Witam.Poszukuję kogoś, kto wskazałby mi dziury w sklepie opartym o projekt oscommerce.Jeśli ktoś byłby zainteresowany pomocą to proszę o kontakt na gadu lub e-mail (PW)
Pozdrawiam
marrrecki
następny:
zapłacę, tylko niech ktoś pomoże.
Witam.Poszukuję kogoś, kto wskazałby mi dziury w sklepie opartym o projekt oscommerce.Jeśli ktoś byłby zainteresowany pomocą to proszę o kontakt na gadu lub e-mail (PW)
Pozdrawiam
marrrecki
następny:
zapłacę, tylko niech ktoś pomoże.
Ostatnio edytowane przez eMCe : 05-02-2007 - 06:26
ok połączyłem posty! - jest opcja edytuj...
hihi nio ja się nie podejmę - ale nawrzucaj komuś i podaj link :d będziesz miał na bank testowanie zabezpieczeń hihi (żart jakby ktoś nie zrozumiał - bo będzie ze modelator kląć pozwolił )
Agencja reklamy kielce (mały kilkudniowy case pozycjonerski )
Gdybym mial nieco wiecej czasu to czemu nie tylko moje wymagania sa bardzo konkretne...
1. Pisemne oswiadczenie o zgodzie na przeprowadzenie testu penetracyjnego z okresleniem zakresu testu - system, oprogramowanie, urzadzenia sieciowe itd.
2. Pisemne oswiadczenie o rezygnacji z wszelkich roszczen w wypadku uszkodzenia lub zniszczenia danych znajdujacych sie na testowanym serwerze (moze byc razem z pkt.1 -
3. Dokumenty poswiadczajace ze osoba ktora to wystawia jest tym za kogo sie podaje i ze jest wlascicielem domeny/serwera/hostingu.
4. Jesli hosting to powiadomienie firmy hostujacej o tescie i uzyskanie zgody na pismie - nawet jesli mam testowac tylko software...
Zanim ktos sie podejmie czegokolwiek w tym stylu - proponuje zebrac dokumenty jak wyzej. Lista ktora podalem to to co mi przyszlo do glowy tak na szybko, jest tego jeszcze kilka pozycji jak sadze ale te sa bardzo wazne...
Znam przypadki gdzie ktos podjal sie przeprowadzenia testow tego typu, cos padlo (strona, baza uzytkownika, itd) a pozniej sie okazalo ze 'zamawiajacy usluge' zmienil zdanie i przez to ze oswiadczenie nie specyfikowalo dokladnie o co chodzilo w testowaniu zabezpieczen (brak jasno okreslonego zakresu i dopuszczalnych metod) pen-tester byl ciagany po sadach aby uzyskac odszkodowanie.
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)
Nie wiedziałem że można dokonać aż takich spustoszeń. Interesuje mnie sprawdzenie i wychwycenie dziur które umożliwiłyby:
- usunięcie plików z serwera
- usunięcie bazy danych
- zmiany w bazie danych
- podmiany plików
- pobrania danych z bazy danych (np info o użytkownikach)
- rozsyłanie spamu przez roboty
sklep (bo o sklep się rozchodzi) stoi na serwerze home.pl i niestety nie mogę tutaj ręczyć, że jak ktoś spieprzy serwer to że home.pl się nie przyczepi, ale samo zniszczenie sklepu (kilkudziesięciokrotne, kilkusetkrotne, itd...) jest chyba jak najbardziej naturalne podczas takiego testowania i jestem na to przygotowany.Jestem też w stanie podpisać umowę z osobą tego się podejmującą.
Bardzo mi na tym zależy. Linku nie podam na forum bo tak jak ktoś już powiedział - "będziesz miał na bank testowanie zabezpieczeń" - a ja chciałbym współpracować z tym "kimś" i wiedzieć gdzie jest dziura i jak ją załatać.
Moj kom: 603-632-998
moje gadu: 715389
PS. sklep jest postawiony na bazie oscommerce.
czyli to co tygryski lubia najbardziej... usuniecie plikow z serwera - kwestia dobrze ustawionych uprawnien i hasel... usuniecie bazy danych - tu moze byc zabawa SQL injection, zmiany w bazie - to samo, podmiany plikow - czy oscommerce pozwala na wgyrwanie plikow przez stronke (pytanie retoryczne), pobranie bazy - sql injection, command injection, rozsylanie spamu hmmm... tez cos sie znajdzie...
Czy oscommerce jest podatne na te ataki - nie testowalem do tej pory, po prostu nikt ze znajomych sie nie bawil tym
Sprawy formalne to podstawa (w tym zgoda home.pl), pozostale kwestie to temat drugiej kategorii ... no i kwestia czasu, ktorego teraz na pewno nie mam (i tak bedzie najblizsze 10 tygodni jeszcze)...
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)
najlepiej ustaw 20 znakowe chasło do ftp i bazy - przez brute force przynajmiej nikt sie niewłamie