Продолжаем работать.
В принципе можно поступить по другому. Человеку с высоким уровнем репутации на данном форуме, мы готовы проанализировать код с оплатой по факту. Т.е. вы получаете отчёт - затем платите деньги.
Сейчас это требование не действует. И оно выдвигалось, только когда мы проводили аудит бесплатно, сейчас мы проводим аудит за деньги и нам абсолютно не важны PR и репутация. Люди которые отписались выше, как видите, всем довольны. И нам в принципе не нужен ваш сайт, вы можете и не говорить, где он находится, нам нужен лишь код и структура базы (не данные!). А вообще подобные обвинения должны чем либо подкрепляться, иначе разговор сводится к "докажи, что ты не верблюд".
Ну и наконец подумайте в чём выгода, желательно в деньгах. Разве шелл на Вашем сайте отобьёт затраты на рекламу, хотя бы на данном форуме. Так же затраты на хостинг/домен и прочие мелочи. Так же можно оценить риски. Ведь после отрицательного отзыва нам пришлось бы всё начинать заново, разве оно того стоит?
Ну а по поводу популярных движков и способах заливки шеллов на них, уж поверьте нам как специалистам, уязвимость в движке даёт возможность залить шеллы не на один десяток, а иногда и не одну сотню сайтов в зависимости от популярности движка. И никакие настройки от этого не спасут, так что простая проверка публичных движков намного удобнее и выгоднее, если наш интерес залить побольше шеллов.
Если для проверки сайта, Вам нужны дополнительные гарантии - предлагайте варианты. Обсудим, думаю договоримся.
А если привести аналогию из интернета, то в таком случае стоит так же бояться хостеров, системных администраторов и программистов-фрилансеров как минимум. Все они получают доступ не только к исходным кодам, но и зачастую к базе данных.
Изначально это требование было указано для того, чтобы отсечь "халявщиков". И относилось это условие только к бесплатной проверке за отзыв. Сейчас, когда проверка платная, этого требования нет.
Получать шеллы таким образом, как минимум нерационально. Куда проще, дешевле и безопаснее - молча анализировать публичные движки, не покупая при этом закрепление темы на серче. :)
Обратите внимание, со времени появления первого отзыва (июнь 2009 года) - жалоб подобного рода не было.
Проверка производится вручную, а отчёт можем предоставить в любом удобном Вам формате. Спасибо за совет по поводу отчёта, возможно перепишем, чтобы не смущать никого. :)
Какие дополнительные модули установлены? Много ли сайтов на этом же сервере, кроме вашего? Встречается ли та же проблема на других сайтах вашего сервера? Есть ли вероятность того, что ссылки установил вирус к примеру логинящийся по фтп и добавляющий свой код, если вы сохраняете пароль в FTP клиентах? (Установлен ли у вас антивирус? Обновляется? Сохраняете пароли на FTP ?) Какие права установлены на файлах шаблонов?
Ну и каков будет результат у такого "анализа" ? Эффективность автоматических сканеров не превышает 70%, и находят они лишь простейшие из уязвимостей. Так же автоматические сканеры плохо работают с областями сайта, закрытыми паролями, и не определяют логические ошибки, когда пользователю по ошибке становятся доступны некоторые права администратора или модератора. Искусственный интеллект ещё не изобрели.
Мало того, любой анализ методом "чёрного ящика" так же не дотягивает до анализа исходных кодов, даже если проводится вручную. И особенно это актуально, если вы разрабатываете скрипт который будет запускаться на многих разных конфигурациях сервера (например: magic_quotes = on/off, register_globals = on/off и т.п.). На всех конфигурациях сканер не запустить.
Но firefox19, предлагаю эксперимент. Мы готовы поступить следующим образом: кто-то сторонний, заинтересованный в наших услугах даёт на анализ небольшой по объёму самописный движок (или просто ищем в сети бесплатный любой), и мы проводим его аудит. Вы прогоняете сканерами, всеми возможными, а потом мы дополнительно проходим руками, и если что-то найдём за сканерами, вы нам это оплачиваете по нашему прайсу.
Как вам такой вариант?
Стоит этих денег именно ручной анализ кода, по поводу отчётов мы уже ответили, они к сожалению принадлежат заказчикам и выложить их мы не можем, но как вы видите недовольных не наблюдается, если вы так-же как и firefox19 считаете, что сканер может сделать лучше, или хотя-бы так-же, то предлагаем и Вам принять участие в выше предложенном эксперименте. (Так же вы, разумеется, можете попросить отчёт у оставивших отзывы)
Было обнуление примерно в 15:00 на одном из сайтов.
CyBase, добрый день. А что вы бы конкретно хотели увидеть? Реальный отчёт мы выложить не можем, так как они принадлежат клиентам. Но в принципе можно попросить отчёт у отписавшихся выше, чтобы выложили в тему или отправили вам в ПМ.
Произошли небольшие корректировки цен: При анализе более 5 мб кода (без учёта картинок, шаблонов и т.п.) берётся предоплата в размере 50 у.е. за 1 мб.
