-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
Проверка чужого скрипта на вшивость
- Автор темы SCR
- Дата начала
The employer
Новичок
В общем виде эта задача не решается даже силами команды программистов. Поэтому решение такой задачи - не программистская работа.
Надо смотреть на подписанные с программистом юридически обязывающие документы. В частности, как приложение - листинг того самого кода (да, несколько пачек бумаги). И подписанный NDA, конечно.
А если разработчик не хочет подписывать свой код - это как раз таки звоночек. И мне страшно любопытно - что Вы будете в таком случае делать? Использовать мегабайты кода на свой страх и риск, или выбрасывать этот код целиком?
Надо смотреть на подписанные с программистом юридически обязывающие документы. В частности, как приложение - листинг того самого кода (да, несколько пачек бумаги). И подписанный NDA, конечно.
А если разработчик не хочет подписывать свой код - это как раз таки звоночек. И мне страшно любопытно - что Вы будете в таком случае делать? Использовать мегабайты кода на свой страх и риск, или выбрасывать этот код целиком?
Mandor
Новичок
Я бы потратил время на следующее:
- Проверка входных данных. Очевидно, что для того чтобы запустить скрытый код нужно передать скриптам какие-то данные (есть еще вариант что скрытый код сработает сам при определенных обстоятельствах), т.е. мы можем: 1. ограничить входные данные, 2. анализировать и логгировать подозрительные.
- Бегло проверить код на наличие функций: eval, create_function, include, require - нужно удостовериться, что внешний пользователь не сможет запустить динамически сгенерированный им же код и не сможет "заинклюдить" файл по имени, генерируемому по входным данным.
- Проверить скрипты аплоада файлов. Нельзя заливать что угодно и куда угодно.
- Имеет смысл проверить критичные для безопасности sql-запросы (например, к таблице пользователей-паролей) и вообще поискать такие запросы по всему проекту (например, по имени таблицы, хотя его не составит труда зашифровать).
На все это не стоит тратить времени более 1-2 часов, т.к. в принципе эта задача по простому не решается, просто есть шанс, что вам повезет.
TutanXamoN
Новичок
Mr_Max
+100)
+100)
что ты гонишь херьню всякую про предупреждения... если ты попробуешь на практике кого-нибудь "предупредить" - у тебя все программеры на завтра же на работу не выйдут
-~{}~ 20.07.09 17:24:
по теме:
1. можно провести анализ логов и составить жесткие рерайт-правила на переменные (через GET вызвать бекдор или просто незлонамеренную дырку в последствии - не получится). С POST и прочими REQUEST - чуть сложнее, но идея аналогичная.
2. можно провести аналоз обращения к диску через FILEMON и создать список допустимых файлов. Далее: либо ловить за доступ в запрещенную область, либо целиком отключить чтение/запись там, где не надо.
3. Грамотно настраиваем сервер, чтобы максимально ограничить в правах веб-сервер. Взлом - должен закончится только на самом сайте, не отразившись на соседних ресурсах (базы, сайты, севые ресурсы и т.д.)
4. Мониторим попытки вызвать сетевые функции (скачка, DNS, и т.д.) - блокируем или логируем.
и т.д. можно навыдумывать много ограничений. И чайниковские бекдоры не прокатят.
-~{}~ 20.07.09 17:24:
по теме:
1. можно провести анализ логов и составить жесткие рерайт-правила на переменные (через GET вызвать бекдор или просто незлонамеренную дырку в последствии - не получится). С POST и прочими REQUEST - чуть сложнее, но идея аналогичная.
2. можно провести аналоз обращения к диску через FILEMON и создать список допустимых файлов. Далее: либо ловить за доступ в запрещенную область, либо целиком отключить чтение/запись там, где не надо.
3. Грамотно настраиваем сервер, чтобы максимально ограничить в правах веб-сервер. Взлом - должен закончится только на самом сайте, не отразившись на соседних ресурсах (базы, сайты, севые ресурсы и т.д.)
4. Мониторим попытки вызвать сетевые функции (скачка, DNS, и т.д.) - блокируем или логируем.
и т.д. можно навыдумывать много ограничений. И чайниковские бекдоры не прокатят.
vovanium
Новичок
DiMA
Не только предупредят, еще и расписаться заставят о прослушанном предупреждении. Конечно про полоний это шутка, но то что предупреждают об ответственности, это 100%, и ничего смертельного в этом нет. А что касается программеров которые не выйдут, так тут как бы фрилансеры которые ни за что не отвечают и не нужны.
Ты никогда не работал с конфиденциальными данными?
Не только предупредят, еще и расписаться заставят о прослушанном предупреждении. Конечно про полоний это шутка, но то что предупреждают об ответственности, это 100%, и ничего смертельного в этом нет. А что касается программеров которые не выйдут, так тут как бы фрилансеры которые ни за что не отвечают и не нужны.