимости было замечено что и в этом скритпе что-то найдено.

Ссылка на страницу сайта с описанием уязвимостей (поищите на странице "phprusearch"): http://forumsn.jino-net.ru/forum/index.php?act=Print&client=printer&f=21&t=77

ПС2: оф. адрес разработчика http://phpru.net/ к сожалению не работает, но скрипт доступен для свободной загрузки с многих сайтов, например http://woweb.ru/load/62-1-0-2729

проверить бесплатно на уязвимость можно на

http://forum.antichat.ru/

там есть специальный раздел для этого

LeonCrab, http://www.securitylab.ru/ на этом сайте клич бросьте - заддосте меня плиз, ребята отзывчивые не откажут.

Еще можно так, повесить объяву, хацкеры "....." и разослать пресс релизы.

Если используются публичные скрипты, то проверьте на securityfocus.com, securitylab.ru, security.nnov.ru на обнаруженные уязвимости, введя название скрипта в поиск.

Проверьте, чтобы фильтровались ВСЕ переменные, которые пришли от пользователя.

Если используете поиск, то сделайте ограничения по времени от DDoS-аттак.

Удачи.