Мы к коду не имеет никакого отношения, а парсим интернет на появление информации об уязвимостях и в готовом и хорошо упакованном виде предоставляем эту информацию своим клиентам, дальше уже их дело как реагировать на неё. Задумка такая :)
Т.е. суть идеи - иметь актуальную информацию по уязвимостям ОС, библиотек, компонентов, CMS, плагинов и т.д. в режиме реального времени. В интернете появляется информация об уязвимости - мы это быстро находим и сообщаем вам. Вы сами составляете список своих компонентов, т.е. того ПО, которое надо отслеживать.
можно подробнее? Речь об обновлении CMS?
Давайте рассмотрим другой вариант. Есть, к примеру, WordPress, к нему есть куча плагинов, в них часто ищут уязвимости. Так вот, в сервисе вы указываете свои установленные плагины и по ним получаете информацию об уязвимостях прямо на почту. Такой агрегатор ок?
Да, спасибо, не учел.
Но поверьте, секлаб - это капля в море. Смысл же получить уведомления по интересующему нас софту, а не весь багтрак целиком.
ps спасибо тем, кто голосует ;)
спасибо за вопрос.
вообще изначально думал только про серверные уязвимости, но в целом можно будет чекать и неизвестные CMS, вопрос в целесообразности.
Уязвимости по заданной CMS будут чекаться из открытых источников. Какая вероятность, что такая CMS будет упоминаться? В целом, можно сделать, проблем не вижу.
эти все способы обходятся.. но от скрипт-кидди может и спасет.
проверьте плагины, возможно заливались через них.
Надо смотреть исходники шаблона.
Если у вас есть бекап файлов до заражения, сравните с текущими файлами.
Если хостинг shared, то вполне могли и через соседей поиметь доступ на ваш сайт.
По-хорошему, да - нужен бекап, сравнить файлы, все ли идентично. Посмотреть логи на подозрительную активность.
На данный момент лидирует вариант опроса " Да, у меня СMS, слежу за обновлениями сам, стараюсь своевременно обновляться", на втором месте - ".. есть специальный человек". Чтож, неплохая статистика, правда, хотелось бы иметь б0льшую выборку, количество проголосовавших.
Спасибо за ссылку, посмотрю, но цель, повторюсь, не в поиске клиентов, а в поиске целевой аудитории, её потребностей и нужд.
Solmyr, я понимаю и разделяю Ваш подход, его наверное многие придерживаются. Точнее так, 70-80% клиентов хотят проверить свой сайт на уязвимости не давая исходного кода. Это называется тестирование на проникновение методом черного ящика, эмуляция действий взломщика. Это тоже делаем, но эффективность крайне мала, относительно аудита исходного кода, когда все уязвимости видны на ладони. Но это все детали.
Спасибо за сформулированный вопрос. Я тут недавно понял, что клиенту важнее ответить на вопрос как быстро восстановиться после взлома, чем думать о превентивной защите.
PS "как сделать чтобы когда взломали, это не отразилось негативно на работе проекта" - подумал, что ответ на этот вопрос скорее знаем мы, чем наш потенциальный заказчик. А мне важно понять нужды заказчика. Поправьте, если не прав.
Rodnoi, боюсь мы загадим тему своей личной перепиской :)
Все же, цель опроса - разобраться как обстоят дела в сфере веб-безопасности, а не пиар моего бизнеса :).
Я отвечу Вам в ПМ через некоторое время.
