freeman987

Модерен шел??? Какво прави този "модерен" shell, че да се качва безпроблемно през сайта и да се изпълнява на него? Как заобикаля условията за качване и по какъв начин се вика? По-нагоре написах, че за всеки сайт е индивидуално и ако е изпълнен добре то вероятността да се вкара shell в него клони към абсолютната 0. По-лесно ще направиш DDoS към сървъра отколкото да вкараш shell, а дори да го качиш е трудно да го изпълниш ако е помислено и за това. Както и да е, мнението си е мое все пак. Ако ми споделиш някакъв shell или тема, която да прочета, то с удоволствие ще променя мнението си.

За да направиш добро, трябва първо да го искаш. От мненията ти тук и в чата, по-скоро искаш да пътуваш безплатно. Въпреки, че на теория е възможно, то практически възможността да го направиш е нулева (поне ако това което казваш е истина и имаш само тези знания реално). Ако предложиш някакъв друг тип атака или проблем от социалната сфера (социално инженерство) водещ до манипулиране, то с удоволствие ще го предам от твое име на колегите. Ще черпят отново с биричка!

Леко разводнихте темата. Въпроста „от къде е най-добре да се започне в програмирането?“ за мен има прост отговор. Първо щом си решил да се замислиш по темата, то нещо те е привлякло към нея. Обикновенно е някаква нова технология или въпроса „ама това как се прави?“. Започва голямото четене и ако си от „нашата“ порода заедно с четенето започва и разписването на простите примери от различните уроци, които четеш. Теглиш базови инструменти, пишеш базов код или правиш някакъв базов пример и обикновенно това е началото. Отговороът на „от къде е най-добре да се започне в програмирането?“ -

Интересно. Искаш да инжектираш код, но не си работил с бази данни. Знаеш какво е XSS ама не и SQLi. Нещо ми е малко излишно обяснението, че искаш да го правиш хей така за спорта, а не за облага. Както и да е. Какъв код искаш да инжектираш? Какво според теб трябва да прави той? Занимавал ли си се с кибер сигурност?

Ако си работил с баркод системи може и сам да си отговориш. Давам ти прост пример: Генерира се един дълъг хеш (дали е произволен или не зависи от условията на договора или програмиста). Генерираш билет и в базата с данни запаметяваш хеша. Даваш му валидност 40 дни от създаването и след това маркираш хеша, като невалиден. Ти като потребител си купуваш генерирания билет. Решаваш, че трябва да го ползваш и го сканираш на някое от устройствата в градската мрежа. Проверява се хеша, който подаваш дали е валиден в периода, дали съществува, дали е ползван преди и за колко пътувания е предвиден. А

Не се занимавай с глупости. Не ми се влиза в подробности, но няма да стане това което си намислил.

Shell се качва доста трудно. Има достатъчно теми в Гугъл как се прави. Принципно е строго индивидуално за даден сайт и няма нещо унифицирано, като решение. Да не говорим, че да качиш външен скрипт и да го изпълниш в съвременен добре изпълнен сайт е почти невъзможно. Факт е, че защитниците винаги имат предимство пред нападателите!!!

Какво общо има мнението ти с темата?

Някой дали може да направи проверка на логиката ми за автоматично изчисление на почивните дни за дадена година в България? private function setHolidays() { $holidays = [ '01-01' => 'Нова година.', '03-03' => 'Ден на Освобождението на България от османско иго - национален празник.', '05-01' => 'Ден на труда и на международната работническа солидарност.', '05-06' => 'Гергьовден, Ден на храбростта и Българската армия.', '05-24' => 'Ден на българската просвета и култура и на славянската писменост.',

Най-важното нещо, което трябва да знаеш, е че DDoS се абсорбира и реже, не се защитаваш на 100% от нея. Ако е качествено замислена и изпълнена то на практика трябва да палиш и гасиш портове, да спираш конекции по ИП и да прехвърляш ресурс в „нищото “! За тестови инструменти не се сещам в момента. То зависи и какво ще тестваш и от къде. Както се казва един while(true) прави доби проверки за защита от DDoS.

Имам една група приятели, които си създадоха мобилна програма, чрез която правят телефонни набирания през интернет към техен многоканален GSM Gateway. По този начин си гарантират сигурност ако се налага да си говорят нещо свързано с работа. Набирайки през тяхното приложение, те се обръщат към техен сървър, който на ротационен принцип вика някоя от вградените симкарти и прави набиране към номера който се избира. Разговора се провежда през GSM Gateway - номера на картата, който връща към сървара и съответно към устройството направило обаждането разговора. Има леко забавяне все пак, но на практик

Има публични скенери по DNS, които разпитват за събдомейни и търсят такива. Веднъж намерени се обхождат постоянно.

Приложението ти на нов събдомейн ли е? Има ли някъде линк към него?

Първо си смени паролата на мейла.

Това са толкова отделни справки, че такъв софтуер с директно търсене за момента имат само от МВР.