فکر نکنم با این مبلغ بتونید به نتیجه برسید !
پاسخ : هک کنید, جایزه بگیرید!
فکر نکنم با این مبلغ بتونید به نتیجه برسید !
پاسخ : هک کنید, جایزه بگیرید!
عزیز من ، اون 2 تا موردی که گفتم public عرض کردمببخشید شما الان 75 درصد مسخره کردی
10 درصد هم گفتی توی گوگل بسرچه
14 هم چیزی گفتی که همه می دونند
1 درصد گفتی "موفق باشید"
یعنی الان شما الان چی گفتی که 10 هزار تومن بیارزه ؟پس حتما لازم نبوده اون 10 تومن !
اون 2 مورد رو اگه همه میدونستن شما میگفتی خب.
شما هم 100٪ از پستت اسپمه .
موفق باشی
پاسخ : هک کنید, جایزه بگیرید!
با سلام
من فکر می کنم این دوستمون در مورد تست نفوذ پذیری اطلاعات کاملی ندارند لذا بنابر این اطلاعات که دارند قیمت را اعلام کرده اند.
ببینید به طور کلی ما در این جا با سه روش برای پویش آسیب پذیری ها مواجه هستیم :
White box ، خواندن و آنالیز سورس کدهای برنامه و کشف آسیب پذیری ها با مطالعه تمام و کمال منابعی است که در دسترس کارشناس امنیت می باشد و او با آشنایی با زبان برنامه نویسی آن سیستم سعی خود را در کشف نقاط تاریک کد می نماید.
Black Box ، تست کور ، تستی که هیچ اطلاعاتی از نحوه ساختار برنامه در آن موجود نیست ، و نفوذ گر فقط با دانشی که از مواجهه با این برنامه ها به دستی آورده ، می تواند ساختاری مبهمی از برنامه مورد تست داشته باشد. (مباحث فازینگ در این مرحله مطرح میگردند )
Gary Box : تست نفوذ پذیری ای است که نفوذ گر منابع اولیه (همانند برنامه اصلی ) و نیز برخی از معرفی نامه ها و نوشتار های کمکی برنامه را در دست دارد .
که به طور کلی درایران روشهای اول و دوم بیشتر متداول می باشد و روش اول که به white box یا جعبه سفید معروف می باشد . که در این حالت source code ها توسط برنامه نویس در اختیار تیم تحلیل و بررسی قرار می گیرد و تیم تحلیل گر به ازای آنالیز کد ها به صورت خط به خط هزینه را برآورد می نماید و به شرکت و یا تیم برنامه نویسی اعلام می نماید که در صورت توافق قرار داد همکاری عقد می گردد . در این حالت مشخص می شود به عنوان مثال بررسی هر خط کد معادل 5000 هزار تومان می باشد . که در این حالت با توجه به بزرگی و گشتردگی کدها بطبع هزینه بررسی نیز بیشتر می شود. دراین قسمت تیم تحلیل گر مباحث مربوط به secure coding را نیز می تواند ارایه دهد که تصمیم گیری آن با تیم تحلیل گر می باشد.
--- در حالت دوم که موسوم به BlackB0x یا جعبه سیاه می باشد . تیم تحلیل گر بدون دسترسی داشتن به Soruce Code ها اقدام به بررسی و پیاده سازی و شبیه سازی حملات متداول بر روی وب سایت مربوطه می نماید که در صورت حصول دسترسی و یا عدم حصول دسترسی مبلغی از شرکت طرف قرار داد دریافت می نماید که معمولا مبلغ دریافتی در صورت عدم دسترسی 80 % کل هزینه می باشد که با گرفتن دسترسی 100 % پول دریافت می گردد.
چون حالت سوم کمتر استفاده می گردد در صورت نیاز اعلام نمایید تا این مبحث را نیز توضیح دهم.
در تمام مراحل قرارداد کتبی بین دو طرف امضا می گردد. و تعهداتی نیز در این قرارداد لحاظ می گردد.
با توجه به تفاسیر ذکر شده خودتان قضاوت نمایید که آیا کسی این کار را با هزینه اعلام شده از ناحیه شما انجام می دهد یا خیر.
ممکن است برخی از همکاران به طور کامل با روش های تست نفوذ پذیری آشنایی کاملی نداشته باشند که باعث شوند مببلغ کمتری دریافت شود . که بنده طی 8 سالی که تجربه در این زمینه کسب نموده ام بعید می دانم تیمی وجود داشته باشد که در مورد روشهای ذکر شده اطلاعات و آشنایی جامعی داشته باشد و سپس با هزینه ای بسیار بسیار پایین این اقدام را انجام دهد.
اگر احیانا تمایل به عقد قرار داد داشتید می توانیم دراین مورد مذاکره نماییم.
ارایه دهنده خدمات ایمن سازی سرور های مبتنی بر لینوکس و ویندوز
My Crime Is My Advisory . Hacking Is The Best But Security Is The First
The Best Secure Hosting in Iran http://SecureHost.ir
جهت تماس در شبکه IRC :mHUB.HIRCNetwork.com#Linux@Secure_Host
پاسخ : هک کنید, جایزه بگیرید!
داداش این پول رو ببری بقالی الان بهت یه بستنی هم نمیدن میخوای باهاش سایتت رو دباگ کنی !!!
اگه امریکایی ها نوشتن مطمئن باش هزینه زیادی هم میگیرن و کسی که هزینه زیادی بپردازه واسه دباگ نمیاد 50 بذاره !!! ضمنن دباگ کردن باید با خود سورس انجام بشه . مبلغ رو ببر رو 500 تومان من همه باگ هاشو واست در میارم . SQL Injection . CRSF . XSS , Session Hijack و....
