Pokaż wyniki 1 do 7 z 7

Temat: poszukuję osoby do przetestowania zabezpieczeń

  1. #1
    Zarejestrowany
    Apr 2007
    Skąd
    Lublin
    Postów
    2

    Domyślnie

    Witam.Poszukuję kogoś, kto wskazałby mi dziury w sklepie opartym o projekt oscommerce.Jeśli ktoś byłby zainteresowany pomocą to proszę o kontakt na gadu lub e-mail (PW)

    Pozdrawiam
    marrrecki
    następny:
    zapłacę, tylko niech ktoś pomoże.
    Ostatnio edytowane przez eMCe : 05-02-2007 - 06:26

  2. #2
    Zarejestrowany
    Dec 2006
    Skąd
    Kielce
    Postów
    1,767

    Domyślnie

    ok połączyłem posty! - jest opcja edytuj...

    hihi nio ja się nie podejmę - ale nawrzucaj komuś i podaj link :d będziesz miał na bank testowanie zabezpieczeń hihi (żart jakby ktoś nie zrozumiał - bo będzie ze modelator kląć pozwolił )
    Agencja reklamy kielce (mały kilkudniowy case pozycjonerski )

  3. #3
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Gdybym mial nieco wiecej czasu to czemu nie tylko moje wymagania sa bardzo konkretne...

    1. Pisemne oswiadczenie o zgodzie na przeprowadzenie testu penetracyjnego z okresleniem zakresu testu - system, oprogramowanie, urzadzenia sieciowe itd.
    2. Pisemne oswiadczenie o rezygnacji z wszelkich roszczen w wypadku uszkodzenia lub zniszczenia danych znajdujacych sie na testowanym serwerze (moze byc razem z pkt.1 -
    3. Dokumenty poswiadczajace ze osoba ktora to wystawia jest tym za kogo sie podaje i ze jest wlascicielem domeny/serwera/hostingu.
    4. Jesli hosting to powiadomienie firmy hostujacej o tescie i uzyskanie zgody na pismie - nawet jesli mam testowac tylko software...

    Zanim ktos sie podejmie czegokolwiek w tym stylu - proponuje zebrac dokumenty jak wyzej. Lista ktora podalem to to co mi przyszlo do glowy tak na szybko, jest tego jeszcze kilka pozycji jak sadze ale te sa bardzo wazne...

    Znam przypadki gdzie ktos podjal sie przeprowadzenia testow tego typu, cos padlo (strona, baza uzytkownika, itd) a pozniej sie okazalo ze 'zamawiajacy usluge' zmienil zdanie i przez to ze oswiadczenie nie specyfikowalo dokladnie o co chodzilo w testowaniu zabezpieczen (brak jasno okreslonego zakresu i dopuszczalnych metod) pen-tester byl ciagany po sadach aby uzyskac odszkodowanie.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  4. Domyślnie

    Cytat Napisał tqm Zobacz post
    Gdybym mial nieco wiecej czasu to czemu nie tylko moje wymagania sa bardzo konkretne...

    1. Pisemne oswiadczenie o zgodzie na przeprowadzenie testu penetracyjnego z okresleniem zakresu testu - system, oprogramowanie, urzadzenia sieciowe itd.
    Odpowiedział? ;-)

  5. #5
    Zarejestrowany
    Apr 2007
    Skąd
    Lublin
    Postów
    2

    Domyślnie

    Nie wiedziałem że można dokonać aż takich spustoszeń. Interesuje mnie sprawdzenie i wychwycenie dziur które umożliwiłyby:
    - usunięcie plików z serwera
    - usunięcie bazy danych
    - zmiany w bazie danych
    - podmiany plików
    - pobrania danych z bazy danych (np info o użytkownikach)
    - rozsyłanie spamu przez roboty

    sklep (bo o sklep się rozchodzi) stoi na serwerze home.pl i niestety nie mogę tutaj ręczyć, że jak ktoś spieprzy serwer to że home.pl się nie przyczepi, ale samo zniszczenie sklepu (kilkudziesięciokrotne, kilkusetkrotne, itd...) jest chyba jak najbardziej naturalne podczas takiego testowania i jestem na to przygotowany.Jestem też w stanie podpisać umowę z osobą tego się podejmującą.

    Bardzo mi na tym zależy. Linku nie podam na forum bo tak jak ktoś już powiedział - "będziesz miał na bank testowanie zabezpieczeń" - a ja chciałbym współpracować z tym "kimś" i wiedzieć gdzie jest dziura i jak ją załatać.

    Moj kom: 603-632-998
    moje gadu: 715389



    PS. sklep jest postawiony na bazie oscommerce.

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Cytat Napisał marrrecki Zobacz post
    Nie wiedziałem że można dokonać aż takich spustoszeń. Interesuje mnie sprawdzenie i wychwycenie dziur które umożliwiłyby:
    - usunięcie plików z serwera
    - usunięcie bazy danych
    - zmiany w bazie danych
    - podmiany plików
    - pobrania danych z bazy danych (np info o użytkownikach)
    - rozsyłanie spamu przez roboty
    czyli to co tygryski lubia najbardziej... usuniecie plikow z serwera - kwestia dobrze ustawionych uprawnien i hasel... usuniecie bazy danych - tu moze byc zabawa SQL injection, zmiany w bazie - to samo, podmiany plikow - czy oscommerce pozwala na wgyrwanie plikow przez stronke (pytanie retoryczne), pobranie bazy - sql injection, command injection, rozsylanie spamu hmmm... tez cos sie znajdzie...

    Czy oscommerce jest podatne na te ataki - nie testowalem do tej pory, po prostu nikt ze znajomych sie nie bawil tym

    Sprawy formalne to podstawa (w tym zgoda home.pl), pozostale kwestie to temat drugiej kategorii ... no i kwestia czasu, ktorego teraz na pewno nie mam (i tak bedzie najblizsze 10 tygodni jeszcze)...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  7. #7
    Zarejestrowany
    Dec 2006
    Skąd
    polsza
    Postów
    747

    Domyślnie

    najlepiej ustaw 20 znakowe chasło do ftp i bazy - przez brute force przynajmiej nikt sie niewłamie

Podobne wątki

  1. Osoby online
    By ignat in forum HTML/DHTML/XHTML
    Odpowiedzi: 30
    Autor: 04-15-2007, 01:01

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj