Giv mig feedback på mit website/webshop

Sv.: Feedback på sikkerhedstest af hjemmesider.- Hackavoid.dk

anderssk — Wed, 09 Apr 2008 09:11:44 GMT

Hvejlsel -> Til hver sårbarhed følger links til relevante artikler, der både forklarer problemet og hvordan det kan undgås. Desuden yder vi support, så er der spørgsmål til fejlretningen hjælper vi gerne.

Sv.: Feedback på sikkerhedstest af hjemmesider.- Hackavoid.dk

Hvejsel — Wed, 09 Apr 2008 06:10:26 GMT

Nu har jeg ikke testet systemet, men jeg ville nok mest af alt have lyst til at vide hvordan jeg løste problemet. Det er jo meget fint at vide man har et sikkerhedshul, men hvis der ikke er nogen måde at løse det på indenfor rækkevidde, så er det jo et fedt.

Sv.: Feedback på sikkerhedstest af hjemmesider.- Hackavoid.dk

anderssk — Tue, 08 Apr 2008 06:14:31 GMT

Så er det lavet så man får pengene tilbage, hvis den fulde sikkerhedstest ikke finder nogen sårbarheder.

MVH Anders

Sv.: Feedback på sikkerhedstest af hjemmesider.- Hackavoid.dk

anderssk — Tue, 08 Apr 2008 05:21:08 GMT

Jeg tror måske det kunne være ganske fornuftigt at lave en sådan money back garanti, hvis jeg ikke fandt nogen sikkerhedshuller.

Derfor vil jeg ændre siden senere i dag.

Sv.: Feedback på sikkerhedstest af hjemmesider.- Hackavoid.dk

Oxkjær — Mon, 07 Apr 2008 20:42:27 GMT

Klart, det ville jo være min garanti for, at jeg ville få noget for mine penge eller få mine penge tilbage :-)

Sv.: Feedback på sikkerhedstest af hjemmesider.- Hackavoid.dk

anderssk — Mon, 07 Apr 2008 20:12:01 GMT

Jeg kan godt følge dig. Hvis jeg nu lavede en "money back" garanti, ville du synes bedre om det? Altså hvis den fulde test ikke finder nogen fejl får du dine penge igen.

MVH Anders

Sv.: Feedback på sikkerhedstest af hjemmesider.- Hackavoid.dk

Oxkjær — Mon, 07 Apr 2008 20:08:12 GMT

Nu kan jeg kun tale for mig selv, men hvis jeg fik en rapport der fortalte mig, at jeg havde yderligere 6 fejl på mit site, så ville jeg være langt mere interesseret at købe rapporten.

Hvis jeg f.eks. kun havde/har den ene fejl, så ville jeg føle mig taget ved næsen hvis jeg havde bestilt en fuld rapport som så ikke kunne fortælle mig yderligere.

Sv.: Feedback på sikkerhedstest af hjemmesider.- Hackavoid.dk

anderssk — Mon, 07 Apr 2008 20:02:13 GMT

Jeg har nu tilføjet mere information til fejlbeskederne (ganske kort om hvordan det kan udnyttes) samt links til bl.a. Wikipedia.

Håber det hjælper til at forstå hvor alvorlig f.eks. SQL Injection er.

MVH Anders

Sv.: Feedback på sikkerhedstest af hjemmesider.- Hackavoid.dk

anderssk — Mon, 07 Apr 2008 19:27:18 GMT

Hej Oxkjær.

Tak for svar.

Jeg har netop lavet en ændring således der bliver vedhæftet et HTML-dokument der dokumenterer fejlen på selve siden.

Mht. beskrivelse af sårbarheden kunne det nok være en idé hvis jeg linkede til relevant information til f.eks. Wikipedia. Således brugeren kan læse om fejlen.
Jeg gik nok bare ud fra at enten vidste folk hvad det handlede om eller også googlede man selv fejl-beskeden (F.eks. SQL Injection).

Mht. den fulde sikkerhedstest har jeg overvejet at finde samtlige fejl på siden og så skrive "Der er 6 fejl mere". Men det virker lidt afpressende synes jeg - samtidig med at det kræver meget tid for scanneren, hvis den skulle scanne HELE siden hver gang (og ikke bare stoppe efter f.eks. 3 sider).

Ja, du kan have din tvivl om du har flere sikkerhedshuller.. men tør man satse på det, når man lige har fået oplyst et alvorligt hul - som hvis det blev udnyttet kunne nedlægge ens hjemmeside.

MVH Anders

Sv.: Feedback på sikkerhedstest af hjemmesider.- Hackavoid.dk

Oxkjær — Mon, 07 Apr 2008 19:17:44 GMT

Det vil helt klart være en fordel hvis man fik lidt mere info om hvordan den pågældende sårbarhed kunne blive udnyttet. I mit tilfælde, kan jeg ikke se hvordan min "fejl" skulle kunne udgøre nogen form for risiko, men nu er jeg heller sikkerhedsekspert.

Jeg tror ikke det vil hjælpe med et link inkl. parameter, men noget på skrift som er nemmere at forstå.

Nu ved jeg ikke om den fulde rapport er mere detaljeret, men umiddelbart ville jeg ikke "turde" købe den på baggrund at gratistesten.

Endvidere, så tror jeg, at du vil få nemmere ved at sælge dit koncept, som jeg iøvrigt finder ret brugtbart, hvis din rapport indeholdt en oplysning om hvor mange sårbarheder der blev fundet ialt, jeg mener, hvorfor skulle jeg købe en fuld rapport hvis mit site kun indeholder den fejl som jeg fik gratis?

Sv.: Feedback på sikkerhedstest af hjemmesider.- Hackavoid.dk

anderssk — Mon, 07 Apr 2008 18:49:17 GMT

Jeg har allerede fået feedback pr. e-mail. Det var lidt hvad jeg frygtede måske ville være et problem - at folk ikke forstår beskrivelsen af sikkerhedshullerne.

Et eksempel kunne være:

SQL Injection:
------------------------------
URL:
http://www.xxxxxx.dk/default.asp

POST parametre:
search='
------------------------------

Jeg kunne vedhæfte en HTML side som automatisk videresender brugeren med ovenstående parameter således at fejlen er synlig på brugerens side. Mon dette ville hjælpe?

MVH Anders

Feedback på sikkerhedstest af hjemmesider.- Hackavoid.dk

anderssk — Mon, 07 Apr 2008 17:57:41 GMT

Hej Amino'er.

Så har jeg efter lang tids udvikling sat www.hackavoid.dk i søen. Jeg er spændt på jeres kommentarer - alle er velkomne.

Det jeg har udviklet er en online sårbarhedsscanner, der gennemsøger hjemmesider for sikkerhedshuller. Første hul er gratis - ønskes fuld test skal der betales :)

Hvis nogen skulle få lyst til en fuld sikkerhedstest, har jeg lavet et godt tilbud til Amino'er: www.hackavoid.dk/aminorabat.aspx.

Hvad synes I?

MVH Anders