- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
я заметил вредосностный код (редирект) в файлах .htaccess.
не исключаю возможность, что этот самый программист создал специально дыры в скрипте, с помощью которых он может получать доступ к серверу или к функционалу скрипта.
Вряд ли причина вредоносного кода в программисте. Это все равно что имея плащ-невидимку и сапоги-скороходы воровать печеньки в магазине именно в сапогах, что бы быстрее убежать. Или если без абстракций - программист бы так палиться не стал.
Вообщем суть вопроса следующая: посоветуйте как лучше мне проверить данный скрипт на:
Закажите проверку любому другому программисту. Если боитесь "рекурсии", то пусть он выдаст список найденных косяков и сделанных правок. Это будет небольшая порция данных, легко контроллируемая.
Опять же, у нового программера будет большой стимул найти косяки старого, поэтому на ответственность можно положиться больше, чем при написании нового кода.
не думаю, что крупная студия будет рисковать репутацией.
В случае со столкновением с крупной студией рисковать репутацией будете собственно Вы, а не студия.
Вот по Вашему мнению студия не будет рисковать своей репутацией... проблема в том, что многие так думают. Поэтому при столкновении petya23487 и крупной студии логика включится простая - крупная студия "она же не могла так сделать", "они бы не стали рисковать своей репутацией" и прочее... в результате петя который 100-500 раз прав - сидит и обтекает. При чем со студией Вы еще и договор такой подпишите, по которому будете не правы вообще при любом раскладе даже в суде, да и на форуме Вам тыкнут "ну ты же сам подписал договор". Так что "не сотворите себе кумира"© из крупных студий.
Сколько вообще времени необходимо опытному программисту, что бы проверить на уязвимости такой небольшой, как у меня, скрипт? Это вообще очень трудоемкая работа? В каком диапазоне будут цены на такую услугу?
Вопрос насколько тщательно это делать. 100% тщательность проверки по времени займет минимум 50 % от времени написания скрипта, при этом не гарантирует 100% результата, т.к. все равно что-то можно упустить. Это при условии поиска не слишком хорошо спрятанных, но намеренных "зловредов".
Выкладывайте уже ваш код.. Мы его быстренько разберём 😂
нет, шансов не больше. просто времени это займёт намного меньше.
Эм.. или мы друг друга не понимаем..
Даю адрес (URL т.е) без исходного кода.. даю гарантию 146%, что есть дыра-дырищща .. найдёте?
Потом тоже самое, но с исходником.. И расскажите, что "шансов не больше"
Вряд ли причина вредоносного кода в программисте.
Я вообще надеюсь, что в скрипте специально сделанных дыр не будет, так как программист хороший и хотел бы с ним работать и дальше именно поэтому и хочу его проверить хотя бы один раз.
Закажите проверку любому другому программисту. Если боитесь "рекурсии", то пусть он выдаст список найденных косяков и сделанных правок. Это будет небольшая порция данных, легко контролируемая.
Опять же, у нового программера будет большой стимул найти косяки старого, поэтому на ответственность можно положиться больше, чем при написании нового кода.
Что ему помещает найти уязвимость использовать е е и не сообщить об этом мне еще и взяв деньги за проверку?
В случае со столкновением с крупной студией рисковать репутацией будете собственно Вы, а не студия.
Вот по Вашему мнению студия не будет рисковать своей репутацией... проблема в том, что многие так думают. Поэтому при столкновении petya23487 и крупной студии логика включится простая - крупная студия "она же не могла так сделать", "они бы не стали рисковать своей репутацией" и прочее... в результате петя который 100-500 раз прав - сидит и обтекает. При чем со студией Вы еще и договор такой подпишите, по которому будете не правы вообще при любом раскладе даже в суде, да и на форуме Вам тыкнут "ну ты же сам подписал договор". Так что "не сотворите себе кумира"© из крупных студий.
Ключевое слово думаю здесь не студия, а личная встреча, можно поговорить, пообещав большие заказы и сообщив о том, (что может быть не правдой) что Вы отдали скрипт еще на проверку в другую студию. Это будет стимулом для них найти дыры.
Это при условии поиска не слишком хорошо спрятанных, но намеренных "зловредов".
Именно намеренных то я и боюсь, так как скрипт будет работать с партнерскими ссылками, количество трафика большое соответственно мои убытки могут быть значительными и если программист все хорошо замаскировал, увидеть что трафик уходит "налево" я смогу далеко не сразу.
