Jump to content
¯\_( ツ)_/¯
  • TAD GROUP are currently hiring penetration testers. Please read the topic in Career Central subforum.
  • Sponsored Ad

freeman987

Модератори
  • Мнения

    208
  • Присъединил/а се

  • Последно посещение

  • Days Won

    21

freeman987 last won the day on Юли 3

freeman987 had the most liked content!

Обществена Репутация

66 Excellent

Относно freeman987

  • Ранг
    Eleet Hacker

Последни посетители

1278 профилни разглеждания
  1. Като цяло съм съгласен с това мнение, но ще добавя и уточня, че ботовете, които посещават въпросните сайтове от които влизате и идвате не са сигурно нещо. Referer с PHP Curl се подава, като команда и няма значение дали се намирате на loshdomain.com, когато сте подали че идвате от примерно началната страница на гугъл. За системата ти си легитимен в този аспект дори от локалният хост.
  2. freeman987

    Programming

    Зависи, какво искаш да правиш. Обясни ни на къде си се насочил и ще ти дадем смислен отговор, защото така зададен въпросът ти е меко казано да ти направим сравнение между Пикап и Мотор. Две коренно различни логики за създаването на езиците има. И двете са "превозни средства", но се ползват в различни ситуации и са силни в своята област.
  3. Ако е истина ще е огромна простотия това...
  4. freeman987

    Търся книги

    Не си ме разбрал правилно. Не ми пречи да чета на Английски, но прости ми но аз съм Българин и ми е по-лесно да чета на родният си език. Ако намериш някоя интересна книга на Български драскай тук на лично и ще измислим нещо. Относно парите, да търся си безплатни книги, защото в повечето платени които съм прочел, постоянно и непрекъснато отсявам ненужното и директно прехвърлям на същинската им част. Честно казано по родните книжарници наистина няма нещо стойностно на Български. Факт! Просто за това и спрях да си купувам книгите, защото важните 10 страници от книгата мога да ги прочета в първият форум като решение на конкретен проблем + пример. Честно казано чуждестранната литература е доста по-наситена, но все пак много книги започнаха да се превеждат и дават достъпно в мрежата. Имам няколко разпечатани книги, до които се допитвам от време на време за някои неща, но да си призная по-голямата част дори в строго ориентирани книги уж за напреднали е меко казано сухо безпримерно обяснение на някакъв стар изтъркан проблем. Като прочета заглавието на някоя книга примерно: "SQL injection и начини за предпазване" и ми идва да си тегля куршума... Как може при пращяща по шевовете мрежа пълна с информация да се превежда тази боза... То има ли смисъл да отделиш време да четеш за проблем, който отдавна се предполага, че използвайки новите технологии за връзка с базата този проблем трябва да е в миналото. В нито една книга по темата дори на Английски, която съм преглеждал не се дава пример и обяснение защо mysql_real_escape_string на php не работи, като защита. Споменава се, но няма пример за тестване. Вероятно са толкова екзотични тези примери, че създателите на книгите не знаят за тях, само отбелязват факта, че това не е защита и приемат за истина думите на по-знаещи. Та за това си избирам книги да са ми интересни, макар и пословични, не просто да си превеждам някакъв текст от някой си и да се чудя абе този сарказъм ли е използвал и се базика с мен или наистина е имал това в предвид. Все пак не съм професионален преводач.
  5. freeman987

    Търся книги

    Защото съм Българин и нямам нуждата да чета някаква книга за удоволствие на друг език. Ако го правя, то ще е по задължение, не по желание. Работя си що годе спокойно с Английски, но бих предпочел да прочета някоя разхвърляна книга на роден език, отколкото да се напрягам с чуждестранна литература. За мое съжаление го правя, защото ми се налага поради липса на качествен материал по даден проблем, но ако ще чета нещо за кеф искам да е на родният ми език. Поради това си търся книги на Български език, но по книжарниците не ми се дават по 20 лв и повече за неща, които са тривиални и вече знам. Имам и попадения! Тук там си намирам интересна литература и си купувам книгите от любопитство заради разглежданата от тях тематика. За мрежата си ги търся си ги основно в pdf или варянт за разпечатване защото си го правя безплатно, карбовам ги и чета.
  6. Казах, че моят приятел на дълго и широко ще ти обясни, че в някои сфери Линукс е в пъти по-нападан отколкото "Прозореца".
  7. freeman987

