Jump to content
¯\_( ツ)_/¯
  • Sponsored Ad
  • TAD GROUP are currently hiring penetration testers. Please read the topic in Career Central subforum.

Цялата активност

Този поток се обновява автоматично     

  1. Последният час
  2. От моя страна не е отправена атака към сайтовете в този видеоклип! Приятно гледане!
  3. CSRF защита или не

    С примера ли ми не си съгласен? Нито веднъж не се обоснова, а все си критичен.
  4. CSRF защита или не

    Не съм сългасен с някой от нещата в последния коментар, но щом си казал, спирам да пиша
  5. Today
  6. CSRF защита или не

    Не ми обяснявай на мен какво е XSS, по-добре от теб знам разликите. Ясно е, че класовете ни са пример за генериране на ключове против CSRF, но от много коментари насам се опитвам да ти обясня, че ти даде грешен пример със кражбата на сесии. Както и да е, явно не вникваш в нещата, които ти казвам. Ще ти дам много прост пример с една форма тук: http://jsfiddle.net/yGCSK/240/ Натискайки "Изпращане" ти правиш две отделни атаки. Първо правиш CSRF, защото формата не се намира на сървъра на google.bg, а физически е на jsfiddle.net . От физическото място се изпраща заявка към сървъра на гугъл и вече следва обработката от страна на техният сървър. Втората атака е опит за инжектиране на скрипт и изпълняването му в браузъра. Уви не минава (филтрира се добре) и ни връща резултат. Класовете ни се опитват да защитят точно от такова изпращане на заявки от други места различни от собственият ни сайт и това е същината на CSRF уязвимостите.
  7. CSRF защита или не

    Не съм казвал такова нещо. Не. XSS може да бъде изполван за такава цел. Не защитават. И никой не претендира, че го правят. Те са просто примери за CSRF токени към форма.
  8. CSRF защита или не

    Напротив, XSS не е CSRF!!! Двете атаки са съвсем отделни неща. Може да се комбинират, но определено не са едно и също и определено могат да съществуват самостоятелно! Не извъртай нещата. Обясних ти по-горе къде ти сгреши. Кражбите на сесии (бисквитки) са XSS, поради естеството на работа с браузъра и използването на уязвимости при филтрирането на входящите от формата данни. CSRF изобщо не го интересуват входящите данни дали се филтрират или не. Това е атака от място различно от страницата на която си създал формата. CSRF може да подава спам и каквото още е позволено към формата, но го прави от място различно от оригиналната страница. Тоест от отдалечено място прави post или get заявка към сървъра ти. С какво класовете, които сме създали по-горе ни защитават от XSS? Не заблуждавам никой, че двете неща не могат едно без друго, обяснявам лично на теб разликите между двете атаки. Кражбата на бисквитки и използването им за възстановяване сесията на потребител Х е уязвимост, която означава съвсем друг проблем за решаване. Това не е CSRF.
  9. CSRF защита или не

