Forum Webscript.Ru
Общие => Веб-технологии => Тема начата: Glader от 01 Января 2004, 17:54:15
-
Здравствуйте. Нужен ваш совет.
Я пишу скрипт для сайта (типа CMS). Начальник решил проверить его, пригласив какого-нибудь хакера/спеца по безопасности, чтобы тот попробовал взломать скрипт, пробраться в систему и т.д. Вопрос вот в чем: как определить, как этот спец сработал? Если он скажет, что ошибок нет, на самом ли деле он проверял, или нет. Или нашел черный ход, и решил приберечь его для себя. Вариант специального закладывания пары дырок мне не нравится.
Насчет самостоятельной проверки скажу честно: то, что вводят иногда юзеры, мне бы даже в голову не пришло...
-
Посмотреть логи апача, например, сделать свои скрипты, чтобы они вели логи, кто, куда и зачем...
-
А, и по ним смотреть, куда он пробрался? Тогда и в логи системы надо будет заглянуть, вдруг он рута откуда-то возьмет... А логи посещения системы и так ведутся. Просто если он качественно проникнет, никто ему не помешает и логи стереть. Похоже, все сводится к обычной проблеме доверия фирмы к работнику на разовую работу...