- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Зачем быть уникальным в мире, где все можно скопировать
Почему так важна уникальность текста и как она влияет на SEO
Ingate Organic
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Здравствуйте. Ситуация такая, заказывал на одном из сайтов по удаленной работе услуги программиста по написанию скрипта под мои нужды. Работы была выполнена и я начал пользоваться скриптом , на нескольких моих проектах.
Однако, через некоторое время, я заметил вредосностный код (редирект) в файлах .htaccess. Код удалил, все пароли и CMS с плагинами обновил, однако есть сомнения по поводу этого самого скрипта, который мне написал программист.
Я сам не программист и соответственно, в коде ничего не понимаю, поэтому не исключаю возможность, что этот самый программист создал специально дыры в скрипте, с помощью которых он может получать доступ к серверу или к функционалу скрипта.
Вообщем суть вопроса следующая: посоветуйте как лучше мне проверить данный скрипт на:
1. Есть ли в скрипте возможность, не зная логин и пароль программисту написавшему скрипт, управлять им, то есть удаленно получать доступ к функционалу?
2. Получать доступ к моему серверу;
Может это конечно паранойя, но так как скрипт будет работать с партнерскими ссылками, то думаю у программиста могла закрасться мысль, оставить доступ к функционалу, с целью поменять мои партнерские ссылки на свои. Однако проверить самостоятельно я это не могу.
Я думал заказать проверку скрипта другим программистом, однако опять нельзя быть уверенным, что уже он не внесет какие либо негативные изменения, что я проверить не могу.
Вот я и подумал, на этом форуме очень много профессионалов, может кто либо, сможет посмотреть скрипт и ответить на вопросы о возможных уязвимостях и доступа к функционалу или посоветует как лучше проверить данный скрипт.
Спасибо!
Я думал заказать проверку скрипта другим программистом, однако опять нельзя быть уверенным, что уже он не внесет какие либо негативные изменения, что я проверить не могу.
рекурсия.. Программисты они такие.
Однако, через некоторое время, я заметил вредосностный код (редирект) в файлах .htaccess.
такое и без "скриптов на заказ от программиста" можно "подцепить"...
p.s. скрипт-то большой?
такое и без "скриптов на заказ от программиста" можно "подцепить"...
Я знаю, что способов "подцепить" очень много, однако сомнения есть, тем более скрипт для работы с партнерскими ссылками, а это хорошие деньги, поэтому и думаю, что дыры могли быть оставлены специально. А редиректы в .htaccess лишь еще один повод для проверки данного скрипта.
p.s. скрипт-то большой?
Очень маленький, 12 php файлов, css файлы и картинки
вообще такой расклад вполне возможен. школьники обычно так и пишут, ну или те кто свободно делает работу без предоплаты (для страховки же) но больше шансов на то что скрипт дырявый от невнимательности или неопытности программиста. проверять на уязвимости можно не давая исходный код в руки (хотя так будет намного быстрее)
для параноиков идеальным вариантом будет отдать на проверку логи понимающим людям, хотя тут тоже засада, в логах может быть (и скорее всего будет) адрес домена, и злые программисты снова вас поимеют :(
проверять на уязвимости можно не давая исходный код в руки (хотя так будет намного быстрее)
эм.. зная код, шансов найти дырки больше..
Я думал заказать проверку скрипта другим программистом, однако опять нельзя быть уверенным, что уже он не внесет какие либо негативные изменения, что я проверить не могу.
Для проверки можно отправить только код и дамп базы (если нужен.. структуру.. и/или 1-2 строки).. а изменения от второго программиста не вносить.. Хотя, и в этом случае он может использовать дырку, оставленную первым программистом (если, конечно, она была)..
В общем.. это примерно как дверь от квартиры не самому устанавливать.. или сигналку на машину.. Либо разбираться (по минимуму) самостоятельно, либо кому-нибудь довериться.. =)
в логах может быть (и скорее всего будет) адрес домена, и злые программисты снова вас поимеют
а изменения от второго программиста не вносить.. Хотя, и в этом случае он может использовать дырку, оставленную первым программистом (если, конечно, она была)..
Я так и решил сначала, дать сам скрипт на проверку и подумал, если к примеру человек скажет, что есть уязвимость, предостеречь всех людей от работы с нечетсным программистом, однако какие шансы, что человек который найдет уязвимость скажет о ней, а не будет ее использовать?
И уже два программиста, будут использовать дыру в скрипте )))
Либо в скрипт БЕЗ уязвимости, добавит свой код, сказав, что исправил уязвимость.
Вообщем даже не знаю как быть
---------- Добавлено 30.03.2013 в 22:24 ----------
Либо разбираться (по минимуму)
Не думаю, что я смогу разобраться в программировании на php по быстрому :)
Попросите знакомого программиста, которому доверяете проверить скрипт. Если таких знакомых нет - заведите:)
эм.. зная код, шансов найти дырки больше..
нет, шансов не больше. просто времени это займёт намного меньше.
Попросите знакомого программиста, которому доверяете проверить скрипт.
Думал так же доверить проверку крупной студии, причем той, у которой есть офис в моем городе. С целью заказа данной проверки при личной встрече, не думаю, что крупная студия будет рисковать репутацией. Однако времени на такие походы к сожалению нет.
Если таких знакомых нет - заведите
С трудом представляю как это сделать, на мамбе дать объявление :)
---------- Добавлено 30.03.2013 в 22:46 ----------
нет, шансов не больше. просто времени это займёт намного меньше.
Сколько вообще времени необходимо опытному программисту, что бы проверить на уязвимости такой небольшой, как у меня, скрипт? Это вообще очень трудоемкая работа? В каком диапазоне будут цены на такую услугу?
Сколько вообще времени необходимо опытному программисту, что бы проверить на уязвимости такой небольшой, как у меня, скрипт? Это вообще очень трудоемкая работа? В каком диапазоне будут цены на такую услугу?
ну я сейчас под пиво могу пофилософствовать с вами, кто такой «опытный программист» и как определяется опыт. вообще я таким не занмаюсь, поэтому цены назвать не могу.
ну и время
поэтому цены назвать не могу.
Главное, что бы цены на проверку не были выше цен за написание :) Обидно будет, но безопасность, как показывает опыт, того стоит.
не по тысяче строк
Самый большой 169 строк