这是一个创建于 3126 天前的主题,其中的信息可能已经有所发展或是发生改变。
现在有个需要用户登录并输入个人信息的网站,需要做安全强化:
登陆页面 http 变成 https (我们负责申请 certs) 登陆页面预防 SQL Inject 密码从明文保存改为 hash 保存
以及其他有必要的安全措施。
话说这里有人愿意 /有能力接这个活吗?
 | 1 23 2017-03-22 13:28:43 +08:00 给个联系方式吧 |
 | 2 wangdazhitech 2017-03-22 13:32:27 +08:00 via iPhone 这个真没什么复杂的 |
 | 3 jianzhiyao020 2017-03-22 13:35:34 +08:00 请联系我 |
 | 4 realpg PRO 敢不敢先把网址或者功能截图发一下 感觉就是 1000 元钱的事儿 |
 | 5 yulitian888 2017-03-22 13:41:25 +08:00 并不复杂,为嘛不自己做? 另外 hash 算法太弱。加盐,确保一样的明文得不到同样的秘闻。 |
 | 6 shench 2017-03-22 13:43:21 +08:00 这也叫活? |
 | 7 TheGreatSage 请联系我 |
 | 8 silencefent 2017-03-22 13:57:19 +08:00 laravel 里面有这个功能,移过去改动一下接口 |
 | 10 lauix 2017-03-22 15:01:08 +08:00 加上个人信息 简单,改成 https 简单,安全防护最难,一个 sql 注入只是安全防护的一种,还有很多需要做的。 |
 | 11 tigerstudent 2017-03-22 15:13:25 +08:00 via Android 楼主上面提到的给 1000 可以了,“其他”要 10w 。 /手动滑稽 |
 | 12 Kilerd 2017-03-22 15:26:04 +08:00 via iPhone 以及其他有必要的安全措施。 看到这句话,就不想接了。 等下拿了可怜的几百块,才过没两天就又找我说这里应该还需要防护下,那里再防护下。 感觉会无止境啊 |
 | 13 torbrowserbridge 2017-03-22 15:28:23 +08:00 SQL INJECTION 我感觉这个可多可少。报价慎重。 |
 | 14 notes 2017-03-22 15:35:46 +08:00 via Android 上一台 waf ,日志审计做起来, 10w 可以 |
 | 15 thankuu 2017-03-22 15:37:20 +08:00 以及其他有必要的安全措施,嘿嘿 而且原有用户已保存的密码还要处理 |
 | 16 murmur 2017-03-22 15:38:33 +08:00 其他这个很微妙啊 |
 | 17 l9rw 2017-03-22 15:42:08 +08:00 除了那个其它,确实 100 就够了 |
 | 18 aksoft 2017-03-22 15:59:54 +08:00 多少钱的都有 |
 | 19 bonfy 2017-03-22 16:07:32 +08:00 via iPhone 上会有除了其他 50 够了的么? |
 | 20 doctorlai 2017-03-22 16:11:27 +08:00 via iPhone 看成找个活人。 z z |
 | 21 xiaqinglin 2017-03-22 16:13:27 +08:00 没做过但想学,免费帮你做可以不 |
 | 22 U7Q5tLAex2FI0o0g 2017-03-22 16:15:53 +08:00 以及其他有必要的安全措施(手动滑稽 |
 |  1 没人觉得这是个坑吗? 增加 sql 注入防护+明文保存密码,意味着代码质量非常糟糕,下面还跟了个“以及其他有必要的安全措施”。 |
 | 24 macleek 2017-03-22 16:19:16 +08:00 楼主看了 reddit 那帖子害怕了把 |
 | 25 KasonPasser 2017-03-22 16:20:17 +08:00 http => https 不就是配置一下服务器。 密码 从明文到 hash 不就是改登录注册这一块的功能么,就写一个密码的 hash 方法,登录注册时调用一下这方法就可以了。还有就是把现在的密码都调用 hash 方法更新更新进去就可以了。 |