Да выкладывайте же, но тока не простыней. Используйте хотя бы pastebin.com
Про методики тестирования:
1) Если без исходника - черный ящик
2) Если с исходником - белый ящик
Само собой, что по методу белого ящика найти дыру в 93,5 раза проще.
Выкладывайте уже ваш код. Мы его быстренько разберём
Да выкладывайте же, но тока не простыней. Используйте хотя бы pastebin.com
В открытый доступ думаю не стоит :) Если хотите, могу дать Вам Милованов Ю.С и ivan-lev скрипт полезный, думаю и Вам пригодится, главное точно знать, что в нем нет специально сделанных дыр!
Что ему помещает найти уязвимость использовать е е и не сообщить об этом мне еще и взяв деньги за проверку?
Отсутствие достаточного смысла в этом. Шанс полноценно использовать уязвимость крайне мал, а выгодна от нее призрачна и эфемерна. При этом найдя уязвимость программист явно сможет рассчитывать на дальнейшие вполне конкретные заказы, хотя бы на проверку дыр ту же.
Ключевое слово думаю здесь не студия, а личная встреча, можно поговорить, пообещав большие заказы и сообщив о том, (что может быть не правдой) что Вы отдали скрипт еще на проверку в другую студию. Это будет стимулом для них найти дыры.
В студии работают обычные люди работу делает не студия, а конкретный человек. Если этот человек в штате, то он свой оклад по любому получит, ему по фиг на эти "большие заказы". Да и обещание больших заказов когда-нибудь потом, это скорее минус, чем плюс, если Вы заказчик - все давно в курсе что это приманка.
Более того, далеко не нулевой шанс на то, что Ваш заказ точно так же выполнил абстрактный фрилансер петя. На фрилансе очень много заказов от студий, при том зачастую немелких и для всех требуется NDA 😂
Именно намеренных то я и боюсь, так как скрипт будет работать с партнерскими ссылками, количество трафика большое соответственно мои убытки могут быть значительными и если программист все хорошо замаскировал, увидеть что трафик уходит "налево" я смогу далеко не сразу.
Программист всегда сможет спрятать зловреда так, что шанс найти его программистом такого же уровня будет где-то 10%, а по времени такой поиск займет не меньше времени чем написать проект заново.
Если у Вас по настоящему крупный проект, то берите программиста в долю, что бы он был заинтересован в проекте, это во первых. Во вторых - наймите несколько программистов и ставьте им задачи так, что бы ни один из них в отдельности не имел контроля над проектом достаточного для незаметного причинения ущерба. В третьих - заключите юридически значимый договор на разработку с ответственностью за косяки, тогда зловредов еще и УК помешает вкрячивать.
В открытый доступ думаю не стоит :) Если хотите, могу дать Вам Милованов Ю.С и ivan-lev скрипт полезный, думаю и Вам пригодится, главное точно знать, что в нем нет специально сделанных дыр!
и мне и мне! 😂 я тоже хочу
Отсутствие достаточного смысла в этом. Шанс полноценно использовать уязвимость крайне мал, а выгодна от нее призрачна и эфемерна. При этом найдя уязвимость программист явно сможет рассчитывать на дальнейшие вполне конкретные заказы, хотя бы на проверку дыр ту же.
Программист всегда сможет спрятать зловреда так, что шанс найти его программистом такого же уровня будет где-то 10%
Получается, что отдавать на проверку не эффективно
Если у Вас по настоящему крупный проект, то берите программиста в долю, что бы он был заинтересован в проекте, это во первых.
Проект не слишком крупный, суммы будут слишком малы, что бы заинтересовать хорошего программиста.
Во вторых - наймите несколько программистов и ставьте им задачи так, что бы ни один из них в отдельности не имел контроля над проектом достаточного для незаметного причинения ущерба.
Обычно я при заказах, ставил задачи так, что бы программист не понимал, или имел минимальное понимание, того как будут использоваться его работа, но в этом случае скрыть явное было практически не возможно
самый толковый совет во всей теме :D
только как понять что ты взял себе в партнёры прожженного волка, профессионала своего дела, а не обычного студента с амбициями, который мимоволи делать дырки и не замечает этого?
и мне и мне! я тоже хочу
Пожалуйста и Вам отправил :)