پاسخ : هک کنید, جایزه بگیرید!
دوست من به10هزار چی میدن اخه؟؟؟؟
خودت بودی عکس العملت چی بود اخه؟؟؟
ای بابابا10هزرابستنی به زور میدن اونوقت تومیخوای سایتت رو خالی ازحفره کنی دادا؟؟؟؟
ID:Tezar_40@yahoo.com
پاسخ : هک کنید, جایزه بگیرید!
خود شما فرمودید این اطلاعات رو هیشکی با 10 تومن نمی دادنوشته اصلی توسط Mr.M4st3r
عزیز من ، اون 2 تا موردی که گفتم public عرض کردم
اون 2 مورد رو اگه همه میدونستن شما میگفتی خب.
شما هم 100٪ از پستت اسپمه .
موفق باشی
در مورد اون مواردی رو که گفتید بدیهی بودند مثل اینکه شما می گی ماست سفیده و احتیاج به چنین اطلاعات بدیهی نیست
و در مورد سومی همه ازادند که هر جور که دوست دارند فکر کنند شما هم که کار خلاف نمی کنی فقط اون طوری فکر می کنی و من مشکلی با اون ندارم
با تشکر
پاسخ : هک کنید, جایزه بگیرید!
خدمت استارتر محترم عرض کنم ، اگه زرنگ باشید توی همین تاپیک مباحث خوبی در مورد امنیت اشاره شد .
بهتره خودتون دست به کار بشید
اگه نیاز ندارید که داده های html رو ذخیره کنید ! از تابع strip_tags استفاده کنید ، نفوذه XSS حل میشه .
برای session hijack که معمولاً روی هاستهای اشتراکی است ، بهتره یوزر ایجنت و آی پی یوزر لاگین شده رو هم توی دیتابیس ذخیره کنید و صرفاً فقط آی دی یوزر رو از سسشن بخونید و هربار اطلاعات یوزر رو با استفاده از آی دی که توی سسشن موجود هست از دیتابیس بخونید و چک کنید .
برای sql injaction از escape نوع درایور دیتابیستون استفاده کنید همچنین از لیست سفید هم استفاده کنید . یا از preg_match برای مقادیر نام و نام کاربری و ...
برای CRSF هم یک مقدار رندوم ، در هنگام لاگین توی کوکی کاربر قرار بدید ، و در آدرسهایی که استفاده میکنید این مقدار رو بصورت کوئری استرینگ قرار بدید و در هر صفحه مقدار کوئری استرینگ رو با مقدار کوکی ست شده چک کنید که صحت صفحه درخواستی مشخص شود . (خواستید بیشتر توضیح میدم .)
اینها رو رعایت کنید امنیت شما بیشتر از 90 درصد تضمین شده هست .
در آخر یه دور با برنامه های havij , Acunetix سایتتون رو چک و اسکن کنید .
موفق باشید
پاسخ : هک کنید, جایزه بگیرید!
دوست عزیز اگه striptags باگ xss رو کامل حل میکرد که دیگه این باگ شناخته نمی شد!!خدمت استارتر محترم عرض کنم ، اگه زرنگ باشید توی همین تاپیک مباحث خوبی در مورد امنیت اشاره شد .
بهتره خودتون دست به کار بشید
اگه نیاز ندارید که داده های html رو ذخیره کنید ! از تابع strip_tags استفاده کنید ، نفوذه XSS حل میشه .
برای session hijack که معمولاً روی هاستهای اشتراکی است ، بهتره یوزر ایجنت و آی پی یوزر لاگین شده رو هم توی دیتابیس ذخیره کنید و صرفاً فقط آی دی یوزر رو از سسشن بخونید و هربار اطلاعات یوزر رو با استفاده از آی دی که توی سسشن موجود هست از دیتابیس بخونید و چک کنید .
برای sql injaction از escape نوع درایور دیتابیستون استفاده کنید همچنین از لیست سفید هم استفاده کنید . یا از preg_match برای مقادیر نام و نام کاربری و ...
برای CRSF هم یک مقدار رندوم ، در هنگام لاگین توی کوکی کاربر قرار بدید ، و در آدرسهایی که استفاده میکنید این مقدار رو بصورت کوئری استرینگ قرار بدید و در هر صفحه مقدار کوئری استرینگ رو با مقدار کوکی ست شده چک کنید که صحت صفحه درخواستی مشخص شود . (خواستید بیشتر توضیح میدم .)
اینها رو رعایت کنید امنیت شما بیشتر از 90 درصد تضمین شده هست .
در آخر یه دور با برنامه های havij , Acunetix سایتتون رو چک و اسکن کنید .
موفق باشید
در مورد session hajack دارید اشتباه میفرمایید . برای جلوگیری از این هم باید key لوگین تعربف کرد که انکود شده و ترکیبی از ای پی + یوزر ایجینت + سشن ای دی و ... هست
پاسخ : هک کنید, جایزه بگیرید!
لطفا اگر می توانید هک کنید
شرایط بسیار ساده تعیین شده: اگر می توانید هک کنید.
هک این سیستم و امنیت آن به میزان مبلغ تعیین شده برای ما در شرایط کنونی ارزش دارد و نه بیشتر
ممنون
ممنون
متاسفانه این امکان وجود ندارد.
توسط فریم ورک کاملا شخصی و بومی نوشته شده است.
ویرایش توسط PE7A : September 4th, 2012 در ساعت 01:35
در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)
مجوز های ارسال و ویرایش
پاسخ با نقل قول