|
Security audit
Kao sto sam naslov kaze, nudim usluge testiranja vasih aplikacija ili systema.
Ako vas interesuju detalji, pitajte ... |
Kakve vrste aplikacija?
|
Imam iskustva sa Web aplikacijama, sve jedno da li je to neki CMS ili jednostavna scripta za news, a i sa da kazem "obicnim" aplikacijama koje rade u raznim mreznim okruzenjima.
Ne nabrajaju mi se sve oblasti i jezici koje znam, dovoljno je reci da se snalazim u raznim okruzenjima i platformama i da imam dosta iskustva. A ako imate specifican zahtev onda pitajte ovde ili na pp\email. |
Reference?
|
Hm, malo zeznuta situacija ... ne pricam o tome bez odobrenja klijenata.
|
Citat:
|
Hvala :)
P.S. zamislite ima pravilo ne moze poruka kraca od 10 karaktera |
Moj jedini predlog Ivanu je da ubuduce da vise informacija,
ako ne CV onda barem malo vise detalja oko toga sta zna i cime se bavi.. Nije isto da ja kazem da sam programer, zaposlite me, i da dam CV, reference, tehnologije sa kojima sam radio i sl.. Samo predlog, bez uvrede ;) |
A i puno ime i prezime bogami.
|
Heh pa nije ovo SUP ;)
|
Heh nije, ali anonimnim nastupom čovek sigurno odbija deo potencijalnih poslodavaca. Mislim, dok se boccio (kao neko sa imenom) nije javio sa svojim postom, stvar je delovala prilično neozbiljno.
|
Hvala na predlozima poslusacu ih.
Da bi se bavili ovim poslom morate biti upoznati sa velikim brojem programskih jezika, platformi, tehnologija, alata, itd. Ali da sada ne bi navodio sve sa cime sam radio mislim da je dovoljno reci da najvise koristim C i PHP, *unix i Win*, odlicno poznajem TCP\IP, Apache, SQL. To je nesto sto radim svakog dana, ako imate neki poseban zahtev slobodno pitajte i ja cu da vam odgovorim da li sam upoznat sa tom materijom. Sto se tice referenci ... hm ... vecina klijenata zeli da ostane anonimna i ja to postujem. Hvala boccio -u na podrsci. Ivan Markovic |
Ja znam jednog Ivana Markovica iz Cacka. :)
Ivan, meni zvuci, vrlo profi. Mislim da je genuine stuff. |
Voleo bih da dragi "security expert" ne pokusava da radi auditing sajtova bez da pre toga konsultuje vlasnike sajtova... Jerbo (ne daj Boze) da napravi nesto sajtu, momentalno bih uradio "damage repair" tako sto bih jos vise napravio damage. Mislim, svakom kome biznis zavisi od sajta nije problem da da par 100e za jednu seansu koja ukljucuje rad na rebrima. Mlad covek ne moze sebi da dopusti da se ne smeje 5-6 meseci.
|
Hm ... pokusavam da se suzdrzim ali ne mogu ...
Prvo ovo sto radim nije ilegalno niti nanosi neku stetu, cak sta vise mnogo puta sam za dz pomagao ljudima i skretao im paznju na propuste. Drugo, jel mozes da malo vise obrazlozis zasto imas takav stav ili vise volis da igras bejzbol ? |
Prvo molba da otkluirate malo, nikada nije dobro pisati u afektu, iako se i meni to dešava ponekad.
Ivane, mislim, kao što sam ti rekao i ranije, da nije korektno tek tako napadati tuđe sajtove, bez obzira na tvoj motiv. Ako već imaš želju da nekome pomogneš, onda je kulturno da bar pošalješ mail vlasniku sajta i pitaš za dozvolu. Ako ti je motiv novac koji bi dobio za "sređivanje propusta", i to nije problem ali takođe možeš bar da se najaviš vlasniku sajta i ponudiš mu svoje usluge umesto da kao uskok upadaš sa tom kolekcijom exploita. To bi bilo isto kao kada bi neko išao od stana do stana i pokušavao da obija vrata kako bih pokazao vlasniku stana da mu nije dobra brava. Pa iznabadao bi te prvi u majici na tregere (potkošulji) koji bi otvorio vrata i zatekao te kako čeprkaš oko brave. Zbog tvog koncepta, tvoj posao (za koji mislim da je potreban ali ne na taj način na koji radiš) deluje kao neko žešće vaćarenje. I bezobrazluk. I onda, nemoj da se čudiš ovakvim reakcijama. |
Da razjasnimo nesto ...
