Jump to content
¯\_( ツ)_/¯
  • TAD GROUP are currently hiring penetration testers. Please read the topic in Career Central subforum.
  • Sponsored Ad

freeman987

Moderators
  • Content Count

    239
  • Joined

  • Last visited

  • Days Won

    27

Everything posted by freeman987

  1. Това не е тема за заяждане. Поради технологията, която се използва в Интернет, формулировката на потребителските имена в 90 % от случаите позволява единствено използването на латински букви.
  2. Здравейте колеги. Издирвам алгоритъм за изчисляване на изгрева и залеза на луната спрямо дата и координати. Ако Ви се намира формула и тя ще ми свърши работа. Благодаря Ви предварително!
  3. Флаш игра трудно се "хаква".
  4. Има доста решения по темата и какво ли не е виждано в нета, но просто на моменти си има хора, които са доста нагли.
  5. Абе колеги, къде прочетохте да се противя за използването на термини? Разграничавайте използването на термини от преднамереното преизползване на някаква жаргонна терминология. Идеята ми е малчуганите да спрат въвеждането на някакъв жаргон, като себеизразяване в темите си. Това е смешно! Едно е да се говори сериозно по някоя тема и съвсем различно нещо е да се смесват езици. Щом всички сме достатъчно интелигентни, според авторите на коментарите, да си преведем някоя чуждица, то да си използват Българският аналог. Когато думата няма аналог нека се използва, ама изречения от сорта на продължават да са ми излишни. Едва ли хората знаят, че „redditor“ е потребител на популярен новинарски сайт (reddit.com), а „субредити“ (subreddits) e някаква подкатегория в сайта. Та не виждам с какво се налага използването на такива сложни за разбиране изречения. Впрочем тук не всички сe занимават със съкратена форма на израза „penetration tester“ или „Pentester“, че да гледате само от тази страна на стената. Половината „тестващи“ лица тук не са програмисти и използват някакъв готов софтуер за търсене на тривиални слабости. Изписало им, че има XSS уязвимост, само защото софтуера виждаш ли не използвал JS да филтрира някое поле на входяща форма, защото ние програмистите все пасем трева и от сървърна страна не филтрираме нищо. Всеки втори бисквитки краде и се чуди с мляко ли да ги изяде или браузъра ще забие без витамините си...
  6. Колеги, сърфирайте където си поискате в мрежата, работете каквото желаете и учете всякакви езици, но докато се намирате в България и пишете в Български форум, използвайте красивият ни език по предназначение. Не Ви знам, какви и от къде сте, но е смешно използването на чуждици във всеки един момент от коментарите Ви. Да, на места е належаща употребата на външни термини, ама и тогава не се прекалява. Чрез използването на такива думи никой няма да Ви сметне за по-интелигентни, само за по-млада аудитория. Не знам за другите модератори, но аз не цензурирам свободно изразеното мнение на съфорумниците ми и имам изключително „soft approach to the user“ (мек подход към потребителя).
  7. Колеги, чета Ви из форума и направо съм потресен. Толкова много чуждици и понятия използвате ненужно и не на място, че чак се хващам за главата. На места чета за Black Hat и тем подобните на цвят шапки, което е смешно и не е никакво стандартизирано делене на ""хакери" (спрете с филмите). Обратно на логиката, се използват адски много ненужни чуждици, които вместо да поясняват нещо, то повече тормозят потребителите и на моменти даже на мен ми се е налагало да питам Гугъл какво животно е това. Когато разяснявате някакъв софтуер, го обяснете нормално с Българските аналози на думите, а не "сетнах кей но не тръгва" или "рънвам програмата и стречнах прозореца". Направо съм потресен на моменти какви думи и словосъчетания се използват. Писва ми да ги поправям и накрая ще започна да трия, докато не се научим да използваме себеизразяването правилно!
  8. Споделете го и тук. То форума е за споделяне!
  9. Е па сподели я тук!
  10. Когато не се валидира правилно информацията от потребителя, то така се получава!
  11. Тук можеш да го направиш. http://www.online-image-editor.com/ Впрочем, ако имаш още подобни снимки прати ми ги на лично съобщение, понеже са идеални за визуализация на профилна информация в едно мое приложение. Пиши ми на лично ако може.
  12. Зададе наистина много въпроси, на които няма да отговоря а дори да се навия да го направя няма да е публично, каквото е питането ти. Има си лични съобщения и прочие ако толкова много те глозга нещо по темата.
