Проверка скрипта на дыры и уязвимости

123 4
edogs software
На сайте с 15.12.2005
Offline
719
#11
denis920:
я заметил вредосностный код (редирект) в файлах .htaccess.
не исключаю возможность, что этот самый программист создал специально дыры в скрипте, с помощью которых он может получать доступ к серверу или к функционалу скрипта.

Вряд ли причина вредоносного кода в программисте. Это все равно что имея плащ-невидимку и сапоги-скороходы воровать печеньки в магазине именно в сапогах, что бы быстрее убежать. Или если без абстракций - программист бы так палиться не стал.

denis920:
Вообщем суть вопроса следующая: посоветуйте как лучше мне проверить данный скрипт на:

Закажите проверку любому другому программисту. Если боитесь "рекурсии", то пусть он выдаст список найденных косяков и сделанных правок. Это будет небольшая порция данных, легко контроллируемая.

Опять же, у нового программера будет большой стимул найти косяки старого, поэтому на ответственность можно положиться больше, чем при написании нового кода.

denis920:
не думаю, что крупная студия будет рисковать репутацией.

В случае со столкновением с крупной студией рисковать репутацией будете собственно Вы, а не студия.

Вот по Вашему мнению студия не будет рисковать своей репутацией... проблема в том, что многие так думают. Поэтому при столкновении petya23487 и крупной студии логика включится простая - крупная студия "она же не могла так сделать", "они бы не стали рисковать своей репутацией" и прочее... в результате петя который 100-500 раз прав - сидит и обтекает. При чем со студией Вы еще и договор такой подпишите, по которому будете не правы вообще при любом раскладе даже в суде, да и на форуме Вам тыкнут "ну ты же сам подписал договор". Так что "не сотворите себе кумира"© из крупных студий.

denis920:
Сколько вообще времени необходимо опытному программисту, что бы проверить на уязвимости такой небольшой, как у меня, скрипт? Это вообще очень трудоемкая работа? В каком диапазоне будут цены на такую услугу?

Вопрос насколько тщательно это делать. 100% тщательность проверки по времени займет минимум 50 % от времени написания скрипта, при этом не гарантирует 100% результата, т.к. все равно что-то можно упустить. Это при условии поиска не слишком хорошо спрятанных, но намеренных "зловредов".

Разработка крупных и средних проектов. Можно с криптой. Разумные цены. Хорошее качество. Адекватный подход.
IL
На сайте с 20.04.2007
Offline
415
#12

Выкладывайте уже ваш код.. Мы его быстренько разберём 😂

RedOK:
нет, шансов не больше. просто времени это займёт намного меньше.

Эм.. или мы друг друга не понимаем..

Даю адрес (URL т.е) без исходного кода.. даю гарантию 146%, что есть дыра-дырищща .. найдёте?

Потом тоже самое, но с исходником.. И расскажите, что "шансов не больше"

denis920
На сайте с 26.02.2009
Offline
154
#13
edogs:
Вряд ли причина вредоносного кода в программисте.

Я вообще надеюсь, что в скрипте специально сделанных дыр не будет, так как программист хороший и хотел бы с ним работать и дальше именно поэтому и хочу его проверить хотя бы один раз.

edogs:
Закажите проверку любому другому программисту. Если боитесь "рекурсии", то пусть он выдаст список найденных косяков и сделанных правок. Это будет небольшая порция данных, легко контролируемая.
Опять же, у нового программера будет большой стимул найти косяки старого, поэтому на ответственность можно положиться больше, чем при написании нового кода.

Что ему помещает найти уязвимость использовать е е и не сообщить об этом мне еще и взяв деньги за проверку?

edogs:
В случае со столкновением с крупной студией рисковать репутацией будете собственно Вы, а не студия.
Вот по Вашему мнению студия не будет рисковать своей репутацией... проблема в том, что многие так думают. Поэтому при столкновении petya23487 и крупной студии логика включится простая - крупная студия "она же не могла так сделать", "они бы не стали рисковать своей репутацией" и прочее... в результате петя который 100-500 раз прав - сидит и обтекает. При чем со студией Вы еще и договор такой подпишите, по которому будете не правы вообще при любом раскладе даже в суде, да и на форуме Вам тыкнут "ну ты же сам подписал договор". Так что "не сотворите себе кумира"© из крупных студий.

Ключевое слово думаю здесь не студия, а личная встреча, можно поговорить, пообещав большие заказы и сообщив о том, (что может быть не правдой) что Вы отдали скрипт еще на проверку в другую студию. Это будет стимулом для них найти дыры.

edogs:
Это при условии поиска не слишком хорошо спрятанных, но намеренных "зловредов".

Именно намеренных то я и боюсь, так как скрипт будет работать с партнерскими ссылками, количество трафика большое соответственно мои убытки могут быть значительными и если программист все хорошо замаскировал, увидеть что трафик уходит "налево" я смогу далеко не сразу.