@bluesman U pravu si sto se tice toga da nije lepo niti kulturno isprobavati tudje brave ali ono sto ja radim nije napad na tudje sajtove vec testiranje. Postoji vise nacina i pristupa testiranju sajtova\servisa\mreza i sl tako da u zavisnosti od potreba tj strucnosti i vremena osoba koja testira ce koristiti kako ti kazes "kolekciju exploita" ili ce primeniti neke elitnije metode. Ta "kolekcija exploita" je u stvari aplikacija koju svako moze da skine sa neta i da je koristi gde god pozeli, ona nikako ne moze da nanese bilo kakvu stetu jer ti "exploiti" su napravljeni tako da nemaju "payback". Tacno je da nekada koristim neki od tih alata ali to samo kada jednostavno nisam previse zainteresovan za testiranje vec jednostvano to radim zbog svoje "profesionalne deformacije". I tada (a ne desava se cesto) obavezno obavestim administratore o nadjenim greskama i da, zasto da ne, eventualno se ponudim da ispravim greske. Stvarno nemam potrebe da jurim netom i testiram redom sajtove jer imam svoj posao svoje klijente i to mi je sasvim dovoljno. Ponudim se samo onima za koje mislim da im je to potrebno i da shvataju vaznost istog. @ppavlovic Ako me vec napadas onda molim te da das neke dokaze jer stvarno ne vidim razlog zbog kojeg imas takav stav. |
sve zavisi koje metode koristis za probe-ovanje... ako kreiras ljudima saobracaj i opterecujes server onda imaju punog prava da se ljute, zar ne?
|
Pa da, ali mislis da mogu (tj mogu ali mi nije potrebno osim u specijalnim slucajevima ) da napravim neko veliko opterecenje i saobracaj prilikom npr posete 10-ak linkova sa specijlno kreiranim parametrima uz pretpostavku da vecina sajtova\aplikacija ima kakvo-takvo filtriranje ulaznih podataka\parametara ? I sve to sa npr vezom od 5 -10 kbs (uvek ogranicavam brzinu kod automatizovanog audita na manje vrednosti ) ?
|
Kôd:
82.117.209.157 - - [08/Jul/2006:16:00:22 +0200] "GET / HTTP/1.1" 200 6206 "http://www.devprotalk.com/showthread.php?t=1213" "Opera/9.00 (Windows NT 5.1; U; en)"Itd itd... |
Znaci radi se o sajtu: http://beta.polovniautomobili.com, nisam imao zelje da pogledam tvoj profil i vidim o cemu se radi. Pre neki dan si postavio temu o svom sajtu i ja sam je video ( nisam zapamtio da si ti postovao ), i dakle kao sto sam vec rekao ponekad jednostavno iz dosade pustim scener da radi ...
Pa sta ? Jel to razlog da mi pretis ? Isto kao sto drugi gledaju tvoje greske u dizajnu tako sam ja gledao neke druge greske (mada nisam ni video report od tool-a) ... Zao mi je sto je tvoje znanje u ovoj oblasti na tako niskom nivou ali nadam se da si dovoljno naucio iz mojih prethodnih postova i da ces u buducnosti bolje da razumes svoje logove. Ako imas nesto da ti nije jasno u vezi security-ja mozes slobodno da me kontaktiras. Dakle, zakljucak: Ono sto radim mozda se nekome ne svidja i\ili usled ne znanja moze da pomisli da je ilegalno ili stetno, ali evo nadam se da sam vam objasnio kako stoje stvari i da ce te sada sve to malo bolje razumeti. |
Ono sto ti radis nije nelegalno, to sto ti radis je potreba svake aplikacije :)
|
Inace, da dopunim Ivana sa malo jednostavnog jezika: skoro svaki security scanner (bar svaki na koji sam ja naisao) poseduje opciju koja onemogucava testove koji mogu da nanesu stetu sajtu/hostu koji se skenira (i koja je po defaultu ukljucena).