  13. Абе колега, какво си се заял с потребителите? На темата и нямаше нищо!!! Качил един "стресър", който по снимката виждам, че е един опростен софтуер за DDOS. Ти на това нещо незаконно ли му викаш, че чак е за бан. при да налагаш излишна цензура, форума е и с образователна цел!!!!
  14. Никой няма да се наеме да ти оправя тази система, просто защото е изключително зле написана и няма да му се плати. Дори да решиш да отпуснеш някакъв бюджет, то на програмиста ще му е по-лесно на практика да започне от 0 и да се съобразява единствено с твоите изисквания. От там идва и цената. Добре написани системи с нови и сигурни технологии струват около 500 лв заедно с някаква базова поддръжка. Вече ако си решил да създаваш някаква игра то цените започват да се покачват - драстично. Та ако си решил да си създаваш някаква система, то седни и се научи да програмираш, защото не знам каква сума си дал за този код но в момента аз не бих дал нищо за него. Впрочем, как така си дал пари за нея и я пускаш безплатно за сваляне умът ми не го побира. Дано не си дал много пари за нея, защото не знам на какви години си, но си има практики за обмяна на интелектуален труд в мрежата и не е правилно да се възползват от теб без да си се консултирал с трета страна преди това.
  15. Колега, не бъркай релационната база данни използваща драйвъра MySQL с вграден език за стрингово командно управление SQL и вградената (отдавна изтрита от по-новите версии на езика PHP) mysql функция за създаване на връзка с базата данни. Функцията mysql, при качване на системата в live server, ще ти изтряска толкова грешки, че ще се чудиш защо не ти тръгва, като на локалният хост. Проблема ще е заради различните версии на езика PHP. Та цялата система ти е наистина много зле, а говоря само за кода, без все още да съм я пускал. Това е система от преди 10 години и навярно са те измамили, защото в момента има безплатни работни рамки, като Laravel, които ти улесняват изключително много живота.
  16. В момента нямам време да се занимавам с такъв проект. Не знам от къде и за каква цена си купил софтуера, но честно казано не си заслужава да го ползваш. Аз бих го зарязал и започнал отначало, като може да се ползват отделни фрагменти от него.
  17. Какво да ти споделя... По принцип, аз като на;инаещ също съм имал подобни проекти. Днес гледайки структурата на кода ти, се чудя колко ще ти е трудно да правиш промени и да поддържаш системата си. Цялата е децентрализирана. Използваш на места обектно ориентирано програмиране и в следващият момент очацваш всичко с процедурен код. Нямам нищо против системата ти, щом за теб работи добре, но по моите виждания, това е много труден за поддържане проект. Навсякъде има омешване на html с php код. Има тонове повтарящ се код без никаква насока за опростяване и целенасочено централизиране за по-лесно управление. Гледайки индекс страницата, направо се отчайвам от подредбата на кода. Не ми се и обяснява защо не трябва да използваш ob_start(); в началото на документа. Даже не ми се мисли за какво използваш сесия съдържаща стринг, а не целочислено число. Просто системата е създавана по стари примери и вероятно от там идва проблема. Прочети по-подробно за ООР и работните рамки като Ларавел. Ще се изумиш колко удобно и бързо става всичко след това. Отностно слабости в системата е лоша практика да дефинираш за константи тези данни: # DB Connection define('HOST','localhost'); #host define('USER','root'); #user define('PASS','lf4wlRfHG9'); #password define('BASE','freya'); #database Представи си, че някой намери слабост в системата ти и се опитва да направи дъмп на системната ти база с данни. Ти направо си му дал глобално достъпна информацията за конекция с базата, използвайки вградената в php функция get_defined_constants(true)["user"]. Не съм се ровил много в кода ти но от сега ти казвам системата ти изобщо не е сигурна и прилежна за поддръжка. Не виждам и защита против съсдаването на паралелни конекции на базата данни, което може да доведе до забавяне. Използвай шаблона за дизайн Сингълтон, за да избегнеш работата с повече от 1 инстанция на класовете. Много съм критичен, извинявай, просто не бих използвал системата в някой проект. Самият и начин на писане я прави несигурна. Нямаш подреденост на кода а даже не знам как във файла donate.php имаш mysql_query("UPDATE accounts set `donate_points` = donate_points+$coins WHERE `login` = '".$p->ipn_data['custom']."'"); което е направооооо погром в защитата. mysql_query e изтрита от по-новите версии на php. Това означава, че влизайки в условието системата ще тресне бъг и ще даде чувствителна информация на потребителя.
