|
Sigurnost i poslovna politika...
Pozdrav ljudi, evo interesuje me vase misljenje o cinjenici da neke velike kompanije koje pruzaju
usluge svojim klijentima i te usluge naplacuju, ne obracaju previse paznje na sigurnost svog servisa, a jos manje na sigurnost svojih klijentata... Pre par dana posetih sajt firme cije usluge sam hteo da koristim, napominjem hteo, i vidim redizajnirali sajt, sve full... i prva stvar koja me ubola u oko jeste XSS propust. Toliko ocigledan da ne treba objasnjavati vise... Uredno sam ih kontaktirao i prijavio da imaju propust, ali oni i posle par dana ne preduzimaju nista povodom toga... Nije ovo jedini primer... pa me interesuje sta vi mislite o tome, jer je takvih servisa sve vise i vise, a poneki pruzaju usluge koje verovatno nigde drugde ne mozete koristiti... Pozdrav. |
Zavisi gde si našao XSS. Ako na sajtu nema login stranice, onda napad nije opasan. Ali naravno da je izuzetno glupo od nekoga ko naplaćuje tu vrstu usluge a da ne završi posao kako treba.
Iznenadio bi se kada bi znao gde sam sve našao XSS propuste. |
@HUNer, XSS je mnogo opasniji nego sto ti mislis ...
@LiquidBrain, imas vec teme o tome koje sam ja zapoceo, potrazi ... mada na kraju ces dobiti svuda isti odgovor: "Ne guraj nos tamo gde mu nije mesto" ;) p.s. Ovo je jos uvek "nerazvijena" Srbija, tako da ne treba da te cude takve reakcije, ja sam se navikao. Ali sa druge strane, mogu ti reci da polako pocinje da se razvija i ova sfera o kojoj govorimo. Sve vise i vise ljudi me kontaktira u vezi testiranja i/ili konsaltinga ... p.s.s. Ili ako hoces mozemo da napravimo sajt "Serbia XSSed" i objavimo sve ono sto smo pronasli :p, samo ne znam gde cemo posle ... :D |
verovatno da mirisete cvеće odozdo :)
|
@HUNer, interesantno je to da sam XSS nasao na login strani... mada nisam probao da li je samo XSS ili i remote script insertion...
@Ivan, sto se tice Srbije tu mi je sve jasno, ali ovo je jedna od najvecih engleskih kompanija.... mislim... a sto se tice sajta, interesantna ideja, samo shto bi smo najebali, jer kao shto znate, dobili smo tuzioca za elektronski kriminal. To je jedna simpaticna zenica, koja ne ume kako treba da isprogramira ves mashinu, a zamislite kada bi videla skracenicu XSS?!?! Pa to bi odmah znacilo da joj neko .... celu familiju :) Pozdrav... |
Koliko bi kostalo da se sigurnost tek uradjenog sajta "proveri"? Da li se racuna po satu, stranici, ... ?
/* ako smatrate da bi to bio oglas, moze na privatnu postu ili dakics@fortmobile.com */ |
@LiquidBrain
Laptop i jedan od dzabe wireless kafica i nece te nikad uhvatiti :) |
@LiquidBrain
Ne znam sta da ti kazem imao sam takve situacije gde i veliki strani igraci iskuliraju ... a sto se tice sajta, sa pravne strane ne mora da znaci da mozemo biti gonjeni jer nebismo exploatisali pronadjene propuste vec bi samo ukazivali na njih (ovakvi sajtovi vec postoje po svetu). Verovatno bi neko i u tom slucaju zakucao na vrata ali ... i sa druge strane ne bi bilo humano jer bi vecina developera popila otkaz. Mogu da se kladim da na min 75% custom napisanih dinamicnih sajtova kod nas postoji neki propust. @Dzordz Ili neki VPN vani ... :p @srdjan Cena zavisi od testa koji zelis, platforme, tehnologija koje su koriscene, obima (malo ruzna rec ali nije isto testirati forum i guestbook) aplikacije / sajta ... |
Citat:
@Ivan Sto se tice sajta stvarno bi bilo interesantna jedna takva baza, a shto se tice programera, i ja sam jedan od njih, i to je njihov problem... ;) |
Btw, ja imam na svom sajtu nesto priblizno "Serbia XSSed", ali ne otkrivam previse detalja. Svako ko zeli moze da me kontaktira i ja cu objaviti pronalazak propusta, sekcija se zove site exposed.
|
| Vreme je GMT +2. Trenutno vreme je 11:42. |
Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.