فکر نکنم با این مبلغ بتونید به نتیجه برسید !
نمایش نسخه قابل چاپ
فکر نکنم با این مبلغ بتونید به نتیجه برسید !
عزیز من ، اون 2 تا موردی که گفتم public عرض کردم :) پس حتما لازم نبوده اون 10 تومن !نقل قول:
ببخشید شما الان 75 درصد مسخره کردی
10 درصد هم گفتی توی گوگل بسرچه
14 هم چیزی گفتی که همه می دونند
1 درصد گفتی "موفق باشید"
یعنی الان شما الان چی گفتی که 10 هزار تومن بیارزه ؟
اون 2 مورد رو اگه همه میدونستن شما میگفتی خب.
شما هم 100٪ از پستت اسپمه .
موفق باشی
با سلام
من فکر می کنم این دوستمون در مورد تست نفوذ پذیری اطلاعات کاملی ندارند لذا بنابر این اطلاعات که دارند قیمت را اعلام کرده اند.
ببینید به طور کلی ما در این جا با سه روش برای پویش آسیب پذیری ها مواجه هستیم :
White box ، خواندن و آنالیز سورس کدهای برنامه و کشف آسیب پذیری ها با مطالعه تمام و کمال منابعی است که در دسترس کارشناس امنیت می باشد و او با آشنایی با زبان برنامه نویسی آن سیستم سعی خود را در کشف نقاط تاریک کد می نماید.
Black Box ، تست کور ، تستی که هیچ اطلاعاتی از نحوه ساختار برنامه در آن موجود نیست ، و نفوذ گر فقط با دانشی که از مواجهه با این برنامه ها به دستی آورده ، می تواند ساختاری مبهمی از برنامه مورد تست داشته باشد. (مباحث فازینگ در این مرحله مطرح میگردند )
Gary Box : تست نفوذ پذیری ای است که نفوذ گر منابع اولیه (همانند برنامه اصلی ) و نیز برخی از معرفی نامه ها و نوشتار های کمکی برنامه را در دست دارد .
که به طور کلی درایران روشهای اول و دوم بیشتر متداول می باشد و روش اول که به white box یا جعبه سفید معروف می باشد . که در این حالت source code ها توسط برنامه نویس در اختیار تیم تحلیل و بررسی قرار می گیرد و تیم تحلیل گر به ازای آنالیز کد ها به صورت خط به خط هزینه را برآورد می نماید و به شرکت و یا تیم برنامه نویسی اعلام می نماید که در صورت توافق قرار داد همکاری عقد می گردد . در این حالت مشخص می شود به عنوان مثال بررسی هر خط کد معادل 5000 هزار تومان می باشد . که در این حالت با توجه به بزرگی و گشتردگی کدها بطبع هزینه بررسی نیز بیشتر می شود. دراین قسمت تیم تحلیل گر مباحث مربوط به secure coding را نیز می تواند ارایه دهد که تصمیم گیری آن با تیم تحلیل گر می باشد.
--- در حالت دوم که موسوم به BlackB0x یا جعبه سیاه می باشد . تیم تحلیل گر بدون دسترسی داشتن به Soruce Code ها اقدام به بررسی و پیاده سازی و شبیه سازی حملات متداول بر روی وب سایت مربوطه می نماید که در صورت حصول دسترسی و یا عدم حصول دسترسی مبلغی از شرکت طرف قرار داد دریافت می نماید که معمولا مبلغ دریافتی در صورت عدم دسترسی 80 % کل هزینه می باشد که با گرفتن دسترسی 100 % پول دریافت می گردد.
چون حالت سوم کمتر استفاده می گردد در صورت نیاز اعلام نمایید تا این مبحث را نیز توضیح دهم.
در تمام مراحل قرارداد کتبی بین دو طرف امضا می گردد. و تعهداتی نیز در این قرارداد لحاظ می گردد.
با توجه به تفاسیر ذکر شده خودتان قضاوت نمایید که آیا کسی این کار را با هزینه اعلام شده از ناحیه شما انجام می دهد یا خیر.
ممکن است برخی از همکاران به طور کامل با روش های تست نفوذ پذیری آشنایی کاملی نداشته باشند که باعث شوند مببلغ کمتری دریافت شود . که بنده طی 8 سالی که تجربه در این زمینه کسب نموده ام بعید می دانم تیمی وجود داشته باشد که در مورد روشهای ذکر شده اطلاعات و آشنایی جامعی داشته باشد و سپس با هزینه ای بسیار بسیار پایین این اقدام را انجام دهد.
اگر احیانا تمایل به عقد قرار داد داشتید می توانیم دراین مورد مذاکره نماییم.
داداش این پول رو ببری بقالی الان بهت یه بستنی هم نمیدن میخوای باهاش سایتت رو دباگ کنی !!!
اگه امریکایی ها نوشتن مطمئن باش هزینه زیادی هم میگیرن و کسی که هزینه زیادی بپردازه واسه دباگ نمیاد 50 بذاره !!! ضمنن دباگ کردن باید با خود سورس انجام بشه . مبلغ رو ببر رو 500 تومان من همه باگ هاشو واست در میارم . SQL Injection . CRSF . XSS , Session Hijack و....
دوست من به10هزار چی میدن اخه؟؟؟؟
خودت بودی عکس العملت چی بود اخه؟؟؟
ای بابابا10هزرابستنی به زور میدن اونوقت تومیخوای سایتت رو خالی ازحفره کنی دادا؟؟؟؟
خود شما فرمودید این اطلاعات رو هیشکی با 10 تومن نمی داد
در مورد اون مواردی رو که گفتید بدیهی بودند مثل اینکه شما می گی ماست سفیده و احتیاج به چنین اطلاعات بدیهی نیست
و در مورد سومی همه ازادند که هر جور که دوست دارند فکر کنند شما هم که کار خلاف نمی کنی فقط اون طوری فکر می کنی و من مشکلی با اون ندارم
با تشکر
خدمت استارتر محترم عرض کنم ، اگه زرنگ باشید توی همین تاپیک مباحث خوبی در مورد امنیت اشاره شد .
بهتره خودتون دست به کار بشید
اگه نیاز ندارید که داده های html رو ذخیره کنید ! از تابع strip_tags استفاده کنید ، نفوذه XSS حل میشه .
برای session hijack که معمولاً روی هاستهای اشتراکی است ، بهتره یوزر ایجنت و آی پی یوزر لاگین شده رو هم توی دیتابیس ذخیره کنید و صرفاً فقط آی دی یوزر رو از سسشن بخونید و هربار اطلاعات یوزر رو با استفاده از آی دی که توی سسشن موجود هست از دیتابیس بخونید و چک کنید .
برای sql injaction از escape نوع درایور دیتابیستون استفاده کنید همچنین از لیست سفید هم استفاده کنید . یا از preg_match برای مقادیر نام و نام کاربری و ...
برای CRSF هم یک مقدار رندوم ، در هنگام لاگین توی کوکی کاربر قرار بدید ، و در آدرسهایی که استفاده میکنید این مقدار رو بصورت کوئری استرینگ قرار بدید و در هر صفحه مقدار کوئری استرینگ رو با مقدار کوکی ست شده چک کنید که صحت صفحه درخواستی مشخص شود . (خواستید بیشتر توضیح میدم .)
اینها رو رعایت کنید امنیت شما بیشتر از 90 درصد تضمین شده هست .
در آخر یه دور با برنامه های havij , Acunetix سایتتون رو چک و اسکن کنید .
موفق باشید:111:
لطفا اگر می توانید هک کنید
شرایط بسیار ساده تعیین شده: اگر می توانید هک کنید.
هک این سیستم و امنیت آن به میزان مبلغ تعیین شده برای ما در شرایط کنونی ارزش دارد و نه بیشتر
ممنون
ممنون
متاسفانه این امکان وجود ندارد.
توسط فریم ورک کاملا شخصی و بومی نوشته شده است.