Аудит безопасности вашего сайта

А кто Вам даст залить шелл? Каждый проект будет иметь такую дырку для удаленного инклуда при наличии уязвимости? :D Ну найдете Вы по признакам несколько жирных сайтов, кто Вам сказал, что они будут доступны для взлома? ;) В случае, если ТС будет просто находить по признакам сайты и отсеивать из них стоящие сайты, а не гс, то у него пару штук будет в итоге. А так он будет иметь доступ и к тем сайтам, которые не сломает.

-= Serafim =-, с таким подходом, можно и домой и на дачу, и в офис не ставить сигнализацию...ведь злодеи-установщики знают ваш код, придут и всё заберут....

Вы о чем? Растолкуйте по-русски. Я что сказал не защищать свой сайт?

нет, не говорили, но, судя по ответам, Вы ярый сторонник самостоятельной защиты сайта (поиска уязвимостей).

а это, достаточно часто, не всегда эффективно.

-= Serafim =-, вы когда-нибудь пользовались услугами аудиторов безопасности информационных систем (web-проектов, в частности)?

CyBase, Вы клон ТС или работник, или друг?

Я сторонник защиты сайта у профессионалов, порядочность которых доказана.

Сейчас это требование не действует. И оно выдвигалось, только когда мы проводили аудит бесплатно, сейчас мы проводим аудит за деньги и нам абсолютно не важны PR и репутация. Люди которые отписались выше, как видите, всем довольны. И нам в принципе не нужен ваш сайт, вы можете и не говорить, где он находится, нам нужен лишь код и структура базы (не данные!). А вообще подобные обвинения должны чем либо подкрепляться, иначе разговор сводится к "докажи, что ты не верблюд".

Ну и наконец подумайте в чём выгода, желательно в деньгах. Разве шелл на Вашем сайте отобьёт затраты на рекламу, хотя бы на данном форуме. Так же затраты на хостинг/домен и прочие мелочи. Так же можно оценить риски. Ведь после отрицательного отзыва нам пришлось бы всё начинать заново, разве оно того стоит?

Ну а по поводу популярных движков и способах заливки шеллов на них, уж поверьте нам как специалистам, уязвимость в движке даёт возможность залить шеллы не на один десяток, а иногда и не одну сотню сайтов в зависимости от популярности движка. И никакие настройки от этого не спасут, так что простая проверка публичных движков намного удобнее и выгоднее, если наш интерес залить побольше шеллов.

Если для проверки сайта, Вам нужны дополнительные гарантии - предлагайте варианты. Обсудим, думаю договоримся.

А если привести аналогию из интернета, то в таком случае стоит так же бояться хостеров, системных администраторов и программистов-фрилансеров как минимум. Все они получают доступ не только к исходным кодам, но и зачастую к базе данных.

Я бы присоединился к вопросу CyBase, то что в примере - детский сад.

Неужели никто не хочет предоставить отчет из клиентов? Никто же не говорит про палево сайтов и т.д. Только примеры уязвимостей.

Да, к сожалению даже бывают случаи когда хостеры воруют сайты.

В принципе можно поступить по другому. Человеку с высоким уровнем репутации на данном форуме, мы готовы проанализировать код с оплатой по факту. Т.е. вы получаете отчёт - затем платите деньги.

Продолжаем работать.