    Търся книги

    Продължавам да търся. Основно на Български език. Видях ти темата и се порових из информацията, но си търся на БГ.
  8. Имам един приятел, който ако ти прочете коментара, ще те накара да си изядеш чорапите от яд, докато ти чете лекция в каква огромна заблуда живееш.
  9. Не, че нещо но на това не може да се разчита. Какво имаш предвид под копиране? Просто искам да поясниш малко повече нещата. Ако го направиш урока ще е по-стойностен.
  10. Защо? Да не си от хората, които вярват (масова заблуда, ефект Мандела, незнание), че за/в Линукс/МАК и др. ОС различни от Прозореца няма вируси?
  11. freeman987

    CSRF защита или не

    С примера ли ми не си съгласен? Нито веднъж не се обоснова, а все си критичен.
  12. freeman987

    CSRF защита или не

    Не ми обяснявай на мен какво е XSS, по-добре от теб знам разликите. Ясно е, че класовете ни са пример за генериране на ключове против CSRF, но от много коментари насам се опитвам да ти обясня, че ти даде грешен пример със кражбата на сесии. Както и да е, явно не вникваш в нещата, които ти казвам. Ще ти дам много прост пример с една форма тук: http://jsfiddle.net/yGCSK/240/ Натискайки "Изпращане" ти правиш две отделни атаки. Първо правиш CSRF, защото формата не се намира на сървъра на google.bg, а физически е на jsfiddle.net . От физическото място се изпраща заявка към сървъра на гугъл и вече следва обработката от страна на техният сървър. Втората атака е опит за инжектиране на скрипт и изпълняването му в браузъра. Уви не минава (филтрира се добре) и ни връща резултат. Класовете ни се опитват да защитят точно от такова изпращане на заявки от други места различни от собственият ни сайт и това е същината на CSRF уязвимостите.
  13. freeman987

    CSRF защита или не

    Напротив, XSS не е CSRF!!! Двете атаки са съвсем отделни неща. Може да се комбинират, но определено не са едно и също и определено могат да съществуват самостоятелно! Не извъртай нещата. Обясних ти по-горе къде ти сгреши. Кражбите на сесии (бисквитки) са XSS, поради естеството на работа с браузъра и използването на уязвимости при филтрирането на входящите от формата данни. CSRF изобщо не го интересуват входящите данни дали се филтрират или не. Това е атака от място различно от страницата на която си създал формата. CSRF може да подава спам и каквото още е позволено към формата, но го прави от място различно от оригиналната страница. Тоест от отдалечено място прави post или get заявка към сървъра ти. С какво класовете, които сме създали по-горе ни защитават от XSS? Не заблуждавам никой, че двете неща не могат едно без друго, обяснявам лично на теб разликите между двете атаки. Кражбата на бисквитки и използването им за възстановяване сесията на потребител Х е уязвимост, която означава съвсем друг проблем за решаване. Това не е CSRF.
  14. Аз също чета Вашите теми и постове с охота, както и виждам, че има стабилни колеги тук. Проблема е, че типично по Български сме противоположни на световната идея за open data. Тук върлуват клишета, които даже не се поставят под въпроситела... Как може да се създава някакъв проект без да си зададеш фундаменталните за него въпроси? Както и да е. Ако е възможно да поставите задачата тук, за да си размътим мозъчетата и ние? Чисто от любопитство питам, не с друга цел! Впрочем, надявам се, че не е проблем да пиша и на "Ти", просто защото приемам комуникацията за не формална. Идеята ми е, че тук дори да не се познаваме лично на Вие се коментира доста по-спестено спрямо обясненията на някоя тема. Получава се разделение на стиловото обръщане и е малко трудоемко за читателите да сменят постоянно формите на обръщение от Вие на Ти.
  15. Паралелните процеси са наистина една много интересна тема за обсъждане, но не е за този форум. Тук не се търси идейна производителност, която впрочем може да се използва много приятно за обработване на големи масиви и изчакване на информация, а се търси нещо от сорта на Havij. Ръгай url-то с GET параметър накрая и се моли SQLi да проработи. След това следва едно хвалене, едни теми как се "хаква" сайта и други. Реално не се разбира защо се е достигнало до там. Използвам паралелни процеси с PHP. Нужни са ми за различни проекти и по тази причина се интересувах доста от материята, поне за езика, но тя динамиката и алгоритъма важи и за много други езици.
×

Important Information

За да посещавате този уебсайт е необходимо да се съгласите с Terms of Use. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.