  18. Мили "приятелю". Мисля, че не осъзнаваш, колко обществено достъпна е информацията. Та не се сърди на хората, а на чичо Гугъл и неговият цайс! Отделно темата е стара, а повдигайки я, нищо ново и интересно не сподели.
  19. Колега, харесвам урока, но първо това е отдавна забравена уязвимост. В днешно време стандартите за работа с база данни не позволяват на потребителите да атакуват лесно базата с данни. В случая си дал пример, който вярвам, че е доста опростен, но в реална ситуация е напълно ненужен. Първо дори да разбереш какъв тип е хеширането на бисквитката и какво съдържа тя, не се знае дали в самата бисквитка се съдържа името и паролата на потребителя. В днешно време доста по-често се използва id полето, тоест уникалният идентификатор на потребителя + тайм период на създаване и най-вече ключ създаден посредством някакъв тип криптиране. Този ключ дава оторизация до системата, без нуждата от логване на потребителска информация (име и парола). Често се изпълзва само ключ в бисквитката, запаметен в поле на базата отговарящо на даден потребител. Прави се конекция, и се сравнява информацията на бисквитката с тази в базата. Бисквитката съдържа ключ, който се подава в заявка. Може да се пробваш да направиш някакъв вид SQLi, но не мисля, че при днешното филтриране на данни някой ще те остави да се възползваш от точно такава уязвимост. Ако имаш възможност да откраднеш бисквитката много често вече се правят и проверки за системата, локация и така нататък. Отпечатъкът на потребителя се следи и записва, за да не може всеки да се логва от всякъде.
  20. Преди докато hit.bg беше актуален обфускирането с JS беше на мода в България. Там се работеше с html и много от нещата бяха хардкорнати в кода, което при визуализация на сорса се виждаше. На помощ идваха различни начини за криене на HTML-а но да кажем, че силите които влагаш в това да замаскираш ненужно структурата на страницата е по-добре да ги вложиш в изучаване на сървърен език и спокойно да си валидираш входящо/изходящите данни. Даже няма да влизам в обяснение за проблемите с кеширането на страниците и големината на файловете и зареждането на страницата при "замаскиран код". Да доста е трудно да се декодира кода, но все пак браузъра го чете и изгражда страницата, тоест е разбираем за него, като команди. Има разни плъгини за такива сайтове с такъв сорс и така. Принципно за зловреден код доста се използва обфускиране но там е друг принципа на работа. Вярно е, че JS е доста интересен език и на пръв поглед някой нелогични неща работят, но няма да влизам в обяснения.
  21. Така е, но наистина не е лесно да се напише книга. Аз лично бих се наел да го направя, но до момента не смятам, че съм достатъчно подготвен да го сторя! Не съм готов да пиша книги. Все още смятам себе си за начинаещ и постоянно чета, повече по форумите и не толкова книги, но там срещам най-различни проблеми и решения!
  22. Колега, това, че си криптирал сорс кода с някакъв JS криптър (обфускатор) изобщо не ти помага. Не виждам смисъла да криеш HTML съдържанието на страницата. Да не говорим, че това не е проблем за декодиране при време и желание на атакуващият. Да не говорим, че всяка заявка се проследява през хедърите.
  23. Сподели ги с мен ако може! Естествено на лично, пък ще решим дали става и за форума по-нататък.
  24. Не. Ти Удостоверение по част от специалностт, която и да е може да си извадиш в който център за каквото ти е желанието. Висшето в тази област е огромен + но в случая е много разправии и нерви. По-добре и по-евтино ще ти е със Сертификатите. Мен ако ме питаш, ако не намериш някой център за да си извадиш удостоверение, по този шаблон по-добре търси сертификати на които хората имат доверие - Google или Майкрософт примерно.
  25. Впрочем, много зависи и от Сертификата и кой го издава естествено, но тук Сертификатите на които се придава тежест са само на големи фирми. Да Сиско са такава, но да кажем, че е относително според това каква работа си решил да работиш и от какво ще имаш нужда в нея, като познания.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.