Не удержался от того чтобы не похвастаться =)
Наверное, вы обратили внимание, что не так давно я написал пост с просьбой поделится инвайтом на хабра хабр. И вот теперь я наконец полноценный пользователь хабрахабра.
Выражаю огромную благодарность некоему Кириллу за то что откликнулся на мое клянчанье инвайта и таки уговорил своих друзей мне его дать =)
Наконец я тоже смогу разводить срач в комментариях наравне с остальными пользвателями хабрахабра ;)
Сегодня понадобилось ковырнуть эту CMS.
Оффсайт цмски www.etomite.org
Немного кривой код написанный, типа, на ООП. Но логика - бред. По сути вся цмска запихнута в один файл index.php в виде одного класа. Вообщем полный бред. Судя по коду авторы что то слышали насчет безопасности, но судя по всему всего лишь краем уха. Так как было найдено:
Ну и вероятно это не предел, так как найдя эти уязвимости я остановился.
Далее описание уязвимостей, уязвимый код, и пример эксплуатации.
Читать далее →
Создаю эту запись в своем блоге с надеждой что кто-то из хабравчан таки читают мой блог.
Так уж сложилось что до сих пор я не удосужился разжится инвайтом на habrahabr, о чем почему то сожалеть начал именно сейчас. Я не знаю о чем можно написать в песочницу (нет ни одной стоящей темы за которую как мне кажется могли бы дать инвайт), поэтому обращаюсь к вам. Ребят, если вам не жалко, подарите мне инвайт, пожалуйста.
ICQ: 4111118
Почта: intsystem88@yandex.ru
Или оставьте ваши контакты в комментариях к этому посту.
Буду очень признателен за помощь.
Сегодня мне в голову пришла замечательная и в тоже время простая идея, как можно сделать систему которая сможет самообучатся и распознавать капчи со стопроцентным результатом. Но для начала картинка в тему:
Так что имейте ввиду, я не врал когда говорил что любую капчу можно обойти :D
Итак, вернемся к делу. Предлагаемый мной метод к сожалению подходит не для любой реализации капчи, так как не все их реализации уязвимы к моей атаке, но на уязвимых капчах мой метод гарантирует практически 100%-ое распознавание, плюс дает возможность самообучать систему распознавания.
Читать далее →
Недавно я выкладывал спаршенную мной Базу мобильных операторов всего мира. Но так как мне, как и любому человеку свойственно ошибаться, я немного накосячил с кодами и префиксами Казахстана (спасибо некоему Isis за то что указал на эти ошибки).
Ну и также поступило предложение добавить в базу российские префиксы (они и были раньше, но вот только не совсем детализированные, и многие диапазоны пересекались). И еще немного изменил формат базы (разбил на разные таблицы).
Вообщем теперь в БД хорошая детализация по России, так что для каждого номера будет опеределятся конкретный оператор, а не список возможных.
Читать далее →
Не так давно писал про этот роутер (см. D-Link DIR-412 ) Кому лень идти по ссылке напомню, это небольшой Wi-Fi роутер, основная цель которого раздавать интеренет от 3g модема по WiFi. Вполне себе удобно.
Вот. О чем собственно этот пост. На днях решил поковырять его прошивку. Много наковырять не получилось, все таки уровень знаний в этой области не тот, но узнал такую забавную штуку. К роутеру можно коннектиться по telnet, хотя это нигде не задокументированно, даже в интернете об этом ни слова.
Читать далее →
Очень часто любому разработчику приходится сталкиваться с такой ситуацией:
Начинающий программист решит эту задачу в три запроса, приблизительно так:
$result=mysql_query("SELECT * FROM `logs` WHERE `ip`='".$ip."'"); if(mysql_num_rows($result)==0){ mysql_query("INSERT INTO `logs` (`ip`, `data`) VALUES ('".$ip."', '".$data."')"); }else{ mysql_query("UPDATE `logs` SET `data`='".$data."' WHERE `ip`='".$ip."'"); }
Ну а не начинающий знает о конструкции
INSERT ... ON DUPLICATE KEY UPDATE ...Что дает такая конструкция помимо краткости записи? Она дает выйгрыш в скорости! Тесты под катом.
Читать далее →
Всем известно, что гугл, наверное одна из первых корпораций, которая решила платить за найденные в их продуктах, баги. И, буквально, вчера гугл выделил под это один миллион долларов. Это, конечно, круто и, на первый взгляд, достойно уважения.
Но интересно насколько гугл справедлив и объективен в оценке стоимости своих уязвимостей? Казалось, если под это дело выделен целый лям баксов, то можно бы особо и не скупится. Но, как оказалось, в гугле сидят или очень жадные люди, или люди, которые не могут трезво оценить стоимость предоставленных им уязвимостей.
К примеру во сколько бы вы оценили стоимость уязвимости, которая позволила бы вам взломать половину всех пользователей планеты? А хотите узнать во сколько оценил эту уязвимость гугл?
Читать далее →
Сегодня решил открыть эту рубрику.
У меня есть неплохой опыт в аудите безопасности. И в голове проскакивают новые идеи. Вообщем своим опытом и новыми идеями в методах противодействия хакерам я буду делится в этой рубрике.
Читать далее →
Многие из PHP кодеров наверняка замечали что в библиотеке GD, помимо использования шрифтов TrueType, FreeType, встроенных в GD шрифтов и т.д. можно использовать некие GDF шрифты.
Формат этот очень редкий и используется только в библиотеке GD. Конечно если хорошо погуглить то можно найти уже перекодированные шрифты, онлайн сервисы для перекодирования из TTF и десктопную программу 2002 года под винь для рисования GDF шрифтов и перекодированию из TTF. Но к сожалению, не все шрифты уже перекодированны да и что делать если нам нужен свой шрифт? Онлайн сервисы не всегда удобны. А десктопная программа - не всегда лучший выход.
Читать далее →