Милованов Ю.С
На сайте с 24.01.2008
Offline
197
#14

Да выкладывайте же, но тока не простыней. Используйте хотя бы pastebin.com

Про методики тестирования:

1) Если без исходника - черный ящик

2) Если с исходником - белый ящик

Само собой, что по методу белого ящика найти дыру в 93,5 раза проще.

Подпись))
denis920
На сайте с 26.02.2009
Offline
154
#15
ivan-lev:
Выкладывайте уже ваш код. Мы его быстренько разберём
Милованов Ю.С:
Да выкладывайте же, но тока не простыней. Используйте хотя бы pastebin.com

В открытый доступ думаю не стоит :) Если хотите, могу дать Вам Милованов Ю.С и ivan-lev скрипт полезный, думаю и Вам пригодится, главное точно знать, что в нем нет специально сделанных дыр!

edogs software
На сайте с 15.12.2005
Offline
719
#16
denis920:
Что ему помещает найти уязвимость использовать е е и не сообщить об этом мне еще и взяв деньги за проверку?

Отсутствие достаточного смысла в этом. Шанс полноценно использовать уязвимость крайне мал, а выгодна от нее призрачна и эфемерна. При этом найдя уязвимость программист явно сможет рассчитывать на дальнейшие вполне конкретные заказы, хотя бы на проверку дыр ту же.

denis920:
Ключевое слово думаю здесь не студия, а личная встреча, можно поговорить, пообещав большие заказы и сообщив о том, (что может быть не правдой) что Вы отдали скрипт еще на проверку в другую студию. Это будет стимулом для них найти дыры.

В студии работают обычные люди работу делает не студия, а конкретный человек. Если этот человек в штате, то он свой оклад по любому получит, ему по фиг на эти "большие заказы". Да и обещание больших заказов когда-нибудь потом, это скорее минус, чем плюс, если Вы заказчик - все давно в курсе что это приманка.

Более того, далеко не нулевой шанс на то, что Ваш заказ точно так же выполнил абстрактный фрилансер петя. На фрилансе очень много заказов от студий, при том зачастую немелких и для всех требуется NDA 😂

denis920:
Именно намеренных то я и боюсь, так как скрипт будет работать с партнерскими ссылками, количество трафика большое соответственно мои убытки могут быть значительными и если программист все хорошо замаскировал, увидеть что трафик уходит "налево" я смогу далеко не сразу.

Программист всегда сможет спрятать зловреда так, что шанс найти его программистом такого же уровня будет где-то 10%, а по времени такой поиск займет не меньше времени чем написать проект заново.

Если у Вас по настоящему крупный проект, то берите программиста в долю, что бы он был заинтересован в проекте, это во первых. Во вторых - наймите несколько программистов и ставьте им задачи так, что бы ни один из них в отдельности не имел контроля над проектом достаточного для незаметного причинения ущерба. В третьих - заключите юридически значимый договор на разработку с ответственностью за косяки, тогда зловредов еще и УК помешает вкрячивать.

RO
На сайте с 13.07.2009
Offline
88
#17
denis920:
В открытый доступ думаю не стоит :) Если хотите, могу дать Вам Милованов Ю.С и ivan-lev скрипт полезный, думаю и Вам пригодится, главное точно знать, что в нем нет специально сделанных дыр!

и мне и мне! 😂 я тоже хочу

denis920
На сайте с 26.02.2009
Offline
154
#18
edogs:
Отсутствие достаточного смысла в этом. Шанс полноценно использовать уязвимость крайне мал, а выгодна от нее призрачна и эфемерна. При этом найдя уязвимость программист явно сможет рассчитывать на дальнейшие вполне конкретные заказы, хотя бы на проверку дыр ту же.
edogs:
Программист всегда сможет спрятать зловреда так, что шанс найти его программистом такого же уровня будет где-то 10%

Получается, что отдавать на проверку не эффективно

edogs:
Если у Вас по настоящему крупный проект, то берите программиста в долю, что бы он был заинтересован в проекте, это во первых.

Проект не слишком крупный, суммы будут слишком малы, что бы заинтересовать хорошего программиста.

edogs:
Во вторых - наймите несколько программистов и ставьте им задачи так, что бы ни один из них в отдельности не имел контроля над проектом достаточного для незаметного причинения ущерба.

Обычно я при заказах, ставил задачи так, что бы программист не понимал, или имел минимальное понимание, того как будут использоваться его работа, но в этом случае скрыть явное было практически не возможно

RO
На сайте с 13.07.2009
Offline
88
#19
Если у Вас по настоящему крупный проект, то берите программиста в долю, что бы он был заинтересован в проекте

самый толковый совет во всей теме :D

только как понять что ты взял себе в партнёры прожженного волка, профессионала своего дела, а не обычного студента с амбициями, который мимоволи делать дырки и не замечает этого?

denis920
На сайте с 26.02.2009
Offline
154
#20
RedOK:
и мне и мне! я тоже хочу

Пожалуйста и Вам отправил :)

123 4

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий