Последние комментарии
Для меня эта страница - это удобный способ смотреть, что нового происходит в комментариях и сразу находить заметку, не заходя в админку. Думаю, она будет полезна и тебе.
x64
Михаил, конечно, Вас понимаю. я тоже писал некоторым людям об обнаруженных проблемах, но как-то не удосуживаются они править. ну да ладно с ними, видимо, сайты не нужны.
у меня случай забавный был. рыская в гугле, нашёл ссылку на форум, где говорилось о том, что сайт компании, в которой я тружусь, в одном месте подвержен sql-иньекции. самое интересное, код (писали до меня) я видел и запомнил, что там идёт приёмка целого числа:
$id = addslashes($_GET['id']);
вроде ничего страшного. видимо, поэтому сам запрос не посмотрел, а именно там была засада:
$q = "SELECT * FROM `table` WHERE `id` = $id";
в данном случае могли бы помочь кавычки:
$q = "SELECT * FROM `table` WHERE `id` = '$id'";
а их не было. так что пришлось “тайно” реагировать (:
ну и, кстати, если бы мне кто-то написал об уязвимости, обязательно отреагировал бы и хотя бы поблагодарил человека ответным письмом.
многие игнорируют, думаю, из-за того, что:
1. не являются, по сути, программистами (вспомнилась одна фраза про php: ошибки, выводимые в браузер, не враг, а друг программиста);
2. являются Программистами С Большой Буквы (в своём понимании), и не какому-то там Васе им тыкать ошибки.
как бы написать про ошибке не сложно, всего минута:
сайт подвержен иньекции
строка запроса
и если отреагирует кто — хорошо. а на нет и суда нет.
Иван
olegmaster, спасибо, буду разбираться )
olegmaster
Иван, тебе нужен TuxGuardian или SysTrace
Иван
Михаил, спасибо за ответы. Немного уточню что я имел в виду:
1. В Outpost Firewall для виндоуз это выглядит так: при установке этой программы составляется список установленного ПО и потом можно использовать стандартные правила для браузера, аськи и т.п. Также в правилах можно прописать, скажем, что какой-нибудь svchost.exe имеет право делать только DNS-запросы на выбранные сервера и ничего более. А, скажем, MS Word вообще не имеет права выходить в интернет. В каком сетевом экране под линукс есть подобные возможности создания правил доступа в интернет для конкретных приложений, а не для абстрактных пакетов ?
2. Под удалённым подключением я имею в виду подключение, когда кто-то, зная IP-адрес хоста, удалённо по сети вводит логин и пароль и таким образом входит в систему под какой-либо учётной записью. Наверное, речь идёт о чём-то типа rlogin.
3. А как этого избежать ? Завести ещё одну учётную запись для работы с личными данными ? Или не держать личных данных на компе, подключённом к интернету ? )))
Михаил Фленов
1. Сетевой экран
2. Да, и вариантов тут куча, от все того же сетевого экрана, до банального запрета служб. Что ты имеешь ввиду под удаленным подключением к тебе? К ОС не могут подключиться, могут подключиться к сервису. Например, к SSH. Но если ты не установишь и не запустишь SSH, то и подключиться к нему не смогут
3. Может. Если через уязвимость, то сможет. Особенно именно твои личные файлы в /home/youruser. Ты работаешь под своей учетной записью и если в браузере будет уязвимость, то злоумышленник сможет получить доступ к компьютеру с твоими правами и прочитать данные. Но не парься, никто не будет читать.
Иван
Михаил, здравствуйте !
Купил вот недавно вашу книгу "линукс глазами хакера".
В целом понравилась, но не смог найти в ней систематизированного ответа на вопрос о безопасности
рабочей станции. Меня, как новичка в линуксе, интересуют следующие вопросы:
- существует ли какое-либо средство для контроля над интернет-активностью приложений в линуксе ? т.е. можно ли при помощи какой-либо программы (типа Outpost для виндоуз) составить список всех установленных в системе приложений и разрешить доступ в интернет, например, только браузеру, почтовому клиенту и аське, а всем остальным, например, запретить, таким образом лишая доступа в сеть вероятные троянские закладки.
- можно ли каким-либо образом запретить удалённый или сетевой вход в систему ? (примерно как это делается при настройке политик безопасности в виндоуз )
- может ли злоумышленник через сеть каким-либо образом прочитать мои личные файлы в разделе /home,
пользуясь какой-либо уязвимостью в браузере или почтовом клиенте ?
Заранее благодарю за ответ ну и на всякий случай извиняюсь, если мои вопросы вдруг покажутся вам совсем уж ламерскими ))).
Михаил Фленов
Для этого принтера я еще ни разу не заправлял картриджи. Я на ebay купил себе за 12 долларов два полных набора всех цветов (8 картриджей).
viktoria
подскажите пожалуйста как быть,после заправки черного картриджа принтер не видит его???
Гриха
O_o
О блоге
Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю
Copyright © 2025 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.
А здесь еще и копирайт поставлю: Professional Web Development.
На сайте используются Cookie. Если вы из ЕС или Калифорнии США, то вы должны согласиться с их использованием - Согласен. Если вы из нормальной страны, то вам пох.
x64
пользовательские пароли не меняю. меняю пароль сервера (раз в пару месяцев, иногда реже), чижило и, что немаловажно, есть вероятность его забыть (вот и вчера, виндуза-сервер написала, что через 6 дней пароль устареет).
но пользователей мучать этим, конечно, не нужно (исключение, пожалуй, только одно — база скомпрометирована).
а то некоторые сайты грешат тем, что требуют смены пароля, а сменить его — целая песня (недавно, вернувшись из Сочи, обнаружил, что не могу зайти на xap. “тикетная” война за получение нового пароля заняла 3 суток)