Březen - Měsíc (bezpečného) internetu: Bezpečnostní audit zdarma*

[Michal Kubíček]

 Jste si 100% jistí, že je váš web nebo internetová aplikace skutečně bezpečná?
Jste si jisti, že jsou vaše data a zákazníci v bezpečí před hackery, malware, krádeží nebo změnou obsahu?

Provedeme vám zdarma bezpečnostní audit www stránek, webové aplikace nebo eshopu. Podmínkou získání tohoto auditu zcela zdarma je, že NEOBJEVÍME ani jedinou kritickou chybu. V opačném případě je cena analýzy 3900 Kč.

Co považujeme za kritické chyby webů a webových aplikací?
<blockquote>

• Cross Site Scripting (XSS)
• SQL Injection, Blind SQL Injection
• Cross-site Request Forgery (CSRF, XSRF)
• Clickjacking
• PHP Injection
• ...a další podobné chyby vedoucí k přímému ohrožení webu, dat nebo uživatelů

Více informací na www.bezpecnostwebu.cz
 nebo http://www.facebook.com/bezpecnostwebu
 
 Spolupráce s námi je bezpečná. Zahájením spolupráce se zavazujeme, že  veškeré údaje, které během práce zjistíme, zůstanou důvěrné a výsledky  analýzy budou určeny pouze vám jako objednateli.
 
 Aktuální reference: https://twitter.com/davidlorincz/sta...45693626781698

 POZOR: V ceně auditu je upozornění na potenicálně nebezpečné místa ve vašem webu/webové aplikaci. Nejedná se o fyzický průnik nebo ukázku "jak hacknout vaše stránky". Stejně tak vás v ceně auditu nebudeme učit programovat, jak tyto mezery opravovat. Po dohodě je možná dodat návody přípdaně odkazy na stránky, kde se podobná problematika řeší.
 
Službu poskytuje:
 PRONETmedia, s.r.o.
 Kanceláře: Palackého 609/3, 735 06 Karviná
 Sídlo: V Horkách 1386/5, 140 00 Praha 4 - Nusle
 E-mail: bezpecnostwebu@pnm.cz
 
 Web: www.pronetmedia.cz
 Telefon:  603 48 78 48 </blockquote> 

[Ondra]

Jak znám web myslím, že málokdo tím auditem projde. Ale držím palce. Je to dobrá cesta jak ukázat lidem cedníky co si zaplatili 

[Michal Kubíček]

Co o službě řekl jeden ze zákazníků?

Na 99% jsem si byl jistý, že nic nenajde. Každopádně jsem se velmi zmýlil a jsem velmi rád, že jsem využil jeho služby. Našel tam pár důležitých nedostatků o kterých nikdo netušil. Vřele doporučuji využít jeho služeb a zabezpečit vaší webovou aplikaci tak, aby hackeři neměli velké šance na prolomení.

Zdroj: http://blog.webmex.cz/shrnuti-poslednich-2-mesicu-a-co-bude-nasledovat/

[McFly]

Pokud se jedná o BFU, tak ať si podobný audit klidně zaplatí. Ale jinak si myslím, že IT veřejnost je dostatečně erudovaná, aby si podobný audit webu/serveru provedli sami - na netu jsou desítky článků na toto téma... zdarma a bez rizika, že budou muset něco zaplatit, když naleznou zranitelnost. :-) můj názor

[Ondra]

Dovolil bych si nesouhlasit. Lidi, kteří jsou schopni komplexního pohledu na web a jeho bezpečnost jsou vzácní jak šafrán a i ti selhávají při hodnocení vlastní práce.

Jednoduchý příklad. Chceme implementovat nějaké rozšířené zabezpečení do uživatelského loginu. Mluvíme o tom tak dlouho až zapomeneme, že jsme to neudělali (resp. všichni myslíme že to udělal někdo jiný) a pak po čase napíšeme něco čehož bezpečnost na tom závisí.

Není nad čerstvý externí pár očí v projektu co prostě otestuje vše i včetně toho o čem si všichni myslí že to "prostě funguje" 

Naopak šel bych ještě dál. Nabízel bych to přes webhostery se slevou a zároveň provizí pro ně...

[Michal Kubíček]

Pokud se jedná o BFU, tak ať si podobný audit klidně zaplatí. Ale jinak si myslím, že IT veřejnost je dostatečně erudovaná, aby si podobný audit webu/serveru provedli sami - na netu jsou desítky článků na toto téma... zdarma a bez rizika, že budou muset něco zaplatit, když naleznou zranitelnost. :-) můj názor

Pokud sis svou parcí jist, tak se nemusíš auditu bát:) A pokud se chyby najdou, pak se o nich dozvíš dřív než potenciální útočník...

Podobný názor jako ty má hodně vývojářů našich zákazníků. Do doby, než dostanou 300 stránkový výpis chyb:)

[Michal Taneček]

Poprvé mi tu komerční nabídka nepřipadá jako spam.


Bezpečnost je totálně opomíjená, viděl jsem různá zvěrstva. Stačí kolik srandy člověk dokáže s apostrofem ..


Mě by spíše zajímala vaše metodika, píšu teď IS a pár webových služeb, testování za tuto malou sumu rád po dokončení využiju.  Dále by mě zajímalo, jestli jste schopni provést penetrační test na nižších vrstvách.


Třeba nějaký ukázkový report by potěšil. ( Jde mi o to, že Havijem si sjedu web taky)

[McFly]

Poprvé mi tu komerční nabídka nepřipadá jako spam.

Já zase nerad vidím tu reklamštinu v názvu threadu, kdy může vzniknout mylný dojem, že je nabízeno něco zdarma*. Není. Hádám, že si Michal vždycky najde to "své", proč bude nakonec po zákazníkovi požadovat peníze, třeba i něco malého, co není zrovna velký bezpečnostní problém. Věřím, že tomu, co dělá, určitě i rozumí, tedy nezbývá než doufat. :-)

Na škole do nás hustili, že máme psát dobře své programy jak po funkční stránce (aby to dělalo, co chceme), tak zejména ošetřit všechny vstupy a nežádoucí stavy. V mém případě je to tak silně zakořeněno, že když napíšu nějaký modul/aplikaci, hned zkoumám jeho/její napadnutelnost. :-) Nikdo není neomylný, to je nakonec bez debat.

A možná jsem jen zbytečně paranoidní díky Kalužovi a jeho webovým stránkám zdarma, které zdarma nejsou a všichni to víme - spam, který se na Lupě objevuje pravidelně každý týden a je bohužel tolerován...

[Michal Kubíček]

Hádám, že si Michal vždycky najde to "své", proč bude nakonec po zákazníkovi požadovat peníze, třeba i něco malého, co není zrovna velký bezpečnostní problém.

Asi bych měl zdůraznit tu větičku "chyby vedoucí k přímému ohrožení webu, dat nebo uživatelů". Takže pokud se shodmene, že chyby, kterou jsem našel, vedou k ohrožení, pak nám odměna náleží. Pokud ne, tak to má od nás vývojář skutečně zdarma, třeba jako odměnu za dobře napsanou aplikaci:)

Nedávno jsme třeba dělali test jedné cestovní agnetuře, kde se skutečně nenašky závažné chyby. S výjimkou toho, že jsme byli schopni naším scanem shodit databázi ( atím znemožnit funkčnost webu) v podstatě "na vyžádání".