Jump to content
¯\_( ツ)_/¯
  • Sponsored Ad
  • TAD GROUP are currently hiring penetration testers. Please read the topic in Career Central subforum.

Leaderboard


Popular Content

Showing most liked content since 14.04.2018 in all areas

  1. 1 point
    Създадох един прост PHP код с масово използвана вид защита от CSRF атаки в интернет. За да го активирате ще Ви е нужен инсталиран Localhost с PHP. XAMPP е идеалният инструмент за целта. Самият код е опростен с цел по-лесна четимост и обсъждане на проблема. Ще поставя кода тук, но няма да го обсъждам още. Бих желал да видя вашето мнение отностно него и до къде според Вас се простира неговата сила и какви са слабостите му. Идеята ми е да се обсъди една от масовите защити против тази атака и да се постави пред читателя отговор на дилемата дали да я използва или не. Ще изчакам първите коментари и при достатъчен интерес ще обясня до къде се простира защитата. <?php session_start(); class CSRF { private $token; public function set() { $this->token = md5(uniqid(rand(), true)); $_SESSION["token"] = $this->token; return $this; } public function get() { return $this->token; } public function clean() { $_SESSION["token"] = false; $this->token = false; return $this; } } if (isset($_POST['submit']) and $_POST['token'] === $_SESSION['token']) { print "<font color='green'>Valid post token ".$_POST['token']." === session token ".$_SESSION['token']."</font>"; } else { print "<font color='red'>Invalid post token ".$_POST['token']." === session token ".$_SESSION['token']."</font>"; } ?> <form action="" method="post"> <input type="hidden" name="token" value="<?php print (new CSRF)->set()->get(); ?>" /> <input type="submit" name="submit" value="Тест" /> </form> При натискане на бутона се изпраща генерираният и поставен в скритото поле ключ за сравнение с този запазен в сесията. Натиснете бутона и за да Ви стане по-ясно рефрешнете с F5 и потвърдете отново изпращането на заявката. Резултатите ще са различни.
  2. 1 point
    Купете си VPN от мен, чиста работа!
  3. 1 point
    Здравейте! Аз имам сервиз в който продавам най-различни неща! 2 от тях са Booter-s и VPN-и! Сервиза се намира в discord: https://discord.gg/J4R4AZR Нямам сайт, не ми и трябва. VPN-ите са с добро качество, идеални за всичко, 24/7 uptime, няма да усетите разликата + дори аз мога да Ви го инсталирам ако нещо не знаете! За цени можете да видите в discord!
  4. 1 point
    Явно темата е безинтересна тук, въпреки, че защитата е масова в момента.
  5. 1 point
    Много интересен въпрос ми зададе. Благодаря ти. PHP по принцип не изпълнява така наречените мулти нишки. Въпреки това, библиотеката CURL предлага изпращането и обработването на мулти заявки създавайки дърво съдържащо задачите чакащи отговор от отсрещната страна. Понеже визира, че въпроса ти не е за тези многонишкови процеси, ако съм те разбрал правилно, то ме питаш дали един клас може да се изпълнява паралелно (успоредно) на две места. Създаваш си класът parallel.php, създаваш и две страници index1.php и index2.php. Инклудваш в индекс 1 и индекс 2 класът parallel и му правиш по една инстанция. Викаш си изчислителните методи и принтираш визуализация. Отиваш в браузъра и отваряш заедно индекс 1 и индекс 2, като те стартират всяка със своята логика и се получава паралелен процес. Оставяйки настрана това трудоемко обяснение на паралелното изпълнение, PHP предлага и библиотеката Thread: http://php.net/manual/en/class.thread.php, която отговаря за изпълняването паралелни процеси. Има и доста уроци за решаване на горепоставеният казус, но все още PHP няма тази мощ, която C++ примерно има в това отношение. Все пак, тук има и съществена разлика. В WEB основно се работи с ограничено процесорно време на ползване и честно казано, не е удобно за такива процеси в по-голям мащаб. Може би някакви по-лесни неща за решаване, но всичко това при условието, че говорим за една инстанция на класът. Ако в една страница направим две инстанции на един класс всяка работи сама за себе си с подадените параметри за обработване, но ще трябва да се изчака първата да извърти и върне резултат, след което втората инстанция да го стори. Все пак логиката за последовапелно процедурно изпълнение на кода си е заложена в PHP. Асемблер също има последователна структура на изпълнение зависеща от това коя команта над, под или преди и след какво се намира. Вече функцииите се дефинират и се викат в последствие, но няма да навлизаме в излишни обяснения. Дано правилно да съм ти разбрал въпроса, ако ли не те моля за извинение, просто съм уморен в момента и може да не съм схванал, какво имаш в предвид точно.
  6. 1 point
    https://conference.hitb.org/hitbsecconf2018ams/materials/ Ето ги материалите от миналата седмица - Hack in the Box @ Amsterdam
  7. 1 point
