Есть продукт (CMS, например). Надо проверить на предмет безопасности (XSS, SQL Injection, etc) профессионалами (хакерами со стажем . Есть профессиональные конторы, которые у нас этим занимаются? Кто-нибудь сталкивался с подобной задачей?

а зачем для этого проф.конторы? тут много ума не надо, на самом деле. Если все входящие переменные проверены, сервер ошибки не отдаёт, на стороне клиента ничо важного с политикой безопасности не происходит - то всё будет хорошо.

bE(o0L, красиво излагаешь. Есть только два нюанса:

1) не сказано, как убедиться, что "все входящие переменные проверены, сервер ошибки не отдаёт, на стороне клиента ничо важного с политикой безопасности не происходит"
2) Перечисленные пункты не гарантируют безопасности.

По вопросу, который задал gregzem:

1) Контор, которые специализировались исключительно на тестировании безопасности и делали это профессионально, лично я не знаю. Никогда не слышал о таких.
2) Стоимость полноценного аудита безопасности может (и наверняка будет) превышать стоимость разработки системы. В более дешовом варианта вы можете получить вердикт "рекомендуется выполнить перепроектирование и повторную реализацию таких-то модулей ввиду того, что в нынешнем виде они потенциально небезопасны"
3) Безопасностью надо заниматься ДО разработки, а не ПОСЛЕ.

Crazy, если с конструктивом и примерами, то я резко превращусь в ту самую контору. Я перечислил самые-самые искушенные, на мой взгляд, для горе-хацкеров.

p.s.
а вообще, никто не проверит безопасность лучше чем круглый дурень или секретарша.

Цитата:

а вообще, никто не проверит безопасность лучше чем круглый дурень или секретарша.

о дааааа!!!

bE(o0L писал(а):

Crazy, если с конструктивом и примерами

С конструктивом и примерами что?

Цитата:

а вообще, никто не проверит безопасность лучше чем круглый дурень или секретарша.

Это тоже ошибка. Часть уязвимостей (обычно -- особенно неприятных) требует для своего использования знакомство с кодом и структурами данных.

Crazy, что что?

Цитата:

Это тоже ошибка. Часть уязвимостей (обычно -- особенно неприятных) требует для своего использования знакомство с кодом и структурами данных.

это всё здорово - но ИМ пофиг на структуры и код.

gregzem,
можно бросить задачку на сайтах типа веблансер и фриланс, задачи типа "тестирование" появляются там регулярно, думаю там немало людей неоднократно учавствовавших в подобном, лично я учавствовал в подобном тестировании уже дважды.

"Тяжелых" ошибок конечно подобное тестирование наверняка выявит мало, а вот мелких большую часть можно выявить.

bE(o0L писал(а):

что что?

К какому существительному относится оборот "если с конструктивом и примерами"?

Цитата:

это всё здорово - но ИМ пофиг на структуры и код.

Кто такие эти "они", которым "пофиг на структуры и код"?

Crazy писал(а):

По вопросу, который задал gregzem: 1) Контор, которые специализировались исключительно на тестировании безопасности и делали это профессионально, лично я не знаю. Никогда не слышал о таких.

Увы тоже не смог найти. Поэтому и спросил.

Crazy писал(а):

2) Стоимость полноценного аудита безопасности может (и наверняка будет) превышать стоимость разработки системы. В более дешовом варианта вы можете получить вердикт "рекомендуется выполнить перепроектирование и повторную реализацию таких-то модулей ввиду того, что в нынешнем виде они потенциально небезопасны"

Аудит безопасности системы предполагает

1. анализ исходного кода
2. составление тест-кейсов/тестирование (причем из двух частей, общее тестирование безопасности на основе типовых уязвимых мест и тестирование специфических вещей, на основе анализа исходного кода)

Crazy писал(а):

3) Безопасностью надо заниматься ДО разработки, а не ПОСЛЕ.

