[zlecę] Sprawdzenie zabezpieczeń portalu, troche wolnego czasu i wiedzy Opcje

[przemex]

Powstaje nowy portal, celem zlecenia jest dokładne sprawdzenie jego zabezpieczeń, zlecenie dla osoby specjalizującej się w atakach i lukach www, oraz ich usunięcia lamerom podającym się za hackerów dziękujemy (z wybranymi osobami będzie przeprowadzona rozmowa telefoniczna sprawdzająca wiedzę)

ZADANIE zarejestrowanie w portalu i sprawdzenie jego luk na ataki:

Zabezpieczenie przed ActiveX, Active Scripting vulnerabilities ,
MIME-type/Content-Type misinterpretation , Buffer Overflows


Register_Globals


Cross-Site Scripting


Zdalne dołączanie pliku (RFI)


SQL Injection


i inne jakie tylko znasz...

Twoim zadaniem nie będzie poprawianie kodu, wystarczy że sprawdzisz portal i podasz i przygotujesz raport opisujący błędy i miejsca luk w kodzie php poparte dowodami ataku, po raporcie nasz programista zweryfikuje poprawki, i przeprowadzisz kolejne ataki gdzie były błędy w celu sprawdzenia czy są dobrze poprawki wykonane

testów może być od 1 do 15 no chyba ze nasz kod jest tak super że nic nie znajdziesz.

Dodatkowo zdasz raport jeżeli gdzieś natrafiłeś na błąd działania portalu.

czyli sprawdzisz ZABEZPIECZENIA + BŁĘDY

sprawa nie jest jakaś super trudna, liczy się poprostu wiedza i trochę czasu wolnego.

OFERTY TYLKO Z CENĄ

PRZEŚLIJ NA E-MAIL axp@prodo.pl DOŚWIADCZENIE I SPIS OSIĄGNIĘĆ W ATAKACH - oczywiście tych legalnych jakie miałeś zlecone.

[Spawnm]

OFERTY TYLKO Z CENĄ ? Nie znam wielkości strony a mam już wycenić , bez jaj.

[nospor]

@Spawnm jako dobry hakier, nadający się do tego zlecenia, powinienes już mieć adres strony i jej kod. Mając to możesz już spokojnie wycenić

a już tak całkiem serio: też mnie zaciekawiło to wycenienie roboty bez znajomości co ma się robić.

ps: no chyba, że chodzi o podanie stawki godzinowej - jak tak to przepraszamy

[erix]

Hmm, ciekawe, czy jest świadom tego, że ceny audytów zwykle nie mają mniej niż 3-4 zera.

[eccocce]

Hmm, ciekawe, czy jest świadom tego, że ceny audytów zwykle nie mają mniej niż 3-4 zera.

(...)
sprawa nie jest jakaś super trudna, liczy się poprostu wiedza i trochę czasu wolnego.
(...)

Swoją drogą sam nie wiem, ile może kosztować audyt strony. Domyślam się, że cena zależy od ilości "miejsc" na stronie, które trzeba sprawdzić, poza tym od wachlarza potencjalnych ataków do sprawdzenia... Na pewno inne podejście jest do strony z gatunku "web 2.0", a inne do autorskiego CMS-a Chętnie poczytam, jeśli ktoś może napisać coś więcej na ten temat.

[wookieb]

Jeżeli jest audyt bezpieczeństwa na podstawie kodu to nie ma bata, musisz przejrzeć prawie wszystko, roboty od cholery i nie ma zlituj. Jeżeli chodzi o zbadanie bez kodu, często wykorzystuje się pewne boty pomagające w sprawdzeniu zabezpieczeń ale człowiek i tak musi kontrolować co one robią i wielokrotnie wpłynąć na ich zachowanie. Generalnie audyt to naprawdę ciężka i odpowiedzialna robota, więc tutaj nie może być takiej komedii jak "zadzwonimy i sprawdzimy co umiesz". Strasznie nie trafiona "oferta".

Ten post edytował wookieb 31.07.2010, 09:39:40

[erix]

Jakie inne podejście (@autor)? Wszędzie sprawdza się to samo.

I audyt, to zwykle kwota, za którą można kupić samochód; jeden skrypt (pozornie nieskomplikowany) był audytowany za kilkukrotność 10k.

Nikt, kto się zajmuje audytami na co dzień, nie będzie tracił czasu na takie ogłoszenie. To Tobie zależy na sprawdzeniu skryptu, a nie komuś, bo audytorzy zwykle nie narzekają na nudy.