Проверка скрипта на дыры и уязвимости

123 4
denis920
На сайте с 26.02.2009
Offline
157
11751

Здравствуйте. Ситуация такая, заказывал на одном из сайтов по удаленной работе услуги программиста по написанию скрипта под мои нужды. Работы была выполнена и я начал пользоваться скриптом , на нескольких моих проектах.

Однако, через некоторое время, я заметил вредосностный код (редирект) в файлах .htaccess. Код удалил, все пароли и CMS с плагинами обновил, однако есть сомнения по поводу этого самого скрипта, который мне написал программист.

Я сам не программист и соответственно, в коде ничего не понимаю, поэтому не исключаю возможность, что этот самый программист создал специально дыры в скрипте, с помощью которых он может получать доступ к серверу или к функционалу скрипта.

Вообщем суть вопроса следующая: посоветуйте как лучше мне проверить данный скрипт на:

1. Есть ли в скрипте возможность, не зная логин и пароль программисту написавшему скрипт, управлять им, то есть удаленно получать доступ к функционалу?

2. Получать доступ к моему серверу;

Может это конечно паранойя, но так как скрипт будет работать с партнерскими ссылками, то думаю у программиста могла закрасться мысль, оставить доступ к функционалу, с целью поменять мои партнерские ссылки на свои. Однако проверить самостоятельно я это не могу.

Я думал заказать проверку скрипта другим программистом, однако опять нельзя быть уверенным, что уже он не внесет какие либо негативные изменения, что я проверить не могу.

Вот я и подумал, на этом форуме очень много профессионалов, может кто либо, сможет посмотреть скрипт и ответить на вопросы о возможных уязвимостях и доступа к функционалу или посоветует как лучше проверить данный скрипт.

Спасибо!

IL
На сайте с 20.04.2007
Offline
418
#1
denis920:
Я думал заказать проверку скрипта другим программистом, однако опять нельзя быть уверенным, что уже он не внесет какие либо негативные изменения, что я проверить не могу.

рекурсия.. Программисты они такие.

denis920:
Однако, через некоторое время, я заметил вредосностный код (редирект) в файлах .htaccess.

такое и без "скриптов на заказ от программиста" можно "подцепить"...

p.s. скрипт-то большой?

... :) Облачные серверы от RegRu - промокод 3F85-3D10-806D-7224 ( http://levik.info/regru )
denis920
На сайте с 26.02.2009
Offline
157
#2
ivan-lev:
такое и без "скриптов на заказ от программиста" можно "подцепить"...

Я знаю, что способов "подцепить" очень много, однако сомнения есть, тем более скрипт для работы с партнерскими ссылками, а это хорошие деньги, поэтому и думаю, что дыры могли быть оставлены специально. А редиректы в .htaccess лишь еще один повод для проверки данного скрипта.

ivan-lev:
p.s. скрипт-то большой?

Очень маленький, 12 php файлов, css файлы и картинки

RO
На сайте с 13.07.2009
Offline
88
#3

вообще такой расклад вполне возможен. школьники обычно так и пишут, ну или те кто свободно делает работу без предоплаты (для страховки же) но больше шансов на то что скрипт дырявый от невнимательности или неопытности программиста. проверять на уязвимости можно не давая исходный код в руки (хотя так будет намного быстрее)

для параноиков идеальным вариантом будет отдать на проверку логи понимающим людям, хотя тут тоже засада, в логах может быть (и скорее всего будет) адрес домена, и злые программисты снова вас поимеют :(

IL
На сайте с 20.04.2007
Offline
418
#4
RedOK:
проверять на уязвимости можно не давая исходный код в руки (хотя так будет намного быстрее)

эм.. зная код, шансов найти дырки больше..

denis920:
Я думал заказать проверку скрипта другим программистом, однако опять нельзя быть уверенным, что уже он не внесет какие либо негативные изменения, что я проверить не могу.

Для проверки можно отправить только код и дамп базы (если нужен.. структуру.. и/или 1-2 строки).. а изменения от второго программиста не вносить.. Хотя, и в этом случае он может использовать дырку, оставленную первым программистом (если, конечно, она была)..

В общем.. это примерно как дверь от квартиры не самому устанавливать.. или сигналку на машину.. Либо разбираться (по минимуму) самостоятельно, либо кому-нибудь довериться.. =)

denis920
На сайте с 26.02.2009
Offline
157
#5
RedOK:
в логах может быть (и скорее всего будет) адрес домена, и злые программисты снова вас поимеют
ivan-lev:
а изменения от второго программиста не вносить.. Хотя, и в этом случае он может использовать дырку, оставленную первым программистом (если, конечно, она была)..

Я так и решил сначала, дать сам скрипт на проверку и подумал, если к примеру человек скажет, что есть уязвимость, предостеречь всех людей от работы с нечетсным программистом, однако какие шансы, что человек который найдет уязвимость скажет о ней, а не будет ее использовать?

И уже два программиста, будут использовать дыру в скрипте )))

Либо в скрипт БЕЗ уязвимости, добавит свой код, сказав, что исправил уязвимость.

Вообщем даже не знаю как быть

---------- Добавлено 30.03.2013 в 22:24 ----------

ivan-lev:
Либо разбираться (по минимуму)

Не думаю, что я смогу разобраться в программировании на php по быстрому :)

Милованов Ю.С
На сайте с 24.01.2008
Offline
197
#6

Попросите знакомого программиста, которому доверяете проверить скрипт. Если таких знакомых нет - заведите:)

Подпись))
RO
На сайте с 13.07.2009
Offline
88
#7
ivan-lev:
эм.. зная код, шансов найти дырки больше..

нет, шансов не больше. просто времени это займёт намного меньше.

denis920
На сайте с 26.02.2009
Offline
157
#8
Милованов Ю.С:
Попросите знакомого программиста, которому доверяете проверить скрипт.

Думал так же доверить проверку крупной студии, причем той, у которой есть офис в моем городе. С целью заказа данной проверки при личной встрече, не думаю, что крупная студия будет рисковать репутацией. Однако времени на такие походы к сожалению нет.

Милованов Ю.С:
Если таких знакомых нет - заведите

С трудом представляю как это сделать, на мамбе дать объявление :)

---------- Добавлено 30.03.2013 в 22:46 ----------

RedOK:
нет, шансов не больше. просто времени это займёт намного меньше.

Сколько вообще времени необходимо опытному программисту, что бы проверить на уязвимости такой небольшой, как у меня, скрипт? Это вообще очень трудоемкая работа? В каком диапазоне будут цены на такую услугу?

RO
На сайте с 13.07.2009
Offline
88
#9
denis920:

Сколько вообще времени необходимо опытному программисту, что бы проверить на уязвимости такой небольшой, как у меня, скрипт? Это вообще очень трудоемкая работа? В каком диапазоне будут цены на такую услугу?

ну я сейчас под пиво могу пофилософствовать с вами, кто такой «опытный программист» и как определяется опыт. вообще я таким не занмаюсь, поэтому цены назвать не могу.

ну и время

Очень маленький, 12 php файлов, css файлы и картинки
за пару часов можно прошерстить эти файлы вдоль и в поперёк, если конечно там каждый файл не по тысяче строк, что маловероятно.
denis920
На сайте с 26.02.2009
Offline
157
#10
RedOK:
поэтому цены назвать не могу.

Главное, что бы цены на проверку не были выше цен за написание :) Обидно будет, но безопасность, как показывает опыт, того стоит.

RedOK:
не по тысяче строк

Самый большой 169 строк

123 4

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий