پاسخ : پیدا کردن باگ!! چجوری؟
من منکر امکان بررسی بدون دسترسی سایت برای پیدا کردن باگ های امنیتی نیستم؛ متود هایی مثل SQL injection و حملات ریموت دیگر بدون دسترسی هم امکان یافتن آن ها وجود دارد؛
همچنین با دسترسی به سورس کد ها هم می توانید مواردی را بررسی کنید اما مسئله اصلی بررسی سایت در زمان یکی دو ساعتی است که افراد ذکر می کنند؛
من خودم برنامه نویسم و می دانم برای اسکریپتی که خودم ننوشته باشم و بانحوه کد نویسی آن آشنا نباشم پیدا کردن یک باگ چه مقدار دشوار است!
پیدا کردن باگ صرفا پیدا کردن کد های خطرناک و شل هایی که در فایل قرار داده شده اند نیست؛
جسارت به شما نباشد ولی خیلی ها از عدم دانش کافی افراد سو استفاده کرده و در حقیقت هیچ کار خاصی انجام نمی دهند.
من خودم هیچ وقت نمی گویم دو هفته برای پیدا کردن باگ کافی است! چرا که نمی دانم با چه چیزی رو برو خواهم بود,
اگر همین وردپرس را من دستکاری کنم و یک باگ در آن قرار دهم ( به شرط عدم استفاده از سورس کد اصلی وردپرس و انگار هیچ نسخه ی دیگری از آن در دسترس ندارد)
به راحتی می توانم بگویم بیشتر از دو ماه کار مداوم نیاز است ( البته برای یک حرفه ای ) تا فقط اون یک مورد را پیدا کنید.
کار تقریبا 99% افرادی که در این زمینه مشغول به فعالیت هستند " امن تر " کردن اسکریپت است و رفع باگ 100% نیست.
پاسخ با نقل قول