Как защитить сайт от взлома обиженным исполнителем

  1. Weblancer
  2. Форум фрилансеров
  3. Программирование
Юрий В.
1013 сообщений
#15 лет назад
Цитата ("Wolodya"):
CreoShopCms, Да я использую его заготовку


Т.е. Вы ему не оплатили и используете его же наработку? Я думаю, что это неверно.

Цитата ("AlexsimA"):
Вообще я среди ваших проектов не увидела, что вы кого-то выбрали. Это - ошибка. Платежи платежами, но нужно выбрать исполнителя - чтоб потом можно было какие-то претензии предъявлять.


Если это так, так как Вы можете отрицательный отзыв поставить то?
Гость
39 сообщений
#15 лет назад
ArtPro, да я потерял намного больше на самом деле. и во времени и в деньгах.... с самолетом правильный пример.
Гость
39 сообщений
#15 лет назад
CreoShopCms, это было не на этом ресурсе
Гость
39 сообщений
#15 лет назад
Anexroid, Благодарю за комент пока вроде самый толковый из всех
Владимир Ф.
1322 сообщения
#15 лет назад
ArtPro, эти байки свои про потерю денег оставьте школьникам.
Если прямо в договоре не оговорено, что за невыполнение определенных условий договора следует определенная санкция, то права использовать работу нет.

Или вы в такси тоже если машина опаздывает, таки дожидаетесь ее и требуете возить вас бесплатно 2 дня приговаривая "я на самолет опоздал, давай мне компенсируй стоимость билета" ?
Юрий В.
1013 сообщений
#15 лет назад
Цитата ("Wolodya"):
CreoShopCms, это было не на этом ресурсе


а может все было иначе? Вы развели человека на создание сайта. Не заплатили и теперь думаете как обезопасить себя? Не заплатили - так не используйте что сделано.
Дмитрий Войциховский
2128 сообщений
#15 лет назад
AlexsimA, по новой версии еще информации мало, по старым уязвимостям - ссылке в гугле и.т.п.



Гость
39 сообщений
#15 лет назад
vovan_f, еще раз тема про взлом, а тема потерь - можете открыть топик рядом, но здесь прошу не флудить.
Владимир Ф.
1322 сообщения
#15 лет назад
Wolodya, да банально бэкдоры оставил и все.
Кривая/некривая разницы нет. Гарантии то, что их нет, никто не даст.
Ищите..
Гость
39 сообщений
#15 лет назад
CreoShopCms, человек получил аванс, заключил договр и его не выполнил, 2 недели клянчил, чтобы я ему перевел средства по безопаске, тогда он соизволит закончить то, что было прописано в тз и оформлено договором. я рассторг договор с ним. у него остался аванс, который по сути - по договору он обязан вернуть, но возвращать не хочет. мне кажеся, что это не нормальная ситуация. арбитраж деньги по безопаске мне вернул, согласившись с моими доводами.

но тема не про это. а тема как обезопасить сайт от угроз.
Евгений Б.
5330 сообщений
#15 лет назад
Цитата ("vovan_f"):
Или вы в такси тоже если машина опаздывает, таки дожидаетесь ее и требуете возить вас бесплатно 2 дня приговаривая "я на самолет опоздал, давай мне компенсируй стоимость билета" ?

если Вы внесли предоплату за такси, то имеете право требовать компенсацию. таксист обещал вам довести до аэропорта за 2 часа, а довез за 4 и вы пролетели - виноват таксист.
в проектах есть четкие сроки. Вы подписались на срок - будьте добры его выполнить или ответить за свои слова.
считайте, что штраф на просрочку (а он прописан и в ТК РФ, например) полностью съел оплату работы.
Евгений Б.
5330 сообщений
#15 лет назад
Цитата ("Wolodya"):
но тема не про это. а тема как обезопасить сайт от угроз.

большие пароли, аудит, бэкап.
Гость
39 сообщений
#15 лет назад
ArtPro, по аудиту безопасности какой разброс цен примерно?
Гость
39 сообщений
#15 лет назад
vovan_f, аудит безопасности бэкдоры выявляет?
Евгений Б.
5330 сообщений
#15 лет назад
Цитата ("Wolodya"):
ArtPro, по аудиту безопасности какой разброс цен примерно?

