Форум Работа и услуги для вебмастера Оптимизация, продвижение и аудит

Проводим аудит безопасности сайтов

123 4
Y
На сайте с 13.09.2010
Offline
5
YESAudit
3623

Мы предлагаем проведение квалифицированного анализа защищенности вашего сайта от внешних угроз.

В отличии от большинства сервисов продвигающих услуги аудита веб сайтов мы пошли иным путем.

За последний год нами была разработана система анализа PHP кода для автоматического выявления уязымостей, таких как:

- SQL Injection

- PHP Injection

- XSS

После чего мы вручную проверяем каждую найденную уязвимость, пишем к ней заплатку и оформляем отчет о проделанной работе.

Таким образом наш сервис:

1. Практически полностью исключает человеческий фактор в процессе поиска уязвимых мест в коде.

2. Это всегда высокий уровень качества наших работ.

3. Среднее время тестирования сайта занимает 1-3 дня, даже для больших проектов.

4. И главное, это стоимость услуг! Тарифы.

В ближайшее время откроется сайт, где можно оставить заявку на тестирование.

А пока связаться с нами можно по ICQ 330164453.

В связи с недавним открытием, действует акция!

Первым 3 клиентам готовы протестировать сайт(PR >= 4) за ту цену которая вам покажется справедливой. Вы сами оценивете стоимость наших услуг.

Британские ученые доказали, что прививки предупреждают болезни.
_vb_
На сайте с 25.07.2009
Offline
104
_vb_
#1
YESAudit:
Тарифы.
Тариф 1. Провидение анализа исходного кода с оплатой по-середнему.

А вы вообще кто?

Саратовская фракция серча (). Давайте посчитаемся.
Y
На сайте с 13.09.2010
Offline
5
YESAudit
#2

Подобного рода замечания можно оставлять в личку.

_vb_
На сайте с 25.07.2009
Offline
104
_vb_
#3

Считайте это мини-аудитом вашего сайта 🚬

Y
На сайте с 13.09.2010
Offline
5
YESAudit
#4

С радостью в ближайшем будущем возьмем в команду редактора, для публикации статей. :)

SONcemvo
На сайте с 06.09.2009
Offline
102
SONcemvo
#5

ну и цены у вас ребятки. В сети можно найти гораздо дешевле и комплекснее подход. Да и сайтик ваш доверия(если можно это назвать сайтиком) както не представляет вообще. В гуглоид запихнули чтобы солиднее смотрелось?

Не платил налоги к Яндекс поиск стал хуже Настораживающая ситуация с клиентами
Y
На сайте с 13.09.2010
Offline
5
YESAudit
#6

Если вы внимательно читали первое сообщение, то сайт находится в разработке. Это тарифная сетка, оформленная в виде документа. Найдете цены ниже наших, сделаем вам персонально скидку.

Anarchist
На сайте с 23.07.2008
Offline
185
Anarchist
#7

YESAudit, а можно поинтересоваться, что под собой скрывают пункты типа "File Upload" или "Information Leakage"? Проверка на то, сможете ли вы заюзать найденные вами же ошибки в скриптах?

Ведь одно дело найти тот же sql-inj и совсем другое - подобрать под него нужные параметры.

И в чем разница между "RFI" и "LFI"? Суть-то одна и зависит не от сайта, а больше от настроек сервера как бы...

dkameleon
На сайте с 09.12.2005
Offline
386
dkameleon
#8
YESAudit:
За последний год нами была разработана система анализа PHP кода для автоматического выявления уязымостей, таких как:
- SQL Injection
- PHP Injection
- XSS

а пару примеров работы автоматики можно?

Дизайн интерьера (http://balabukha.com/)
Y
На сайте с 13.09.2010
Offline
5
YESAudit
#9

Спасибо за вопросы, итак по порядку.

Под "File Upload" уязвимостью предполагается к примеру загрузка файла скрипта (.*php) на сервер хостинга фотографий (*.jpeg).

"Information Leakage" само по себе не является уязвимостью, однако может дать атакующему ценные с точки зрения злоумышлинника данные. Это может быть информация о структуре директорий сервера, используемых SQL запросах и т.д....

"RFI" и "LFI" относятся к классу PHP Injection. Вынесены отдельными пунктами, так как чаще всего PHP уязвимость заключается либо в возможности включения удаленных файлов, либо не предусмотренных разработчиком локальных файлов.

YESAudit добавил 14.09.2010 в 03:51

а пару примеров работы автоматики можно?

Да вполне. Вы можете отправить нам любой файл скрипта добавив в него несколько уязвимостей, а мы запустив анализатор продемонстрируем вам полученный от него ответ.

B
На сайте с 21.12.2009
Offline
28
boodda
#10

Вот посмотрите этот простой скрипт и скажите, опасен ли данный скрипт входа в админку для сервера?

Если да, то дайте развернутый ответ почему и где косяки? 


<?php



define("IN_CMS", 1);



session_start();



//include("config.php");

/*

<?

$db_user = "user";

$db_pass = "pass";

$db_host = "host";

$db_name = "name";

?>

*/



$db_user = "user";

$db_pass = "pass";

$db_host = "host";

$db_name = "name";



include("smarty.php");



$protected_arrays = array("_GET", "_POST", "_COOKIE", "_REQUEST", "_FILES", "GLOBALS", "_SESSION", "_SERVER", "_ENV");

$protected_ext = array("php", "php3", "php4", "php5");

foreach($_REQUEST as $key=>$var){

	foreach($protected_arrays as $prot_arr){

		if(strpos($key, $prot_arr) === false && strpos($var, $prot_arr) === false){

			$$key = stripslashes_deep($var);

		}else{

			$template->assign($error, "Security Check Failure");

			$template->display("login.tpl");

			die();

		}

	}

}



$db_link = mysql_connect($db_host, $db_user, $db_pass) or die(mysql_error());

mysql_select_db($db_name, $db_link) or die(mysql_error());



if(isset($user) & isset($password)){

	$res = mysql_query("SELECT * FROM users WHERE user='".mysql_real_escape_string($user)."'");

	if(mysql_num_rows($res) == 1){

		$_utmp = mysql_fetch_assoc($res);

		if($_utmp['password'] == md5($password)){

			$_SESSION['logininfo'] = $_utmp;

		}

	}

}

if(isset($_SESSION['logininfo']['is_admin']) &&  $_SESSION['logininfo']['is_admin'] == 1){

	switch ($action){

		case "upload":

			if(is_uploaded_file($_FILES['file']['tmp_name'])){

				$lastpos = strrpos($_FILES['file']['name'], ".");

				$ext = substr($_FILES['file']['name'], $lastpos+1, strlen($_FILES['file']['name']) - $lastpos-1);

				if(!in_array($ext, $protected_ext)){

					move_uploaded_file($_FILES['file']['name'], "uploads/".$_FILES['file']['name']);

					$template->assign($name, $_FILES['file']['name']);

				}else{

					$template->assign($error, "Security Check Failure");

				}

			}else{

				$template->assign($error, "Security Check Failure");

			}

	    break;

	    //case ...............

	}

	$template->display("admin.tpl");

}else{

	$template->display("login.tpl");

}

die();



function stripslashes_deep($arg){

	if(is_array($arg)){

		$arg = array_map('stripslashes_deep', $arg);

	}else{

		$arg = stripslashes($arg);

		$arg = str_replace(chr(0), '', $arg);

	}

	return $arg;

}





?>
Адский Кодер Разработка и аудит безопасности сайтов/скриптов(PHP+MySQL) (/ru/forum/530575)
123 4

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий