Меню
Что нового?

Аудит безопасности

akd

akd

dive now, work later
Команда форума
Человеки, знаю что здесь есть те, кто проводит аудит безопасности.
есть сайт со всякими регистрациями/входами и кучей формочек с самой различной логикой.
интересует цена и условия:
- тесты на проникновение (исходники не предоставляются)
- полный анализ (исходники предоставляются)
- etc, предлагайте схему...

дайте здесь или в личку плизь контакты и цены "от".
или если кто пользовался услугами какого-то аудитора и остался доволен сотрудничеством - скиньте контакты, плизь.
 
DYPA

DYPA

Настоящая dypa (c)
без исходников смысла нет смотреть даже, цена даже хз, зависит от объёмов и говнокодистости... я бы взялся бы от 1000 русских
самая логичная схема -
исходники под руками, тестовый сервер с идентичным окружением + xdebug, доступ к человеку который знает как работает система
 
akd

akd

dive now, work later
Команда форума
без исходников - это стандартный тест на проникновение, как раз не зависит от обьемов кода и говнокодистости.

я ведь не зря написал, что нужен опытный аудитор, который уже занимается такими штуками.
 

Mols

Новичок
вот Вроде больше ничего подобного последнее время не проскакивало.

З.Ы.
Услугами не пользовался))
 
DYPA

DYPA

Настоящая dypa (c)
akd написал(а):
без исходников - это стандартный тест на проникновение, как раз не зависит от обьемов кода и говнокодистости.
я ведь не зря написал, что нужен опытный аудитор, который уже занимается такими штуками.
Нажмите для раскрытия...
стандартный тест это nmap && ab && sqlninja - толку с этого не особо много если проект писали не школьники, гарантий тоже нет при этом варианте :) да и логику особо не потестишь, например для магазина стандартный прикол это купить товар за "-1" рубль, для юзер генерейта - заливка чего нить куда нить, для pma - это иньекция в сессию :)
 
akd

akd

dive now, work later
Команда форума
Mols, спасибо, но как-то блог данного автора больше напоминает рекламную площадку для цмсок :) в любом случае я попробую пообщаться, если никто больше не отзовется, может чего-то и нарешаем с ним.

DYPA, спасибо.
 
DYPA

DYPA

Настоящая dypa (c)
akd написал(а):
Mols, спасибо, но как-то блог данного автора больше напоминает рекламную площадку для цмсок :) в любом случае я попробую пообщаться, если никто больше не отзовется, может чего-то и нарешаем с ним.

DYPA, спасибо.
Нажмите для раскрытия...
а мне блог напомнил man с опеннета...

кстати почему вы так боитесь давать доступ к исходному коду?
 
Single

Single

пилот капсулы
DYPA написал(а):
кстати почему вы так боитесь давать доступ к исходному коду?
Нажмите для раскрытия...
Надо полагать ТС интересуют результаты поверхностного тестирования без доступа к программной части и отдельно аудит программной части.
Раз в год проводим аудит у себя, правдо не под веб.
 
Ирокез

Ирокез

бессмертный пони
Команда форума
Партнер клуба
Можете попробовать Acunetix Web Security Scanner, при аудите платежных систем он используется для удаленного сканирования. Аудит исходного кода, вещь не тривиальная, и зависит от структуры, сложности по, когда-то пытались заказать аудит кода, но цена превзошла в несколько раз критический порог. Мы остановились на таком варианте:
- Внешнее сканирование с помощью Acunetix Web Security Scanner
- Тест на внутренние проникновение (из DMZ) (Nexus)
- компенсационные меры
от анализа кода отказались
 
fixxxer

fixxxer

К.О.
Партнер клуба
Для внешнего сканирования как раз нормальный сканер и надо. В любом случае его надо писать, не ручками же говно в каждую форму слать пытаться :)

Но важно смотреть не только в результаты сканера, но и в php error log (ну или временно включить display_errors, гы гы).
 
Войдите или зарегистрируйтесь для ответа.
Сверху