CMS стандартная? если да. то надо смотреть какая и баг репорт вычитывать на предмет уязвимостей
есть нечто свое на фреймворке, то реально можно сервант настроить красиво.
Юрьевич К.
328 сообщений
#15 лет назад
"против взлома нет приёма" (с)

взломать джумлу как движок через дыры - очень сложно. Это раз.
возможно лишь искать недочёты и уязвимости в других ёё компонентах, например, регистрация или забытый доступ по фтп или шеллы или неудалённая папка инсталлейшен, некачественный хостинг который можно легко задосить или уязвимости самого хостинга.... и так далее.

Если ликвидируете подобные недочёты на вашем портале, то шанс что джумлу поломают - процентов 10-15.
Юрьевич К.
328 сообщений
#15 лет назад
Цитата ("ArtPro"):
большие пароли, аудит, бэкап.


большие пароли до ж%пы большие пароли были в моде в конце 80-х начале 90-х прошлого века, когда небыло иных средств взлома, кроме как подбор по словарю... и даже сейчас если посмотреть фильмы компьютерной тематики 80х годов прошлого века, то там вечно на дисплее когда что-то взламывают быстро листаются символы.... тоесть подбор. Поэтому и был стериотип, что чем больше пароль - тем надёжнее.

СЕЙЧАС будь то пароль из 4-х цыферок - длинна хеша такая же, как и у пароля из 100500 символов. Если даже пароль из 6ти символов но там присутствуют цифры и буквы разного регистра - то чтобы подобрать такой пароль машине в 3 гигагерца понадобиться знаете сколько...??

- лет 300.


поэтому подбор паролей - прошлый век.
Евгений Б.
5330 сообщений
#15 лет назад
Цитата ("bushmaster"):
взломать джумлу как движок через дыры - очень сложно. Это раз.
возможно лишь искать недочёты и уязвимости в других ёё компонентах, например, регистрация или забытый доступ по фтп или шеллы или неудалённая папка инсталлейшен, некачественный хостинг который можно легко задосить или уязвимости самого хостинга.... и так далее.

нормальный хостинг валить ддосом дорого очень.

а если говорить про джумлу.. если стоит соби2, то 5 минут на проверку и если версия не исправленная, то пару строк и вуаля. если сервант позволяет, то можно вытянуть все что угодно. в реальности при использовании фреймворка, когда в "паблике" только index.php висит ... остальное все блокируется на запись (за исключениями), пишутся обработчики расширений, что бы вместо картинок php нельзя было загрузить.. ну и т.п. фигня, на которую уходит тупо много времени
Артем Л.
11416 сообщений
#15 лет назад
Сломать можно все что угодно. Это вопрос цены и времени. Но не думаю что у исполнителя есть такие возможности раз он не смог даже элементарные вещи доделать...
Цитата ("bushmaster"):
Если ликвидируете подобные недочёты на вашем портале, то шанс что джумлу поломают - процентов 10-15.

Может и меньше...
Евгений Б.
5330 сообщений
#15 лет назад
Цитата ("bushmaster"):
СЕЙЧАС будь то пароль из 4-х цыферок - длинна хеша такая же, как и у пароля из 100500 символов. Если даже пароль из 6ти символов но там присутствуют цифры и буквы разного регистра - то чтобы подобрать такой пароль машине в 3 гигагерца понадобиться знаете сколько...??

а нафига мне хэш??

какой стандартный логин в джумле?? или WP ??? admin ??
ну дак длина в 4 символа перебирается .. ну пару часов. с учетом того, что бот картинки не грузит и ломает сессию без получения полной страницы ответа + страница логина небольшая по весу..
на выделенном серванте если стоит сайт, то гнать пароли можно в десятки потоков. для начала словарь в двух кодировках (русские слова англобуквами), а потом и полный перебор. ночью админы спят, нагрузка на сайт минимальна, а когда увидишь что нагрузка по ночам большая, то уже и пароль ушел. закинуть в дальние концы папок sqlbuddy какой нить - дело 5 минут. и потом думай, а откуда у конкурентов твоя инфа.
Первая
1234
Последняя