Никогда не понимал зачем в PHP функция each. Ведь есть foreach…
Но сегодня у меня «сломался» один участок кода, который жил шесть лет.
Там была конструкция с использованием each.
ошибка была исправлена секунд за 30 — давно думал исправить это все на foreach, но оставлял в качестве напоминания о том, какой индокод у меня был в свое время. Но просто исправить и пройти мимо я не мог.
Итак each против ООП:
1 — each игнорирует области видимости и спокойно выводит private свойства.Читать полностью »
Рубрика «уязвимости» - 31
Обход областей видимости или неожиданное поведение функции EACH
2012-10-04 в 10:27, admin, рубрики: each, php, private, ошибки, уязвимости, метки: each, PHP, private, ошибки, уязвимостиStripe CTF — разбор уязвимости алгоритма SHA-1
2012-09-18 в 7:52, admin, рубрики: capture the flag, sha1, Алгоритмы, информационная безопасность, уязвимости, хэширование, метки: capture the flag, sha1, информационная безопасность, уязвимости, хэшированиеКогда на хабре был опубликован пост о том, что компания Stripe проводит конкурс Capture the Flag, я незамедлительно зарегистрировался как участник.
Каждый из девяти уровней представлял собой задачу по взлому системы и получению пароля к следующему уровню. Пароли могли храниться как в базах и файлах, так и в памяти. К слову, весь код был открыт, поэтому задачи сводились к анализу кода на уязвимости, тыкаться вслепую не нужно было.
Уровни с 0-го по 6-й не представляли особого труда — стандартные SQL- и JavaScript-инъекции, загрузка на сервер PHP-скрипта вместо картинки и т.п.
А вот 7-й уровень заставить меня поломать голову…
Читать полностью »
Уязвимость нулевого дня в Internet Explorer
2012-09-18 в 5:10, admin, рубрики: internet explorer, браузеры, Вирусы (и антивирусы), информационная безопасность, Новости, уязвимости, уязвимостьВзломщики обнаружили и используют новую уязвимость в Internet Explorer, специалисты по компьютерной безопасности рекомендуют прекратить использование IE до тех пор, пока Microsoft не выпустит исправление.Читать полностью »
Обзор уязвимостей на сайтах «Большой Тройки»
2012-08-16 в 16:57, admin, рубрики: xss, билайн, информационная безопасность, Мегафон, МТС, сколково, Телекомы, уязвимости, метки: sql-injection, xss, билайн, Мегафон, МТС, сколково, уязвимостиВступление
Некоторое время назад мне на глаза попалась обычная xss на сайте МТС.
Моему удивлению не было предела, как разработчики такой компании могли допустить такую банальную ошибку?!
Пару дней назад, вспоминая ту xss, было решено провести поиск уязвимостей на сайтах большой тройки.
Тогда я понял, что это были цветочки.
Кому интересно, что из этого вышло, прошу под кат.
Читать полностью »
Вся правда об XSS или Почему межсайтовое выполнение сценариев не является уязвимостью?
2012-08-07 в 0:31, admin, рубрики: xss, атаки, безопасность веб-приложений, Веб-разработка, информационная безопасность, уязвимости, метки: web программирование, xss, атаки, безопасность веб-приложений, уязвимостиДолжен признаться, что чтение комментариев на Хабре к практически любым постам, описывающим очередную XSS на каком-либо популярном сервисе или сайте, способно повергнуть в уныние любого, кто так или иначе связан с безопасностью веб-приложений. С учетом распространенных среди разработчиков мифов и заблуждений о межсайтовом выполнении сценариев, нет ничего удивительного в том, что он и по сегодняшний день входит в число наиболее распространенных проблем безопасности веб-приложений: согласно данным отчета Positive Technologies за 2010-2011 годы, XSS были подвержены 40% проанализированных веб-приложений, а из отчета Firehost за второй квартал 2012 года следует, что XSS составила 27% от числа зарегистрированных хостером атак.
И поскольку, заминусовать этот пост можно и за один только его заголовок, то поспешу пояснить: межсайтовое выполнение сценариев действительно не является уязвимостью, но только потому, что оно является атакой. В чем разница, почему это важно, как со всем этим бороться и какие еще мифы и заблуждения распространены об XSS — читаем под катом.Читать полностью »
Ваш сайт тоже позволяет заливать всё подряд?
