这是一个创建于 2585 天前的主题,其中的信息可能已经有所发展或是发生改变。
现在有个需要用户登录并输入个人信息的网站,需要做安全强化:
登陆页面 http 变成 https (我们负责申请 certs) 登陆页面预防 SQL Inject 密码从明文保存改为 hash 保存
以及其他有必要的安全措施。
话说这里有人愿意 /有能力接这个活吗?
 |
1
23 2017-03-22 13:28:43 +08:00
给个联系方式吧
|
 |
2
wangdazhitech 2017-03-22 13:32:27 +08:00 via iPhone
这个真没什么复杂的
|
 |
3
jianzhiyao020 2017-03-22 13:35:34 +08:00
请联系我
|
 |
4
realpg 2017-03-22 13:40:42 +08:00
敢不敢先把网址或者功能截图发一下
感觉就是 1000 元钱的事儿 |
 |
5
yulitian888 2017-03-22 13:41:25 +08:00
并不复杂,为嘛不自己做?
另外 hash 算法太弱。加盐,确保一样的明文得不到同样的秘闻。 |
 |
6
shench 2017-03-22 13:43:21 +08:00
这也叫活?
|
 |
7
TheGreatSage 2017-03-22 13:47:25 +08:00
请联系我
|
 |
8
silencefent 2017-03-22 13:57:19 +08:00
laravel 里面有这个功能,移过去改动一下接口
|
 |
10
lauix 2017-03-22 15:01:08 +08:00
加上个人信息 简单,改成 https 简单,安全防护最难,一个 sql 注入只是安全防护的一种,还有很多需要做的。
|
 |
11
tigerstudent 2017-03-22 15:13:25 +08:00 via Android
楼主上面提到的给 1000 可以了,“其他”要 10w 。
/手动滑稽 |
 |
12
Kilerd 2017-03-22 15:26:04 +08:00 via iPhone
以及其他有必要的安全措施。
看到这句话,就不想接了。 等下拿了可怜的几百块,才过没两天就又找我说这里应该还需要防护下,那里再防护下。 感觉会无止境啊 |
 |
13
torbrowserbridge 2017-03-22 15:28:23 +08:00
SQL INJECTION 我感觉这个可多可少。报价慎重。
|
 |
14
notes 2017-03-22 15:35:46 +08:00 via Android
上一台 waf ,日志审计做起来, 10w 可以
|
 |
15
thankuu 2017-03-22 15:37:20 +08:00
以及其他有必要的安全措施,嘿嘿
而且原有用户已保存的密码还要处理 |
 |
16
murmur 2017-03-22 15:38:33 +08:00
其他这个很微妙啊
|
 |
17
l9rw 2017-03-22 15:42:08 +08:00
除了那个其它,确实 100 就够了
|
 |
18
aksoft 2017-03-22 15:59:54 +08:00
多少钱的都有
|
 |
19
bonfy 2017-03-22 16:07:32 +08:00 via iPhone
馬上会有除了其他 50 够了的么?
|
 |
20
doctorlai 2017-03-22 16:11:27 +08:00 via iPhone
看成找个活人。 z z
|
 |
21
xiaqinglin 2017-03-22 16:13:27 +08:00
没做过但想学,免费帮你做可以不
|
 |
22
littleylv 2017-03-22 16:15:53 +08:00
以及其他有必要的安全措施(手动滑稽
|
 |
23
gamexg 2017-03-22 16:18:04 +08:00  1
没人觉得这是个坑吗?