Naravno, to ne znaci da treba pustati security scannere na random sajtove (ili hostove), cisto radi zabave/profesionalne deformacije, ali isto tako ne znaci da treba dizati frku zbog necega sto evidentno nije moglo da nanese stetu. |
O čemu mi pričamo? Ne radi se o tome šta je potrebno a šta nije, ja znam šta mi je potrebno i šta ću da testiram, radi se o tome da ti neko iz zabave bunari po sajtu. Aj ja kao iz dosade pustim neki DoS na tvoj server da vidim da li će izdržati? Što da ne? Potrebno je da se testira i na to.
Čovek je pokrenuo ovu temu kao oglas, ako je neko zainteresovan neka mu se javi, ali je jako glupo da ide okolo i da bunari po sajtovima "...ponekad jednostavno iz dosade pustim scener da radi ...". Ma nemoj, kewe ti? Ja mogu da kažem da sam dobio preko 150 mailova sa jednog mog sajta (tako je namešteno da kada neko pokušava takve "zabavne stvari" šalje mi mail sa requestom). Ko zna koliko je još request-ova bilo da mi nije stigao mail. Ako je to "iz dosade" onda je Ivanu mnogo dosadno u životu. |
@bluesman
Vec sam objasnio (a i zextra je) da ne nanosim stetu nikome, objasnio sam da nikako ne zelim niti hocu da pravim bilo kakav DoS. Sto se tice tih mejlova koji su ti stizali, pa mislim da bi trebao malo vise da unapredis svoj monitoring tool. Rekao si da je glupo sto ponekad "bunarim" po sajtovima, da ponekad jeste jer to uradim cisto bzvz (mislim na "pustanje scenera da radi ...") ali u svakom drugom slucaju nije jer samim tim unapredjujem svoje znanje i u vecini slucajeva pomognem "metama" da isprave svoje greske. I na kraju mislim da me napadate bez razloga jer vam nisam nikakvu stetu naneo, vec sam vam ili povredio ego (nasao sam vam greske) ili ste se usled nedovoljnog znanja u pomenutoj oblasti uplasili i samim tim se poneli kao primitivci. p.s. Ko treba, pronacice se u ovom postu ... :p |
A posto je jedno skeniranje? Radim nesto na malo neobicnoj platformi pa bih voleo da vidim kako ce da izdrzi te genericke napade.
|
Sve zavisi od Vasih zahteva ... ako zelite mozemo da porazgovaramo na skype ili preko e-maila.
|
Znaš šta? Gledam šta pišeš i jedva se suzdržavam da te ne napušim.
|
Da znam, zato i pisem tako ...
Jesam puno mladji ali koliko Vi cenite Vas posao i znanje toliko i ja cenim svoje. |
Sta bese Sokrat rekao vezano za znanje? Mislim, mlad si, tek kasnije ces videti koliko toga ne znas. A ako i za koju godinu i dalje tvrdis da sve znas, onda treba da prevaspitas sta znas o sebi. Elem...