    Има доста начини за извършване на CSRF. XSS е един от тях. Не мисля, че трябва да се говори едновременно да тях до такава степен. Ще заблудиш някой, че едното не същяествува без другото.
  10. Разбира се, че ще поставя на обсъждане проблема и повярвайте той не е само един. А за формите на обръщение сте прав. За мен не е проблем. Може спокойно да общуваме на ти. В това няма нищо лошо. Важно е да не губим комуникация.
  11. Аз също чета Вашите теми и постове с охота, както и виждам, че има стабилни колеги тук. Проблема е, че типично по Български сме противоположни на световната идея за open data. Тук върлуват клишета, които даже не се поставят под въпроситела... Как може да се създава някакъв проект без да си зададеш фундаменталните за него въпроси? Както и да е. Ако е възможно да поставите задачата тук, за да си размътим мозъчетата и ние? Чисто от любопитство питам, не с друга цел! Впрочем, надявам се, че не е проблем да пиша и на "Ти", просто защото приемам комуникацията за не формална. Идеята ми е, че тук дори да не се познаваме лично на Вие се коментира доста по-спестено спрямо обясненията на някоя тема. Получава се разделение на стиловото обръщане и е малко трудоемко за читателите да сменят постоянно формите на обръщение от Вие на Ти.
  12. Напълно съм съгласен. Паралелните процеси са огромно предимство при мрежови анализи. Има много въпроси, които чакат своето решение. Вчера имах телефонно обаждане във връзка с конкретна задача, която се оказва непосилна за големите научни звена. А задачата трябва да се реши при това в кратък срок. Ако ми позволите ще направя малко отклонение от основната тема. Всъщност не бих казал, че темата е неподходяща за тук. Да. Има много млади колеги, които считат, че всичко се свежда до методи от 90-те години и това, което масово се тиражира в internet. От друга страна има много млади хора, които показват завидни познания. Именно в този форум срещнах един от настоящите си колеги. Тук срещнах и други младежи, които ме впечатлиха много приятно. С последният се видяхме лично, запознах го с някои аспекти на нашата дейност и се надявам да продължим с бъдещи съвместни проекти. Все пак качествените хора са повече. Вие също сте човек, от който черпя полезна информация. Дискусията с Вас ме обогатява, а и винаги сте възпитан. Това никак не е малко. Определено други форуми от домейна xakep имат съвсем друга структура. Там се пише сериозно, а аргументацията е желязна. Мисля, че тук просто имаме отражение на процеси, които са характерни за образованието в България, през последните десетилетия. Мисля, че ще преодолеем това. Важно е да даваме добър пример. Разберете ме - те не са имали алтернатива. Никой не им е показал нещо различно от клишетата. Те са деца и трябва да им се даде шанс. А за нас е важно да продължим да се усъвършенстваме. Още веднъж Ви благодаря най-искрено за дискусията.
  13. Паралелните процеси са наистина една много интересна тема за обсъждане, но не е за този форум. Тук не се търси идейна производителност, която впрочем може да се използва много приятно за обработване на големи масиви и изчакване на информация, а се търси нещо от сорта на Havij. Ръгай url-то с GET параметър накрая и се моли SQLi да проработи. След това следва едно хвалене, едни теми как се "хаква" сайта и други. Реално не се разбира защо се е достигнало до там. Използвам паралелни процеси с PHP. Нужни са ми за различни проекти и по тази причина се интересувах доста от материята, поне за езика, но тя динамиката и алгоритъма важи и за много други езици.
  14. CSRF защита или не

    Не можеш да го обясниш, защото говориш за съвсем друг вид атака. Кражбата на сесия се прави посредством XSS и инжектиране на зловреден код. Има смисъл, защото хората масово бъркат нещата, както в случая и ти сбърка. CSRF (Cross Site Request Forgery) грубо се превежда "Кръстосана фалшива заявка за сайт". XSS (Cross-Site Scripting) е нещо съвсем различно, като атака. CSRF token се опитва да защити формата от изпълнение на място различно от страницата на твоят сайт. XSS филтрирането се опитва да те защити от инжектирането на не регламентиран код: "<script>alert('XSS атака')</script>". XSS може да доведе до кражба на сесията (по-скоро за бисквитки говорим но и това не е грешно по ред причини), което ще афектира директно върху потребителите. За разлика от него CSRF може да доведе до много различни ситуации. От проблеми за потребителите до проблеми за приложението. И двете атаки са опасни, често бъркани и много грешно разбрани. Надявам се, че с новополучената информация ще се замислиш дали моят и твоят код в тази си форма, реално защитават от CSRF. Аз мога да обясня до къде се простира предела им, но не смятам, че е редно да го правя, щом не се разбира работата и целта им.
  15. Вчера
  16. Как се прави ...