Опрометчивое заявление. Безопасностью надо заниматься и до, и в процессе, и после. На этапе архитектурного проектирования безопасность задается в виде usecase'ов, на этапе имплементации - выполняется контроль за тем, что пишется, а на этапе тестирования - (именно ЭТО меня в данный момент интересует) - проверяется все то, что сделано.

Я не хочу отдавать продукт на тестирование доморощенному хакеру, начитавшемуся журнала "хакер" и форумов. Потому что я знаю, каков будет результат (думаю, практически никто из них не владеет методологией тестирования и не смогут выполнить весь объем работы по проверке уязвимостей), хотя что-то, наверняка, они и смогут найти.

Что касается денег - стоить оно вряд ли будет дороже разработки самого продукта хотя бы потому, что стоимость часа работы тестера примерно в два раза ниже стоимости часа работы системного архитектора и инженера-программиста.

В общем, ответы я услышал. Понял, что никто не знает эти конторы. Жаль. Попробую поискать еще в офлайне.

Всем спасибо.

gregzem писал(а):

Что касается денег - стоить оно вряд ли будет дороже разработки самого продукта хотя бы потому, что стоимость часа работы тестера примерно в два раза ниже стоимости часа работы системного архитектора и инженера-программиста.

Аудит делают не тестеры. Аудит начинается с работы аналитика и архитектора.

Crazy,
1 я думаю, всё ты понял и уточнения лишние.
2 в противном случае следует попытаться перечитать всё вышесказанное.
3 goto 2

gregzem, Проверить безопасность твоих скриптов, сможет любой маломальский веб-программист, умеющий грамотно настраивать httpd.conf, php.ini, знающий SQL и не пугающийся просмотра логов апача. А если ещё может открыть сокет и послать пакет то вообще хорошо. (мы ведь о безопасности сайта?)
Если заморачиваться с архитектором и аналитиком, то во первых выложишь кучу бабла за распальцовку горе-спецов, начитавшихся книжек, написанных такими же чудаками. Во вторых потратишь кучу времени, пересылая исходники туда-сюда. В третьих, всю работу будет делать тот самый чел, которого я описал, только через кучу посредников. В этоге, получишь вердикт типа такого: "У вас всё плохо, за доп. плату у нас всё сделают как надо"

Тыб выложил на куче форумов своё творение, и кинул клич - кто сломает, тому $пиво. Толку будет в разы больше Любителей попакостить думаю найдётся предостаточно.

Ведь именно от таких и нужно защищаться. Серьёзные люди ломают сервера... топорами.

bE(o0L писал(а):

Ведь именно от таких и нужно защищаться. Серьёзные люди ломают сервера... топорами.

абсолютно неверно, 95% продуктов ломают скрипт киддис, вот они топорами и работают

а вот оставшиеся 5% это уже мастера, а они где топором, где лопатой, а где и скальпелем под микроскопом

Заразить компьютер пользователя с админским доступом простеньким вирусом в разы проще чем искать уязвимость в скриптах... ИМХО.

Jamakaser, вот полностью согласен.

fStrange, ты сейчас пытаешся мне рассказать о политике безопасности сервера в первую очередь. А вовсе не о безопасности твоих скриптов. Причём тут kiddies и тест PHPшных(скорей всего) скриптов? Если админ не мониторит багтрэки и система висит абы как... нафиг такую систему с таким админом.

Цитата:

а вот оставшиеся 5% это уже мастера, а они где топором, где лопатой, а где и скальпелем под микроскопом.

на самом деле, для "взлома" скриптов это будет:

Цитата:

любой маломальский веб-программист, умеющий грамотно настраивать httpd.conf, php.ini, знающий SQL и не пугающийся просмотра логов апача.

не нужен ни скальпель ни микроскоп. нужна очень чугунная задница, свободное время и мотив так тупо и бездарно тратить своё время, чтоб что-нибудь сломать в твоём проекте.