2012-08-04 в 5:25, admin, рубрики: best practices, php, загрузка файлов, информационная безопасность, уязвимости, метки: best practices, загрузка файлов, уязвимостиОдин французский «исследователь безопасности» этим летом опубликовал невиданно много найденных им уязвимостей типа arbitrary file upload в разных «написанных на коленке», но популярных CMS и плагинах к ним. Удивительно, как беспечны бывают создатели и администраторы небольших форумов, блогов и интернет-магазинчиков. Как правило, в каталоге, куда загружаются аватары, резюме, смайлики и прочие ресурсы, которые пользователь может загружать на сайт — разрешено выполнение кода PHP; а значит, загрузка PHP-скрипта под видом картинки позволит злоумышленнику выполнять на сервере произвольный код.
Выполнение кода с правами apache — это, конечно, не полный контроль над сервером, но не стоит недооценивать открывающиеся злоумышленнику возможности: он получает полный доступ ко всем скриптам и конфигурационным файлам сайта и через них — к используемым БД; он может рассылать от вашего имени спам, захостить у вас какой-нибудь незаконный контент, тем подставив вас под абузы; может, найдя параметры привязки к платёжной системе, отрефандить все заказы и оставить вас без дохода за весь последний месяц. Обидно, правда?
Wired vs Wireless Firewall, Hole196, маркетинг против здравого смысла и все-все-все
2012-06-26 в 10:49, admin, рубрики: wi-fi, безопасность, беспроводные сети, Беспроводные технологии, информационная безопасность, Сетевые технологии, уязвимости, метки: wi-fi, безопасность, беспроводные сети, уязвимости В одном из смежных топиков зашел разговор о безопасности беспроводного шифрования, и, в частности, дурацкой «уязвимости» Hole196. Когда-то я писал по этому поводу здесь. Рекомендую к прочтению, кому интересно.
Читать полностью »
Идеи о механизме защиты в Windows на основе самоограничения
2012-06-04 в 18:06, admin, рубрики: Вирусы (и антивирусы), информационная безопасность, Песочница, системное программирование, уязвимости, метки: песочница, уязвимостиРодители лучше всего знают что можно делать их ребенку, а чего нельзя. Так и программист конкретной программы знает лучше других, какие действия должна выполнять программа, а какие нет. Но не всё так хорошо как хотелось бы. Вредоносные программы частенько вмешиваются в работу других программа. Последствия от эксплуатации уязвимостей в сетевых программах вообще не предсказуемы. Всё это так или иначе нарушает информационную безопасность не только на предприятиях, но и на компьютерах рядовых пользователей.
А как было бы хорошо, если бы программа сама знала какие действия ей не нужны и на всякий случай отключала их.
IPMI — уязвимость позволяющая перезагружать сервер
2012-05-29 в 15:43, admin, рубрики: IPMI, Блог компании GlobaTel (ООО «Глобальные Телекоммуникации»), взлом сервера, информационная безопасность, Телекомы, уязвимости, метки: IPMI, взлом сервера, уязвимостиПриветствуем вас уважаемые Хабровчане!
Мы команда GlobaTel отныне будем стараться радовать вас информативными статьями в области хостинга и Дата-Центров, а так же иногда публиковать наши достижения сугубо с технической точки зрения.
Сегодня мне хотелось бы начать с простой но очень важной статьи о том, как мы наткнулись на вопиющую дыру в IPMI.
[recovery mode] IPMI — уязвимость позволяющая перезагружать сервер
2012-05-29 в 15:43, admin, рубрики: IPMI, Блог компании GlobaTel (ООО «Глобальные Телекоммуникации»), взлом сервера, информационная безопасность, Телекомы, уязвимости, метки: IPMI, взлом сервера, уязвимостиПриветствуем вас уважаемые Хабровчане!
Мы команда GlobaTel отныне будем стараться радовать вас информативными статьями в области хостинга и Дата-Центров, а так же иногда публиковать наши достижения сугубо с технической точки зрения.
Сегодня мне хотелось бы начать с простой, но очень важной статьи о том, как мы наткнулись на вопиющую дыру в IPMI.