    След като добихме някаква бегла представа какво е OSI моделът, нека да се опитаме да разясним и няколко други специфични термини. SNMP (англ. Simple Network Management Protocol) По определение SNMP e стандартен internet-протокол за управление на устройства в IP-мрежи, базирани на TCP/UDP архитектура. ПРОСТИЧКО КАЗАНО ТОВА Е "ПРОСТИЧЪК" ПРОТОКОЛ ЗА УПРАВЛЕНИЕ НА МРЕЖОВИЯ ТРАФИК. За това "просто" нещо отговаря не кой да е, а самият ИНЖЕНЕРЕН ИНТЕРНЕТ СЪВЕТ (Internet Engineering Task Force - IETF, официален адрес: http://www.ietf.org/ ) , който всички ние сме длъжни да уважаваме защото без него нямаше да има YouTube, Google, Facebook, Skype, Instagram, PayPal, електронна поща, електронна търговия и де що е гадост, именувана "виртуални благини". Това, че много от подрастващите не са и чували за тази организация е без значение. IETF също не е чувала за тях. Но ние трябва да знаем какво се прави там, защото ако я няма тази организация какви хакери ще да сме, питам? Но да се върнем на въпроса за SNMP (за който също малцина подрастващи са чували, но без който не може) ... SNMP се състои от три ключови елемента както следва: 1. Устройство - Устройството, което се управлява; 2. Програмното осигуряване (АГЕНТЪТ) - Програмата, която се стартира на или управляваното устройство или на интерфейсът към него и без която нищо не се случва; 3. Системата за мрежово управление (Network Management System, NMS) - което също е софтуер. Този софтуер си взаимодейства с мениджъра, който отговаря за комплексната поддръжка на данните, които отразяват състоянието на мрежата. SNMP има седем протоколни единици на обмен, които са много интересни, защото ни позволяват да получим изключително полезна информация, без да се налага да "хакваме" каквото и да било. Но за това ще си поговорим друг път. Сега малко отклонение за по-младите ни колеги. Уважаеми, В тази тема няма да прочетете "как се хаква Facebook" защото това не е интересно. Повярвайте много по забавно е да разберем: КАК ДА ПОСТАВИМ НА КОЛЕНЕ ДЕ ЩО Е ДЪРЖАВА В СВЕТА, ОТ ДОМАШНИЯ СИ КОМПЮТЪР? Вие си мислите, че тези, които ги дават по телевизията са умни, красиви и ги разбират нещата. Повярвайте това не е така. Тези, които ги разбират, четат. Четат. Четат. Четат и пак четат. Това може и да е гадно, но резултатите си струват. Има и друго. Това, което обсъждаме тук не се дава на олимпиади по програмиране. Не се и учи в университетите. Там се учат други неща. Там основно се обсъждат неща като сортировки, матрична алгебра и др. неща от материя, която може да приемем за академична. На нас обаче ни трябват инструменти. Такива обаче никой няма да ни предостави, дори и да си платим (което както се знае ние не обичаме да правим, защото всичко трябва да е безплатно в т.ч. бензинът, дизела, кебапчетата, бирата, топлия хляб, луканката, марковите маратонки, входа за дискотеката, водката, кафето и т.н.). И какво правим тогава, а? Трябва да положим усили за да си направим сами инструментите, които ни трябват (онези от IBM, Cisco, Novell и др. не щат да си ги дават и това е). Разбирам, че не е честно, но и живота не е честен. Гаден е и не е само забава. Само за забавление е девиза на една ОС, която се финансира от АНС, но това не е хубаво да се казва в България, защото за такива думи могат и да те набият. И в чужбина не се казва. Ей, на и Microsoft бяха убедени да приемат "правата вяра". Ние обаче не бива да имаме сляпо доверие на всичко, което ни се казва. Никога не вярвайте на следните неща: 1. На политиците; 2. На журналистите; 3. На финансистите; 4. На бюрократите в МОН (там са направо за прокурор); 5. На НПО-тата; 7. На INTERNET; Най-вече не вярвайте на тези, които се опитват да ви убедят, че от андронният колайзер има някаква полза. Те просто се опитват да оправдаят огромните субсидии, които крадат от джоба ни. Истината не е в синьото хапче (ако си спомняте онзи велик момент от "Матрицата" на Ушаковски). Истината не е и някъде там (това е от "Досиетата X"). Истина няма. Има нещо, което се доближава до истината, но това е вашето или моето виждане по даден въпрос, което повярвайте не винаги е актуално.
  17. Какво е Flood атака ?

