- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Зачем быть уникальным в мире, где все можно скопировать
Почему так важна уникальность текста и как она влияет на SEO
Ingate Organic
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Примерно с месяц назад один недобросовестный клиент обратился к своему знакомому кульхацкеру чтобы "протестировать" наш софт на уязвимости.
Мне прилетела телега из коммерческого отдела с пометкой мол быстро и жестко ответь по существу.
Претензии были идиотскими и не по теме. Ну т.е. проблем с софтом они не нашли, зато нашли кучу претензий к тестовому серверу где была развернута демоверсия софта. (а у вас там пхпадмин стоит и все в таком же духе).
Тогда вопрос решали организационно, до логов за тот период руки дошли только сегодня.
Не сказать чтобы я там что-то новое увидел, но многие запросы были достаточно разумны.
И судя по массовости это был явно софт. И явно публичный а не самопис ибо у кульхацкера мозга не особо много.
Кто чем пользуется для таких целей?
Софта много, можно глянуть сюда для начала: https://geekflare.com/online-scan-website-security-vulnerabilities/
Обычно берется Kali Linux и прогоняется всем что есть, включая sqlmap, w3af и прочее.
Мне больше интересно, почему коммерческий отдел выдвигает претензии отделу разработки.
Обычно берется Kali Linux и прогоняется всем что есть, включая sqlmap, w3af и прочее.
Ну "всем чем есть" это понятно)
Вопрос был скорее что стандартное и "для блондинок".
Мне больше интересно, почему коммерческий отдел выдвигает претензии отделу разработки.
Там не претензия была, там была именно просьба "быстро и жестко".
Ответ конечно смягчили, но лишь из беспокойства об инсайдере.
для таких целей
А какая там цель была?
(фантазировать не надо. Верить в официальную версию тоже)
богоносец, официально они боялись за свои данные. Типа чтобы не взломали.
Фантастическая версия - взломать и скомуниздить.
Но думаю все прозаичнее - повод для торга искали.
Но там без вариантов было - мы единственные кто мог сделать, они единственные кто мог купить (с оговорками, но через их голову сложно).
---------- Добавлено 30.03.2017 в 22:46 ----------
апд: в контексте вопроса я имел ввиду быстрый полуавтоматический взлом/тест, без особых навыков и усилий.
мы единственные кто мог сделать
Вы в NASA работаете?
Или единственные, кто мог сделать за озвученный бюджет?
Или там просто ваша поделка, которую только вы в состоянии поддерживать?
Софта много, можно глянуть сюда для начала: https://geekflare.com/online-scan-website-security-vulnerabilities/
добавим https://www.owasp.org/index.php/Category:Vulnerability_Scanning_Tools
Вы в NASA работаете?
Или единственные, кто мог сделать за озвученный бюджет?
Или там просто ваша поделка, которую только вы в состоянии поддерживать?
Это американская компания.
Они обращались к энному количеству разработчиков.
Все говорили им что это принципиально невозможно сделать, и вопрос не в бюджете а в том что задача не решаемая.
Мы согласились. Бюджет назвал клиент.
Мы естественно согласились за верхнюю планку).
ТЗ было ужасным (вернее его не было).
АПИ систем с которыми интегрировались ужасный,
все данные везде забивались задней левой ногой.
Основная сложность была в том чтобы придумать что же именно с этим делать,
потом сложность была выйти за рамки видения заказчика и решать именно потребность заказчика а не его видение.
Ну и на закуску была еще чудесная задача по нормализации того ужаса что они позабивали в первичку. Опечатки, дубли и т.п., учет в совершенно другой системе координат, в общем полный набор нормализации. Причем взять и все остановить, поприделывать везде нормальный SKU (артикул), создать таблицу отождествления 1 к 1 было нереально ибо данные поступают live, плюс основной фишкой было сопоставление исторических данных и текущих. Ну и штат персонала продолжает добавлять номенклатуру исходя из их кривого формата.
Сделали несколько словарей перевода, сделали преобразование в несколько этапов, чтобы даже новая ошибочно забитая позиция попадала более-менее близко к нужному месту, и потом уточнялась...
В общем обычная рутина автоматизации управленческого учета где в основе типовая бесплатная утилита расширенная экселем и такой-то матерью).
Начинали в экселе на один мазагин, выросли в сеть на несколько штатов, а учет остался по старому.
Когда всё сделали - как всегда стало казаться что "ой, а оно вон как оказывается просто, и за что с нас такие деньги дерут?" (ну да, по американским тарифам, факт).
Тогда вопрос решали организационно, до логов за тот период руки дошли только сегодня
Простите, у Вас имбецилы работают, раз при попытках взлома к логам догадываются обратиться через н-ный промежуток времени? Вопрос риторический.
Простите, у Вас имбецилы работают, раз при попытках взлома к логам догадываются обратиться через н-ный промежуток времени? Вопрос риторический.
Имбецилы это те кто дает эмоциональную оценку чужим бизнес-процессам по экспресс-оценке трех строк поста).
Ваша оценка моих умственных способностей сродни оценке нашего решения этим кульхацкером).
Оргвопросы решались оперативно. Даже техдира хостера (спасибо гиперхосту) разбудили для некоторых подробностей.
А читать логи неудавшегося взлома когда автор атаки известен и опознан, и уровень квалификации деятеля - крайне низкий? А смысл? Я бы вообще их не читал, просто вчера добрался до этих логов по другой причине. Выполнял совершенно другие, не связанные с этим инцидентом манипуляции, обратил внимание на одну "странность". Задумался. Предположил что это период того инцидента. Проверил. Да, именно тогда. Раз наткнулся, то прошелся чуть подробнее.
У чувака был по сути полный карт-бланш. Ему не просто выдавали 500 или 403 на его "шалости" а подробно выдавали описание. XsrfException или ActionNotFoundException, да и даже если и ForbiddenException то со стеком дебаг_бектрейса. Т.е. включен подробный лог, включен ДЕВмод с выдачей всех нотисов в браузер и т.п. И чувак ничего не нашел. Совсем ничего.
Что мне было искать в логах?
Сайтов то много есть. На клиентские скрипты сайты регулярно кто-то ломится. Ну что я там найду?)
Ну нашел да. Нашел что ломились по аяксу, ломились с куками, авторизованные, правильно подставили не только права админа (да, у атакующего были админские логино-пароли), но и всякие XSRF-маркеры и т.п. Ничего сложного. Я не специалист по безопасности, я вон не знаю всяких софтов (ну кали линукс конечно знакомое название, но ставить не ставил), но руками я все такое делаю и делал.
Меня смутило что чувак совсем сырой, явно каким-то софтом рыл, а запрос был к месту.
(Механический сканинг виден по времени между запросами и их массовостью, а также то что пробовали через форму заливки файлов скачать /etc/password при этом даже не вытаясь нащупать что-то другое через нее же, хотя ежу понятно что такое только при очень большом везении прокатит, да и "тестировали"/атаковали софт, а не сервер).