mboost-dp1
Hacking bestilling (i den gode sags tjeneste)
Til nogle tidligere systemer jeg har været med til at udvikle har jeg og nogle kolleger brugt vennetjenester til at gennemhacke hjemmesiden, for at finde evt. fejl før en ondsindet hacker kommer forbi
Kender i nogle firmaer/personer der udfører det lidt mere organisteret? Med timebetaling eller lignende.. Der skal hackes i ASP hjemmesider, et cms-/crm-system
Kender i nogle firmaer/personer der udfører det lidt mere organisteret? Med timebetaling eller lignende.. Der skal hackes i ASP hjemmesider, et cms-/crm-system
Ha! Med ASP behøver du næppe betale nogle for det. Hell, det behøver ikke engang "hackes" for at gå ned.
Seriøse bud er velkomne, mindre seriøse bud kan i holde for jer selv eller sende til min indbakke, hvis i absolut skal ud med det
Uden at vide noget om det, så vil jeg da tro at det er billigere, altså at firmaet skal bruge mindre timer på det, hvis de bare får udleveret koden, istedet for at skulle sidde og teste nogle ting uden at vide hvilke sårbarheder systemet kunne have.
Jeg går ud fra man kan lave nogle kontrakter, så man ikke behøver at være nervøs for at udleverede noget kildekode som man måske har brugt mange hunderede mandetimer på at udvikle og derfor gerne vil holde hemmelig.
Jeg går ud fra man kan lave nogle kontrakter, så man ikke behøver at være nervøs for at udleverede noget kildekode som man måske har brugt mange hunderede mandetimer på at udvikle og derfor gerne vil holde hemmelig.
#6
Det er to helt forskellige test-metoder, med hver sine fordele og ulemper. At han vælger en såkald "black box test" kan være et fornuftigt og velovervejet valg.
Fx. kan man ved code review nemt komme til at fokusere på det samme, som koden fokuserer på. Dvs. man kigger på det der er kodet, og glemmer det der ikke er kodet.
Hvad sikkerhed angår interesserer jeg mig meget mere for code review, da god kode (en fornuftig arkitektur med god lag-deling osv.) udelukker rigtigt mange problemer, og de typiske problemer (XSS, SQL injection osv.) ofte springer lige i hovedet, når man leder efter dem i koden.
(Eller også er det kodens dårlige kvalitet der springer i øjnene.)
Et problem med code review er at større fejl formentlig ikke bliver rettet, hvis man er kommet langt med projektet. Hvis den er gal med arkitekturen føles det næsten som at starte forfra, og det gør man jo ikke når man er næsten færdig.
Det er to helt forskellige test-metoder, med hver sine fordele og ulemper. At han vælger en såkald "black box test" kan være et fornuftigt og velovervejet valg.
Fx. kan man ved code review nemt komme til at fokusere på det samme, som koden fokuserer på. Dvs. man kigger på det der er kodet, og glemmer det der ikke er kodet.
Hvad sikkerhed angår interesserer jeg mig meget mere for code review, da god kode (en fornuftig arkitektur med god lag-deling osv.) udelukker rigtigt mange problemer, og de typiske problemer (XSS, SQL injection osv.) ofte springer lige i hovedet, når man leder efter dem i koden.
(Eller også er det kodens dårlige kvalitet der springer i øjnene.)
Et problem med code review er at større fejl formentlig ikke bliver rettet, hvis man er kommet langt med projektet. Hvis den er gal med arkitekturen føles det næsten som at starte forfra, og det gør man jo ikke når man er næsten færdig.
8 skrev:http://hackavoid.dk/ lyder lidt som noget du leder efter?
Ligner sån en fake ting, der bare vil ha' penge :/
Det tvivler jeg på, læste første gang om siden på Version2.dk, og mener også at have læst om den på Comon, men er ikke sikker... Har skam også prøvet deres test-ting, hvor man kan få prøve testet sin hjemmeside, og den fandt da også en sql-injection fejl som jeg havde overset.9 skrev:Ligner sån en fake ting, der bare vil ha' penge :/
Sikkerhedsrapport
Hackavoid har fundet en alvorlig sårbarhed på xxxxxxxxx.com, som bl.a. kan benyttes til at indlejre kode på klient-siden.
Dvs. der kan udformes særlige URL's, så der kan køres vilkårlig kode med lokale rettigheder til både at skrive og læse på xxxxxxxxx.com.
Dermed kan jeres brugere bl.a. snydes for login- og kreditkort-oplysninger, cookies og udsættes for online identitetssvindel.