 | 26 allinwonder OP |
| 27 allinwonder OP @macleek 基本上我们那个网站就处于 reddit 那个帖子里的网站的状态(可能还不如,还跑在 windows server 2003 上呢。。。。)我们是非营利机构,没有专职 IT 和 developer ,现在的系统是个实习生 7 年前写的 |
 | 28 8355 2017-03-22 16:44:03 +08:00 @allinwonder #27 7 年前的实习生  |
 | 29 mcone 2017-03-22 17:00:46 +08:00 建议楼主把“以及其他有必要的安全措施。”写清楚 除了这句话,其他的 CNY100 ,你能找到一大把人可以做,但是这个“其他”,你什么都没说,完全没办法明码标价,如果非得这么笼统的话,请参考一个 7*24 安全运维团队的工资…… |
 | 30 030 2017-03-22 17:27:07 +08:00 大概三个吧 1.SSL 2.SQL Inject 3.密码加盐 SHA256 1 、 3 你们说 CNY100 我我信, SQL INJECT 搞不好就是重构整个项目,谁来帮我做下? |
 | 31 atnopc 2017-03-22 17:33:12 +08:00 去年有个我半路接手的客户,做的是商城,蛮大的,月流水在 200-300W 从来没在意过安全这方面,直到某一天被个小娃娃日了,因商城有用佣金模式所以有无须审核的自动打款相关的东西 半小时被搞出去 18W 当时那家开发公司收了他们 60w 的开发费用,我们接手后分析了下代码,简直惨不忍睹 前端各种洞,明文传递系统敏感数据,交易流程各种前端判定,简直了...... 有必要的安全措施,真的有可能是很大一工作 |
 | 33 murusu 2017-03-22 18:03:21 +08:00 说 100 能做的,恐怕没考虑 SQL Inject 这点会有多坑 |
 | 34 Light3 2017-03-22 18:37:31 +08:00 其他是啥?? |
 | 35 twm 2017-03-22 18:49:10 +08:00 via iPhone 10 块成交 不能再少了 |
| 36 GG668v26Fd55CP5W 2017-03-22 18:54:08 +08:00 via iPhone 这可不好说,这种修改很大程度看原来的写得怎么样? 如果是那种藕合非常高的,拆东墙补西墙,又留下一堆新的 bug |
 | 37 allenhu 2017-03-22 19:04:57 +08:00 1000 吧,但是我估计 100 也有人接,做不做得好就另说了 |
 | 38 yu1u 2017-03-22 19:09:04 +08:00 需要渗透测试可以找我 |
 | 39 swulling 2017-03-22 19:09:06 +08:00 程序员也不要恶意破坏市场么, 100 块是在搞笑么? 包括沟通,改代码,联调测试,上线部署。处理一些杂七杂八的事情,怎么也得 2-3 个小时吧。 外包时薪怎么也得三四百起吧,恶意破坏市场的后果就是外包沦为苦力 |
 | 40 jiangzhuo 2017-03-22 19:11:12 +08:00 Google Forms 免费,好像完全符合楼主需求啊 |
 | 41 nickid 2017-03-22 19:52:54 +08:00 说 100 的,你们的时间我感觉真的不值钱啊  |
 | 42 iyangyuan 2017-03-22 21:21:43 +08:00 via iPhone 别抢别抢, 10 块钱全包了,速速联系我 |
 | 43 bk201 2017-03-23 11:01:12 +08:00 1 , 3 大概 2 个小时,算时薪 600 ,,价格 x2 。但是 2 就说不好了,至于其他,就要另外加钱了。 |
 | 44 we3613040 2017-03-23 11:51:23 +08:00 密码从明文改为 hash ,觉得碉堡了,哪年的程序了,还明文 |
 | 45 aabbccli 2017-03-23 14:17:43 +08:00 安全是个大命题了, YAHOO 这么强的公司还时不时被黑呢。 |
 | 46 dajiangyou6868 2019-05-22 20:16:17 +08:00 需要渗透,加我 skype: [email protected] |
Select Language