- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
VK приобрела 70% в структуре компании-разработчика red_mad_robot
Которая участвовала в создании RuStore
Оксана Мамчуева
Переиграть и победить: как анализировать конкурентов для продвижения сайта
С помощью Ahrefs
Александр Шестаков
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Простите, у Вас имбецилы работают, раз при попытках взлома к логам догадываются обратиться через н-ный промежуток времени? Вопрос риторический.
Какой-то аргумент уровня олигофрена. Если тестируют не продакшн сервер, а тот, где развернут тестовый хост, то каковы должны быть действия? Допустим, софт генерирует по 10 запросов в секунду, проверяя на SQL инъекции, XSRF, XSS и прочее. Вы в это время смотрите файл логов on-the-fly и вносите хот-фиксы в ваше приложение быстрее, чем сканер успеет прощупать дыру?
Если кто-то запустил тест, остается только налить себе кофе и смотреть что у них выйдет. Рыпаться бесполезно.
И да, если запустить тест и не предупредить владельца, то вряд ли он вообще узнает что его сайт тестили. Можно, конечно, по каким-то флагам (например тест на SQL палиться по комментам в запросе и кавычкам) определять попытки взлома и в админке показать уведомление. Но беда в том, что в интернете так много сканнеров а дыры, что вы просто будете не успевать закрывать эти уведомления. Кто те логи смотрит то. Их смотрят раз в неделю-две, и то параноики. В остальных случаях, постфактум, чтобы провести инвестигейшн, и наказать виновных, или узнать почему сервак упал.
Все говорили им что это принципиально невозможно сделать, и вопрос не в бюджете а в том что задача не решаемая.
то что вы описали ниже - достаточно простая и типичная задача с кучей рутинной работы ;)
то что вы описали ниже - достаточно простая и типичная задача с кучей рутинной работы
Да там кода от силы 5% работы.
Там реально ад был расшифровать потребности.
Ну и специфика, специфика, специфика.
А выудить специфику бизнеспроцессов плохоорганизованной иностранной торговой сети (с многоуровневой франшизообразной структурой, собственным небольшим производством и т.п.) - по скайпу, из топманагеров с гуманитарным складом ума - та еще задача.
Но беда в том, что в интернете так много сканнеров а дыры, что вы просто будете не успевать закрывать эти уведомления.
Именно. У меня на боевых бывает отдельный лог чисто фактов атаки, без расшифровки, где чисто колво исключений в разрезе по типу, в час.
Закончил разбор полетов).
Таки не даром.
Действительно ляп нашел. Действительно не значительный, поскольку и до него и после него по пару эшелонов, но сам факт.
Вот такой ляп пропустили:
Пропустили потому что после оно все равно фильтруется, да и доступно только root-admin, но тем не менее ляп адский.
По горячим следам нашел в коде еще пару случаев где такая же лажа.
По результатам разборов психанул и добавил сахарную функцию haveStr($str, $needle).