增加 sql 注入防护+明文保存密码,意味着代码质量非常糟糕,下面还跟了个“以及其他有必要的安全措施”。 |
 |
24
macleek 2017-03-22 16:19:16 +08:00
楼主看了 reddit 那帖子害怕了把😁
|
 |
25
KasonPasser 2017-03-22 16:20:17 +08:00
http => https 不就是配置一下服务器。 密码 从明文到 hash 不就是改登录注册这一块的功能么,就写一个密码的 hash 方法,登录注册时调用一下这方法就可以了。还有就是把现在的密码都调用 hash 方法更新更新进去就可以了。
|
 |
26
allinwonder OP |
|
27
allinwonder OP @macleek 基本上我们那个网站就处于 reddit 那个帖子里的网站的状态(可能还不如,还跑在 windows server 2003 上呢。。。。)我们是非营利机构,没有专职 IT 和 developer ,现在的系统是个实习生 7 年前写的
|
 |
28
8355 2017-03-22 16:44:03 +08:00
@allinwonder #27 7 年前的实习生
 |
 |
29
mcone 2017-03-22 17:00:46 +08:00
建议楼主把“以及其他有必要的安全措施。”写清楚
除了这句话,其他的 CNY100 ,你能找到一大把人可以做,但是这个“其他”,你什么都没说,完全没办法明码标价,如果非得这么笼统的话,请参考一个 7*24 安全运维团队的工资…… |
 |
30
030 2017-03-22 17:27:07 +08:00
大概三个吧
1.SSL 2.SQL Inject 3.密码加盐 SHA256 1 、 3 你们说 CNY100 我我信, SQL INJECT 搞不好就是重构整个项目,谁来帮我做下? |
 |
31
atnopc 2017-03-22 17:33:12 +08:00
去年有个我半路接手的客户,做的是商城,蛮大的,月流水在 200-300W
从来没在意过安全这方面,直到某一天被个小娃娃日了,因商城有用佣金模式所以有无须审核的自动打款相关的东西 半小时被搞出去 18W 当时那家开发公司收了他们 60w 的开发费用,我们接手后分析了下代码,简直惨不忍睹 前端各种洞,明文传递系统敏感数据,交易流程各种前端判定,简直了...... 有必要的安全措施,真的有可能是很大一工作 |
 |
33
murusu 2017-03-22 18:03:21 +08:00
说 100 能做的,恐怕没考虑 SQL Inject 这点会有多坑
|
 |
34
Light3 2017-03-22 18:37:31 +08:00
其他是啥??
|
 |
35
twm 2017-03-22 18:49:10 +08:00 via iPhone
10 块成交 不能再少了
|
 |
36
falcon05 2017-03-22 18:54:08 +08:00 via iPhone
这可不好说,这种修改很大程度看原来的写得怎么样? 如果是那种藕合非常高的,拆东墙补西墙,又留下一堆新的 bug
|
 |
37
allenhu 2017-03-22 19:04:57 +08:00
1000 吧,但是我估计 100 也有人接,做不做得好就另说了
|
 |
38
yu1u 2017-03-22 19:09:04 +08:00
需要渗透测试可以找我
|
 |
39
swulling 2017-03-22 19:09:06 +08:00
程序员也不要恶意破坏市场么, 100 块是在搞笑么?
包括沟通,改代码,联调测试,上线部署。处理一些杂七杂八的事情,怎么也得 2-3 个小时吧。 外包时薪怎么也得三四百起吧,恶意破坏市场的后果就是外包沦为苦力 |
 |
40
jiangzhuo 2017-03-22 19:11:12 +08:00
Google Forms 免费,好像完全符合楼主需求啊
|
 |
41
nickid 2017-03-22 19:52:54 +08:00
说 100 的,你们的时间我感觉真的不值钱啊
 |
 |
42
iyangyuan 2017-03-22 21:21:43 +08:00 via iPhone
别抢别抢, 10 块钱全包了,速速联系我
|
 |
43
bk201 2017-03-23 11:01:12 +08:00
1 , 3 大概 2 个小时,算时薪 600 ,,价格 x2 。但是 2 就说不好了,至于其他,就要另外加钱了。
|
 |
44
we3613040 2017-03-23 11:51:23 +08:00
密码从明文改为 hash ,觉得碉堡了,哪年的程序了,还明文
|
 |
45
aabbccli 2017-03-23 14:17:43 +08:00
安全是个大命题了, YAHOO 这么强的公司还时不时被黑呢。
|
 |
46
dajiangyou6868 2019-05-22 20:16:17 +08:00
需要渗透,加我 skype: [email protected]
|
Select Language