Не надо мистифицировать по поводу "гениев хацкеров". Зачастую, ломать пытаются всяческие дибилы, прочитавшие на какомнить задрипаном сайте, как вставить UNION в ?id= . (иногда до слёз пробирает... )

p.s.
ещо раз. не надо путать безопасность скриптов и политику безопасности сервера. Второе это отдельная и очень большая тема.

p.p.s.
кстати услуг настройки и аудита серверов предостаточно в хостинговых компаниях. Это к слову о kiddies

gregzem писал(а):

Понял, что никто не знает эти конторы. Жаль. Попробую поискать еще в офлайне.

конторы есть:
https://www.scanalert.com/
http://www.kevinmitnick.com/ (тот самый Кевин Митник )

Хорошее средство от SQL Injection: доступ к базе только через встроенные MySQL процедуры.
(правда тут тоже есть свои исключения)

bE(o0L писал(а):

а вообще, никто не проверит безопасность лучше чем круглый дурень или секретарша.

Это будет проверка на баги, но не на безопасность.

bE(o0L писал(а):

gregzem, Проверить безопасность твоих скриптов, сможет любой маломальский веб-программист, умеющий грамотно настраивать httpd.conf, php.ini, знающий SQL и не пугающийся просмотра логов апача. А если ещё может открыть сокет и послать пакет то вообще хорошо. (мы ведь о безопасности сайта?)

Смеетесь? Мне кажется вы слабо представляете предмет обсуждения. Помню работал у меня один интерн (на четвертом курсе парнишка учился), знал мало-мальски php, сокеты, умел настроить веб-сервер. У него через слово было "все элементарно", "сейчас быстро все сделаю", "да нет проблем, тут все просто". За ним всегда приходилось все переделывать, потому что оно либо не работало, либо работало, но не очень. Вы такого что ли предлагаете пользовать программиста для тестирования коммерческого продукта?

bE(o0L писал(а):

Если заморачиваться с архитектором и аналитиком, то во первых выложишь кучу бабла за распальцовку горе-спецов, начитавшихся книжек, написанных такими же чудаками. Во вторых потратишь кучу времени, пересылая исходники туда-сюда. В третьих, всю работу будет делать тот самый чел, которого я описал, только через кучу посредников. В этоге, получишь вердикт типа такого: "У вас всё плохо, за доп. плату у нас всё сделают как надо"

Я не говорил про архитектора и аналитика. Меня интересует лишь конечный результат. Я разработал продукт, я его протестировал как разработчик (unit level testing), я его отдал в QA (qa testing). Зашибись, пришло время для тестирования безопасности. Теперь задача отдать его на растерзание эс ку эль инжекторам )

bE(o0L писал(а):

Тыб выложил на куче форумов своё творение, и кинул клич - кто сломает, тому $пиво. Толку будет в разы больше Любителей попакостить думаю найдётся предостаточно.

Извините, я не гостевуху для домашней страницы тестирую.

AlexShop, спасибо

gregzem, да ктож знает, что у вас там, домашняя страничка, гостевуха или цмс'ка какая-нибудь. Если вы такой угрюмый то называйте это "Публичным Бета Тестированием".

Цитата:

Смеетесь? Мне кажется вы слабо представляете предмет обсуждения. Помню работал у меня один интерн (на четвертом курсе парнишка учился), знал мало-мальски php, сокеты, умел настроить веб-сервер. У него через слово было "все элементарно", "сейчас быстро все сделаю", "да нет проблем, тут все просто". За ним всегда приходилось все переделывать, потому что оно либо не работало, либо работало, но не очень. Вы такого что ли предлагаете пользовать программиста для тестирования коммерческого продукта?

Не совсем понимаю где тебе примирещился студентишка раздолбай, среди типа людей который я описал.

Хотя.. если вынести на суд общественности своё творение - так я уверен на 100% - во первых обгадят, во вторых найдут кучу дырок и ещо раз обгадят но уже со смыслом. Это не приятно, вот и приходится выкручиваться, прикрываться разными фирмами и т.д.

Но полюбому, фирмы тебе уже дали.