Поиск уязвимостей сервера что почем

Консалтинг это называется. И аудит.

Готов этим заняться за 20000 руб. при условии оформления сделки со мной как с ИП (договор на бумаге). Контакты в профиле.

Мне кажется, ты забыл лишний нолик.

Аудит проводится заданное время. Например - если сертифицированная команда не нашла брешей(а так говорят не бывает на первой итерации) за две недели, то результат удовлетворительный.

Стоит это соответственно тоже по количеству человеко часов. Ценник спеца разумеется умножается на коэффициент проектной работы (2-5 раза), т.к. подобные движухи краткосрочные и между ними могут быть длительные промежутки.

В общем для твоей почты фигочты - максимум можно посмотреть автоматизированные решения. Полноценный аудит от готовой для таких дел команды обойдётся в сумму с 5-6ю нулями за итерацию. Оно тебе а) не нужно, б) скорее всего не потянуть.

Можно нанять человека, который выберет и прогонит автоматические средства для поиска известных проблем и фаззинга с раследованием сбоев. За новые уязвимости одни только баунти могут быть по 10к+$ и выше за штуку.

Я на самом деле мимокрокодил, одно middleware в котором я участвовал проходило такой аудит (ручной + анализ с помощью fortify). Кстати fortify нашёл довльно много проблем, а ручные нашли в основном DoS и прочую минорщину, но справедливости ради - они шли по следам fortify(после правки его файндингов анализируя уже конкретно бинари). Тебе конкретно этот инструмент не подойдёт, т.к. он анализирует исходные коды решения.

Ну и внезапно - на свежем ПО, автоматизированные решения кроме фаззеров, врят ли что-то найдут. Т.к. если даже уязвимости выявленны, то до патча их не так уж и часто публикуют, а уж в кодовую базу анализаторов они и того позже попадают.

логи посмотри, там китайские боты уже побывали, если с твоего сервера еще спам не разолали, значит уязвимости нет

я помню уязвимость на портале нашел (инъекция в поиске с возможностью через «;» выполнение нескольких команд типа «’;drop table users cascade–+-»), попросил 3000 рублей, мне тот жмот ничего не ответили, я взял всю базу им дропнул. Они ее восстановили и только через пару недель уязвимость закрыли. Просить деньги можно только с иностранцев. А с русскими лучше вообще дел не вести, а то тебе могут еще нарисовать вымогательство и неправомерный доступ

Ми гуссгие, дуг дуга - не объмаиваем.

Рунет - не созрел, тут до сих пор кружат чуваки с йоб твоуй мама на устах. Их нужно пока кормить пеплом на устах. Ну кроме тех, кто к тебе в лс на лоре потом приходит.

До 10к$. Только не багбаунти, а контракт с фирмой. В отчёте будет то, что ты хочешь.

Справедливости ради. Подруга встретила недавно кучу уязвимостей у британской финтех компании. Отправила письмо, дескать нашла тучу уязвимостей, куда отчёт слать?! Отправила и сео, и инфосеку. Тишина. Прошла неделя - снова отправила. Тишина. Портить не стала, в паблик не выкладывала. Найдут своего пентестера)

А «Вакансия специалиста по анализу уязвимостей ПО» (https://www.rosalinux.ru/vakancies/) не интересует, случайно? Можно по совместительству и удалённо, если основную работу менять желания нет.

Аналогичный вопрос. Не интересует ли «Вакансия специалиста по анализу уязвимостей ПО» (https://www.rosalinux.ru/vakancies/), случайно? Можно по совместительству и удалённо, если основную работу менять желания нет.