Nedenstående laver en JavaScript pop-up på xxxxxxxxx.com, men det kunne f.eks. have stjålet dine cookies, der kunne give adgang til evt. administrationsmodul m.v.
Altså en sårbarhed med mange anvendelsesmuligheder, som vil kunne ødelægge tilliden til siden.
Du kan læse mere om fejlen her: http://en.wikipedia.org/wiki/Cross-site_scripting eller http://www.cgisecurity.com/articles/xss-faq.shtml
Da der blev bestil en gratis sikkerhedstest er det kun den første sårbarhed der er beskrevet.
Cross-Site Scripting:
------------------------------
SÅRBAR PARAMETER:
id
SÅRBAR URL:
http://xxxxxxxxx.com/forum/xxxxxx.aspx?id=86b3115b...
Forstår du ikke at dette er et sikkerhedshul - kontakt [email protected]
------------------------------
En fejl kommer sjældent alene, så der er højst sandsynligt flere sårbarheder på xxxxxxxxx.com.
Med en fuld sikkerhedstest fra Hackavoid bliver hele hjemmesiden gennemsøgt og samtlige sårbarheder tilsendt i en overskuelig rapport.
Du kan bestille en fuld sikkerhedstest på www.hackavoid.dk.
Med venlig hilsen
Hackavoid.dk
[email protected]
www.hackavoid.dk
Der er flere ting jeg studser over i fremsendte rapport, blandt andet:
Dvs. der kan udformes særlige URL's, så der kan køres vilkårlig kode med lokale rettigheder til både at skrive og læse på xxxxxxxxx.com.
Så, Cross-Site Scripting kan altså afvikle kode der både læser og skriver fra mit website? Right..
Det du lavede var en gratis test. Jeg siger ikke den er fake, men det virker bare som noget den "finder på" for at man skal købe deres produkt.
Man burde teste den på flere forskellige sider for at se om man får det samme resultat.
En fejl kommer sjældent alene, så der er højst sandsynligt flere sårbarheder på xxxxxxxxx.com.
Med en fuld sikkerhedstest fra Hackavoid bliver hele hjemmesiden gennemsøgt og samtlige sårbarheder tilsendt i en overskuelig rapport.
Du kan bestille en fuld sikkerhedstest på www.hackavoid.dk.
Man burde teste den på flere forskellige sider for at se om man får det samme resultat.
#12
Så vidt jeg kan se giver den et helt konkret eksempel på at man kan gøre noget, som man ikke burde kunne gøre. Så er de tjo bare at klikke på det link de giver, og se om det passer.
Den fandt ingen problemer på min hjemmeside (og jeg gider ikke lige prøve mig frem med en hel masse) så jeg kan ikke selv lige lege med det.
Så vidt jeg kan se giver den et helt konkret eksempel på at man kan gøre noget, som man ikke burde kunne gøre. Så er de tjo bare at klikke på det link de giver, og se om det passer.
Den fandt ingen problemer på min hjemmeside (og jeg gider ikke lige prøve mig frem med en hel masse) så jeg kan ikke selv lige lege med det.
Jeg kan lige fortælle lidt om hvad den faktisk gjorde ved min hjemmeside.
Fx. fandt den urlen http://myplace.dk/me/ - hvorefter den prøvede med http://myplace.dk/me%3ci%3e830511/? og http://myplace.dk/me%22830511/?.
Den fandt også http://myplace.dk/wordpress/wp-login.php?action=lo..., og prøvede så med fx. http://myplace.dk/wordpress/wp-login.php?action=lo... og http://myplace.dk/wordpress/wp-login.php?action=%2....
Det ser da ganske fornuftigt ud, synes jeg. Principielt gør vel præcist hvad de lover. Hvor god deres implementering er vil jeg ikke udtale mig om, men fake er det da ikke.
Fx. fandt den urlen http://myplace.dk/me/ - hvorefter den prøvede med http://myplace.dk/me%3ci%3e830511/? og http://myplace.dk/me%22830511/?.
Den fandt også http://myplace.dk/wordpress/wp-login.php?action=lo..., og prøvede så med fx. http://myplace.dk/wordpress/wp-login.php?action=lo... og http://myplace.dk/wordpress/wp-login.php?action=%2....
Det ser da ganske fornuftigt ud, synes jeg. Principielt gør vel præcist hvad de lover. Hvor god deres implementering er vil jeg ikke udtale mig om, men fake er det da ikke.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Tagwall
Gå til bund