    Купете си VPN от мен, чиста работа!
  18. Абсолютно правилно и признавам, че отговорът ме впечатли много приятно. Паралелните процеси са доста интересна материя. Много благодаря. Информацията е изключително полезна.
  19. Последната седмица
  20. CSRF защита или не

    Не мисля, че мога да обясня добре, колко други са го правили. Има достатъчно казано по тази материя в интернет. В темата, никой друг не е проявил интерес, има ли смисъл?
  21. Най-добрият антивирусен софтуер за домашен потребител на Windows 2018 1. Антивирус - AhnLab V3 Internet Security 9.0 За повече инфо, можете да прочетете тук. https://www.av-test.org/en/antivirus/home-windows/windows-7/february-2018/
  22. Избор на линукс дистрибуцуя

    Ами след инсталацията няма толова иконки, не гледай тук а и можеш да добавяш и премахваш. Всеки избира тази,и аз съм си я инсталирал, но ти си знаеш. Има много но не знам дали ще ти харсат.
  23. CSRF защита или не

    Виждам, че не пожела да обясниш, как така се краде сесията на потребителя, но харесваш коментарите ми тук. Много интересно ми стана това твърдение, но не пожела да защитиш думите си. Все още не съм обяснил, защо защитата не работи, но наистина на хората тук не им се слуша за такива "модерни" проблеми. Дай им SQLi да си дъмпват старите сайтове или умрели теми за Kali Linux, а да не говорим и за социалните мрежи. Тази тема е актуална и в момента се обсъжда от много специалисти в областта с търсене на по-адекватно решение, без да се натоварват потребителите. Уви, в този форум не се обсъждат нови неща.
  24. Избор на линукс дистрибуцуя

    Точно за тази си мислих и аз,ама малко да се поопрости че толкова много пренатрупани икони не ме кефи нещо.
  25. Здравейте! Аз имам сервиз в който продавам най-различни неща! 2 от тях са Booter-s и VPN-и! Сервиза се намира в discord: https://discord.gg/J4R4AZR Нямам сайт, не ми и трябва. VPN-ите са с добро качество, идеални за всичко, 24/7 uptime, няма да усетите разликата + дори аз мога да Ви го инсталирам ако нещо не знаете! За цени можете да видите в discord!
  26. Проблем с wifi в kali linux

    Събуждам стара тема, но се оказва, че съм закупил V3.0 на TL-WN722N. дали този начин ще проработи и v3.0?
  27. CSRF защита или не

    Явно темата е безинтересна тук, въпреки, че защитата е масова в момента.
  28. Дай повече информация за проекта. Ако желаеш може и на лично да ми пишеш.
  29. Много интересен въпрос ми зададе. Благодаря ти. PHP по принцип не изпълнява така наречените мулти нишки. Въпреки това, библиотеката CURL предлага изпращането и обработването на мулти заявки създавайки дърво съдържащо задачите чакащи отговор от отсрещната страна. Понеже визира, че въпроса ти не е за тези многонишкови процеси, ако съм те разбрал правилно, то ме питаш дали един клас може да се изпълнява паралелно (успоредно) на две места. Създаваш си класът parallel.php, създаваш и две страници index1.php и index2.php. Инклудваш в индекс 1 и индекс 2 класът parallel и му правиш по една инстанция. Викаш си изчислителните методи и принтираш визуализация. Отиваш в браузъра и отваряш заедно индекс 1 и индекс 2, като те стартират всяка със своята логика и се получава паралелен процес. Оставяйки настрана това трудоемко обяснение на паралелното изпълнение, PHP предлага и библиотеката Thread: http://php.net/manual/en/class.thread.php, която отговаря за изпълняването паралелни процеси. Има и доста уроци за решаване на горепоставеният казус, но все още PHP няма тази мощ, която C++ примерно има в това отношение. Все пак, тук има и съществена разлика. В WEB основно се работи с ограничено процесорно време на ползване и честно казано, не е удобно за такива процеси в по-голям мащаб. Може би някакви по-лесни неща за решаване, но всичко това при условието, че говорим за една инстанция на класът. Ако в една страница направим две инстанции на един класс всяка работи сама за себе си с подадените параметри за обработване, но ще трябва да се изчака първата да извърти и върне резултат, след което втората инстанция да го стори. Все пак логиката за последовапелно процедурно изпълнение на кода си е заложена в PHP. Асемблер също има последователна структура на изпълнение зависеща от това коя команта над, под или преди и след какво се намира. Вече функцииите се дефинират и се викат в последствие, но няма да навлизаме в излишни обяснения. Дано правилно да съм ти разбрал въпроса, ако ли не те моля за извинение, просто съм уморен в момента и може да не съм схванал, какво имаш в предвид точно.
  1. Зареди още активност
×

Important Information

За да посещавате този уебсайт е необходимо да се съгласите с Terms of Use. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.