Witam,

Ostatnio na jednym z serwerów przeprowadzone ataki typu netsparker i wszystko byłoby ok gdyby nie skrypt "szukaj" który generuje za duży ruch na serwerze.
Nie mam doświadczenia w budowaniu strony, a firma która napisała stronę twierdzi, ze z ich strony wszystko jest ok i to ja mam lepiej zabezpieczyć serwer.
Moje pytanie brzmi czy mają racje z tym, czy wina leży po ich stronie, bo wydaje mi się, że jeśli baza danych ma powyżej 100 tys rekordów to skrypt szukania musi być odpowiedni napisany i nie jestem tego wstanie zabezpieczyć pod względem serwera, bo jak ?
Jakie metody zabezpieczenia są używane przy takich rozbudowanych bazach ?
Czy jeśli atak mam również na pliki graficzne to faktycznie jestem wstanie zabezpieczyć to z poziomu serwera ?

Jesli oni napisali nedzny skrypt wyszukiwania to z pewnoscia czesc winy mozna zwalic na nich.

Jedyne rozwiązanie jakie mi przychodzi to kod do przepisania lub reCaptcha + odpowiednie indeksy na bazę żeby przyspieszyć wyszukiwanie

Twój post jest w stylu: "Ktoś mi zrobił kuku, podam ich do sądu"

Co to za serwery, kto tym administruje, jeśli wasz sysadmin to gdzie jest dokładnie problem
Co to za skrypt, co się dzieje, jakie są objawy
Netsparker to jest aplikacja do szukania dziur w web-aplikacjach. Ot pewnie przeczesuje formularze itp. pod kątem *injection więc to nie tu bym szukał problemu.
Skoro ktoś użył tego narzędzia to i dostał wyniki więc powienieneś wiedzieć czy, gdzie i jakie są podatności.

Prosisz o powróżenie z fusów? Jeśli nie masz zaplecza to jedyną sensowną drogą jest zrobienie jakiegoś audytu i znalezienie przyczyny, wydanie opinii i ew. roszczenie do autorów skryptu.

1. Poprawa zapytania SQL, zapewne problemy z grupowaniem, którego powinno być jak najmniej
2. Założenie indeksów na tabelach
3. Cache (zapisywanie wyników wyszukiwania do momentu zmiany zawartości / treści strony)