Ako si hteo da napravis sebi reklamu, sigurno jesi. Ako hoces da se bavis sigurnoscu sajtova, ovakvim pristupom neces nista da postignes. Delujes previse nezrelo. Toliko o tome. A tvoje usluge cu (mozda) da zatrazim za 3-4 godine kad se malo uozbiljis. Mislim, nista licno, jednostavno je nemoguce da neko sa 21. godinu ima dosta radnog iskustva (citaj dovoljno gresaka iza sebe) da bi mogao drugog da uci. Kad bude doslo vreme (opet kazem mozda) dobices moj source kod da ga analiziras i nadjes greske u njemu. Sve to (naravno) za neki nominal fee. A do tad, nek smo zivi i zdravi... |
Citat:
cisto da znas, posto vdim da si u tom hacker philosophy fazonu (u kom je verujem vecina ovde bila u odredjenim godinama), samo se legalna situacija oko toga dosta izmenila od vremena kad smo mi "hakovali" rcubove i etf-ove mashine i danas... danas zbog toga moze da se naj*** ozbiljno, tako da bez pitanja takve stvari ne treba raditi... |
Citat:
vidish da trazi pare... ovo su moderni hakeri |
@ivanhoe : tacno je da je jako kaznjivo ...ali nakon kratkog razgovora sa bluesmanom, koji mi je objasnio metodologiju rada doticnog security "experta" mogu samo da dodam da u ovoj zemlji nije problem toliko vlast koliko lako moze covek da dodje do informacije o necijem ip-u , adresi stanovanja , broju telefona , broja cipela koji nosi .... e to je lepota Srbije ... pa onda mozda se i desi umesto ppalovicevih rebara da coveku nestanu prsti preko noci ... ipak ovo je Srbija ...
|
@ppavlovic
Da, ja sam svestan da imam jos mnogo da ucim i to nonstop radim, ali nivo znanja mi je malo veci od tog na koji ti potenciras jer se ovim bavim vec duze vreme (~4god security). Ja nisam od tebe trazio nikakav posao i nije mi jasno zbog cega dizes toliku frku. Delujem nezrelo ? Hm ... mozda ... seti se imam 21 godinu i uzivam u zivotu. @ivanhoe Dobro sam upoznat sa nasim zakonima, ali kao sto si rekao ne znas sta radim i onda mi nije jasno zasto pricas da sam u "hacker philosophy fazonu". Taj fazon me je prosao i sada sam se okrenuo drugim pametnijim, profesionalnijim i komercijalnijim stvarima. @kodi Pa mozes da nas nazoves i modernim hakerima ako bas hoces ... ali vi izgleda ne shvatate da ja mogu sve ono sto nadjem da zadrzim za sebe ili da prodam ili objavim negde sto vama nikako ne ide u korist. Ja sve lepo serviram na tanjiru a ne obrisem vam sajt ili objavim ogroman propust u nekom komercijalnom softveru i tako vam unistim reputaciju. @nixa Izgleda da ovde niko ne shvata da je ovo Srbija i da ja zelim samo da pomognem ... |
Citat:
|
Znaš kako, i G.W. Bush je "pomogao" Iračanima, pa i ovde je išla jedna "akcija" koja se zvala "Milosrdni anđeo", još samo da izjaviš da si altruista pa da ti okešami krilca i oreol.
Inače, rekoh ti još na PP, ako si toliko već gadljiv na Srbiju, a tvrdiš da imaš gomilu klijenata stranaca, što se uopšte petljaš sa nama? We're not worth it. Edit (uvalio se jablan): Bravo, to je poenta. Ja najviše o tome i pričam: o pristojnosti. |
I opet u krug ... ok ja cu da radim svoje vi radite svoje. Ja mislim da bih bio ne pristojan kad bi iskoristio sve to sto radim u neke druge svrhe ali dobro svako ima pravo na svoje misljenje.
Sto se tice Srbije ... ja volim Srbiju i zelim da pomognem da se razvije u svim oblastima. A sto se tice stranih klijenata ... da imam ih par ali to ne znaci da ne treba da ih imam i ovde. Iskreno mislim da nekima ovde smetaju moje godine ali ja tu nista ne mogu da promenim. Vreme je da zavrsimo sa ovim prepucavanjem, svako ima pravo na svoje misljenje i to je to. |
Moguca ponuda za posao
Da li bi mogao razviti web-enabeled server system (EnterpriseDB, SQL) stored koji omogucava negraniceno, secure, koristenje databasa koje su customised za pojedine usere. Radi se Zapadno Australskom business.
|
O ovome bi morali malo detaljnije da popricamo, skype me.
|
Citat:
Već odavno! :1027: Miloje |
| Vreme je GMT +2. Trenutno vreme je 15:02. |
Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.