    Аз пък мога да им бъда в пъти по-полезен от това. Прочети тук: https://www.xakep.bg/forum/topic/268-лични-данни/
  8. 1 point
    Ако ми позволите ще изменя леко графиката, която илюстрира OSI модела. Мисля, че това е много по-точен модел. Вижте, това, което би следвало да анализираме е т.н. "СИВА ЗОНА". Реално всеки един елемент от "сивата зона" може да бъде използван като обект на атака. Колкото на по-ниско ниво се извършва атаката, толкова е по-трудно тя да бъде локализирана. Единственото доказало своята ефективност противодействие на атака на физическо ниво е шифроването но ... тук има куп юридически проблеми, които са въпрос на друг вид дискусия. Това, което можем да направим е да се научим да анализираме трафика и да контролираме мрежовата топология. Повярвайте, често това ще се прави на ниво MAC адрес, а не на ниво IP. И нещо, което ще повтарям непрекъснато: Вижте много добре графиката. КОМПЮТРИТЕ (СЪРВЪРИТЕ) СА ИЗВЪН СИВАТА ЗОНА! ПОНЯКОГА ТЕ СА В ТЪМНОЧЕРВЕНА ЗОНА, НО ТАМ АТАКИТЕ СА ОТ ДРУГ ВИД! В МОМЕНТА НИЕ ВИЗИРАМЕ САМО И ЕДИНСТВЕНО АТАКИ, КОИТО СЕ ПРОВЕЖДАТ НА МРЕЖОВО НИВО! Операционната система (без значение дали тя е UNIX, Linux, Windows, iOS, Android и каквото се сетите) е извън зоната, която е обект на настоящите разглеждания. Каква ОС ползва крайният потребител е без значение, когато атаката се извършва на ниво слой от OSI моделът. Компанията Cisco ползва собствена OS за активното си оборудване, но дори те са длъжни да се съобразяват с OSI. И не забравяйте, че не е задължително приложният слой да е елемент от компютърната конфигурация. Това се прави )с оглед удобство) но не е задължително. СЪЩЕСТВУВАТ И МЕТОДИ НА ЗАЩИТА ПРИ КОИТО OSI МОДЕЛЪТ СЕ ИМПЛЕМЕНТИРА В ЕДИН МОДУЛ. ТОВА СИЛНО НАПОМНЯ PROXY СЪРВЪРИТЕ, НО ИДЕЯТА Е ДРУГА. ТАКА СЕ СЪЗДАВАТ ВИРТУАЛНИ ВЪЗЛИ, ЧИИТО ПАРАМЕТРИ СЕ ПРОМЕНЯТ ДИНАМИЧНО В РАМКИТЕ НА ЕДНА СЕСИЯ. Такъв тип решения се използват, когато трябва да останем незабелязани в мрежата. Забележка: В така показаната схема обменът на данни се извършва между две тактически цифрови устройства, които са с TEMPEST защита и ползват специализирана ОС.
  9. 1 point
    Благодаря Ви. Снощи се прибрах от двудневна научна конференция по въпросите на компютърната сигурност. Освен с два доклада в пленарната сесия ми се наложи да участвам и в работата на една от секциите. От какво бях много приятно впечатлен (не само аз, но и моите колеги). На първо място от практическата и теоретична подготовка на курсантите (и момичетата курсанти) от Факултет „Артилерия, противовъздушна отбрана и комуникационни и информационни системи“ - гр.Шумен. Държа да отбележа, че предстои някои от участниците да представят своите идеи на предстоящи форуми в чужбина. За какво говоря. Преди всичко става дума за анализ на кибернетични атаки насочени към телекомуникационните системи в т.ч. и такива, които се базират на мрежова стеганография (интегриране на код в служебната част на информационните пакети). Тук не говорим само за софтуерни решения, но и за апаратни такива. Изследване на въпроси, касаещи широколентов пренос на данни, правни въпроси на киберсигурността, действащи международни актове и др.. Пак повтарям, че става дума за много сериозни знания. Искам специално да отбележа, участието на колеги от неправителствена организация, които са си поставили за цел да изстрелят малък (cube) спътник в ниска орбита (400 или 450 километра). Това е прекрасна идея на група млади хора, която вярвам, че ще се реализира успешно (все пак в рамките на една календарна година има само две възможни дати за подобен вид изстрелване). Имаше и една доста весела случка. Колега от друг ВУЗ се опита да оспори една от дискутираните теми (касаеща пробиви в сигурността на Crome, Mozilla и Opera), с тезата: "Това е невъзможно.". Бе оборен от двама курсанти, които просто му показаха разделите от техническата документация на Google, която визира този тип уязвимост. Една от темите, която обаче бе предмет на специално обсъждане бе темата за подготовката на граждански кадри. Основният проблем е, че сред младите бе изкуствено наложена представата, че всичко може да бъде обяснено с няколко изречения и че в internet може да се намери всякакъв вид информация (мнозина не са чували за термина "информационен шум"). За съжаление това не е така. Минималният срок за подготовка на кадри, които са в състояние да работят в реални условия е три години. Това е при условие, че вече са получили стабилна фундаментална подготовка. За огромно съжаление към момента такава липсва. Най-лошо е положението в средните училища. Въпросът е не в това, че са допуснати стратегически грешки. Въпросът е КАК ДА РАЗРЕШИМ ПРОБЛЕМЪТ. Едно от решенията, което бе взето е Факултет „Артилерия, противовъздушна отбрана и комуникационни и информационни системи“ - гр.