обнаружен баг на сайте через sql запрос
Страницы: 1
обнаружен баг на сайте через sql запрос, необходимо понять, а есть ли баг?
Здравствуйте!
Сегодня ребята, которые недавно ставили на сайт каптчу, неожиданно заявили, что проверили наш сайт (без нашей просьбы) и обнаружили критично опасный баг разработчика, который способен даже удалить сайт
На мои вопросы, какой программой пользовались и мою просьбу прислать скрины результатов и тп ответили, что скринов нет,  дословно : "все делали вручную, с помощью sql запросов и xss инъекций" 

Сайту 7 лет, ранее такого никто не находил

Предложили незамедлительное лечение, конечно. 
Необходимо понять, так ли это на самом деле? Учитывая, что несколько дней назад они же писали и спрашивали, нет ли новых работ по сайту... не нашли ли они ее самиsmile:)

Бесплатная контекстная реклама

Цитата
Ольга пишет:
Учитывая, что несколько дней назад они же писали и спрашивали, нет ли новых работ по сайту... не нашли ли они ее самиsmile:)
Вы сами ответили на свой вопрос - забейте развод на бабки скорее всего!
А вдруг все же...Страшновато
Как проверить?
Попросите продемонстрировать что то безобидное. Скажем смену пароля на администратора.
Вполне может быть, учитывая что сайт писался 7 лет назад.
Слушай :) Тебе случаем не нужен Агрегатор новостей, есть так же и под DLE, а так же скрипт файлообменика.
Цитата
Seilor пишет:
Попросите продемонстрировать что то безобидное. Скажем смену пароля на администратора.
Вполне может быть, учитывая что сайт писался 7 лет назад.
Спасибо!
Цитата
Ольга пишет:
Цитата
Seilor пишет:
Попросите продемонстрировать что то безобидное. Скажем смену пароля на администратора.
Вполне может быть, учитывая что сайт писался 7 лет назад.
Спасибо!
Ответили на мою просьбу сменить парольДословно:
"Мы не занимаемся взломами сайтов. Мы закрываем ошибки, дыры и баги как в серверной части так и со стороны сайта. Максимум можем прислать крон-планировщик с дырами и багами"
Вообще застряла. Врут или нет....
Seilor,  Ответили на мою просьбу сменить парольДословно:
"Мы не занимаемся взломами сайтов. Мы закрываем ошибки, дыры и баги как в серверной части так и со стороны сайта. Максимум можем прислать крон-планировщик с дырами и багами"
Вообще застряла. Врут или нет....
Ольга, А что вам мешает самостоятельно воспользоваться одним из сканеров уязвимостей, коих предостаточно на просторах интернета?
c00x, они говорят, что делали все вручную, что программы это не увидят. Прислали сейчас какие-то сканы, в которых я ничего не понимаю, и торопят с ответом.
Цитата
Ольга пишет:
Seilor, Ответили на мою просьбу сменить парольДословно:
"Мы не занимаемся взломами сайтов. Мы закрываем ошибки, дыры и баги как в серверной части так и со стороны сайта. Максимум можем прислать крон-планировщик с дырами и багами"
Вообще застряла. Врут или нет....

Пусть высылают хоть что то. Можете потом отправить мне в ЛС информацию, посмотрю что они предоставили и возможно хотя бы поймем где оно может быть.
Мой совет: не тратьте здесь свое время. Это нужно спрашивать у людей, которые в этом действительно разбираются. Специалисты в этой области, способные объективно оценить ситуацию сюда (на этом форуме) заглядывают сейчас редко.
Теоретически ваши "вымогатели" действительно могут говорить правду, особенно, если у вас сайт на недостаточно качественном самописе или малоизвестных cms и не только.
И то что они нашли уязвимость не обязательно означет, что они могут легко что-то продемонстрировать, включая изменение логина и пароля. Нужно уметь и попотеть, чтобы эту уязвимость использовать, включая пароль от админки.
Но надеюсь, что после выполнения работ вы изменили все пароли, включая БД. Так как с доступом к БД пароль изменить легко и быстро.
Изменено: Иван - 14 Апреля 2019 18:58
Иван, пароли изменила, с ними работать не хочу, даже если они правы. Очень сильное давление и манипуляция из серии или сейчас , или никогда. Не могли бы кого-нибудь порекомендовать?
Вам в целом думаю не стоит волноваться. Даже если они что то нашли, то как ранее и писали что воспользоваться они этим не могут по закону.
Проще говоря обычный человек не найдет данной уязвимости, только те кто будут копаться под ваш сайт и то не вариант что они найдут.
Сейчас как и советовал Иван сменить все учетные данные, а так же хотя бы 1 раз в неделю делать бекап всего сайта, если этого не делает автоматически ваша хостинг площадка.
Ольга, Те скрины что вы скинули мне на почту сомнительные, скорее всего они просто хотят вытянуть с вас деньги. Но если вы все таки хотите проверить весь сайт и обезопасится, напишите мне. Так как сайт, как я понял самописный и вполне может иметь уязвимости.
Предлагаю Услуги по веб-разработке/программированию
HTML(HTML5), CSS(CSS3), JavaScript(jQuery, AJAX), PHP, MySQL
========================================
http://www.cy-pr.com/forum/f58/t37537/
http://www.cy-pr.com/forum/f50/t35619/
Страницы: 1
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
00:57 Новый AIOSEO, слов нет, один мат 
22:07 6 000 руб. в месяц на аккаунте в Фейсбук на пассиве? 
21:46 05.05.2021 Яндекс выдача | Не сайтом единым зарабатывает человек 
21:34 Что такое семантическое ядро, и для чего оно нужно? 
20:11 4 мая выдача | статейники умирают? 
19:46 [b]Webvork [/b]- международная товарная СРА сеть с сертифицированными офферами на Европу. 
16:03 Сделаю баннер (статика), шапку для соц.сети/канала бесплатно 
00:33 Продам логи со стилера или найду ваши запросы.Локация весь мир. Так же аккаунты Paypal с большими балансами. 
22:30 куплю аккаунт на freelancehunt 
21:02 Litex.pro обмен валюты с минимальной комиссией 
19:52 likeboss.biz - накрутка в соцсетях. С гарантией. 
18:00 Софт на заказ 
15:42 C1k: обмен Advcash , Perfect Money , skrill , NETELLER, крипта, приват24, тенге 
13:31 Комплексный прогон по трастовым сайтам, статейное размещение. Рост НЧ-СЧ, Тиц-пр. 
23:54 Как опускать исполнителей на Кворк 
23:39 "Нищая" европейская страна Испания 
20:31 Автоматизированная схема с прибылью от 1500 - 2000 руб. сутки 
19:49 SEO форум: продвижения и оптимизация сайтов 
13:58 ТАСС: Суд 5 мая начнет рассматривать дело блогера Mellstroy, избившего девушку в прямом эфире 
08:42 От создателя протокола BitTorrent и программы BitTorrent! Его новое детище криптовалюта Chia 
22:21 Forbes сообщил, что развод Гейтса может стать одним из самых дорогих в истории