Шумен. да стартира програма от дистанционни курсове, която да бъде достъпна за всеки желаеш. Предстои програмите да бъдат обсъдена на катедрен съвет и одобрени. Това ще бъдат курсове, касаещи въпросите на комуникациите, киберсигурността, практически решения в области като хетерегенни мрежи, разработка на специализирани приложения и др.. Предвижда се тези курсове да бъдат на степени. След като успешно сте преминали първата степен, преминавате към следващата. За всяка степен получавате съответния сертификат. Предстои Република България да изгради съвременни структури за кибернетична защита. За тази цел обаче е нужно да разполагаме с подготвени кадри. Тези кадри ще трябва да решават реални проблеми, касаещи националната ни сигурност. Това изисква много задълбочени познания в редица области като електроника, фотоника, телекомуникации, техническа и социална кибернетика, биология, неврофизиология и др.. Сами разбирате, че визирам една изключително сложна материя. Вероятно ще си зададете въпроса: Къде в момента се намира България като техническо развитие? Ще бъда честен. България изостава чувствително от държавите в региона. Пред нас е Югославия, Турция, Албания, Румъния, Гърция. Основната причина е, че повечето млади хора следват "модерна" линия на образование, която е повече с комерсиална насоченост и не винаги води до генериране на трайни и задълбочени познания. Въпреки това от видяното през тези два дни аз оставам оптимист за бъдещото развитие. За съжаление в редица сфери ние ще трябва да започнем от нула, защото са пропуснати години. Вярвам, че това, което публикувам тук ще ви позволи поне за малко да се докоснете до нещо много по-голямо и мащабно. Ще се радвам ако добиете представа към въпросите пред които са изправени структурите, отговарящи за кибернетичната безопасност. ще повече ще се радвам, ако на следващата конференция (или на други такива) срещна участници от този форум и те са лектори в някоя от работните секции. Ще ми бъде изключително приятно да обсъдим с тях всяка нова идея. Искам само да спомена, че винаги има какво да научите. Дали човекът е преподавател с научни звания и дългогодишен опит, студент или докторант е без значение. Ако познава добре материята, я която работи и не се страхува да експериментира, винаги ще има какво да вземете от него. Има области на познанието за които дори и не подозираме. В редица сфери дефицита на кадри е огромен. Разберете, че нищо не може да замени практическият опит.
  10. 1 point
    @$(RIpTLo~rd Screenshot: https://prnt.sc/j53gt3 Brave browser https://brave.com/
  11. 1 point
    Предлагам в кутията, където се намира "Browse, Activity, Chatbox" да има текст с огромни букви да пише "Не питайте как се хакват социални мрежи" и всеки един такъв въпрос да бъде наказван с определено време без право на коментари и нови топики. Може да намалим тъпите въпроси в форума.
  12. 1 point
    За езиците е ясно, просто говорех строго препоръчително за PHP, че преди ООП трябва да минеш с процедурно писане. Не говоря за проекти на процедурен код "това е самоубийство", а по-скоро за отделни модули от системата. Например за определени тежки циклични действия или определени обработки на огромни файлове и така нататък. Идеята ми е, че процедурният код ако е добре написан е едно елегантно решение и спестява време в извършване на работата. Иначе съм с 3 ръце за ООП!
  13. 1 point
    То няма как да изучиш обектно ориентирано PHP, без да си писал процедурен код. Като цяло за мен ООП е в пъти по-разбираем, но в някой случаи ако се търси наистина голяма скорост на действие процедурният код е по-бърз, стига да е написан качествено.
  14. 1 point
    MySQLi също има prepare statement! PDO позволява малко повече манипулации с базата, но като основен драйвър не е само той.
  15. 0 points
    Здравейте! Днес ще Ви покажа как да DOX някой, по начина който аз знам! Под DOX аз разбирам, да се намери каквато и да е информация за човека/жертвата! 1-во за да DOX някой, трябва да направите database lookup, или да го кажа на български, трябва да намерите database и просто да напишете нещо, като например можете да влезете в pastebin.com и да напишете да кажем Alejandro, или друго име на човека за който търсите информация! Желателно е да търсите информация в много database, ако знаете името на човека/номера му/някое от имената с които играе игри/или се регистрирал в сайтове ще е добре! Email ако имате можете да потърсите в интернет Email 2 Skype или Email 2 IP така можете да откриете още нещо за този човек! 000webhost бяха drop тяхната database,и от там нещата от 2015-2016 вече са публични.. Като цяло от там можете да търсите по съществена информация! Надявам се да съм Ви бил полезен!
×

Important Information

За да посещавате този уебсайт е необходимо да се съгласите с Terms of Use. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.