abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 17:30 | Zajímavý článek

Mozilla.cz informuje, že webový prohlížeč Firefox bude od verze 53 obsahovat integrovaný prohlížeč dat ve formátu JSON. Firefox kromě strukturovaného prohlížení nabídne také možnost filtrace a uložení na disk. Dle plánu by měl Firefox 53 vyjít 18. 4. 2017.

Ladislav Hagara | Komentářů: 0
dnes 11:00 | Komunita

Členové a příznivci spolku OpenAlt se pravidelně schází v Praze a Brně. Fotky z pražských srazů za uplynulý rok si můžete prohlédnout na stránkách spolku. Příští sraz se koná už zítra 19. ledna – tentokrát je tématem ergonomie ovládání počítače – tzn. klávesnice, myši a další zařízení. Také budete mít příležitost si prohlédnout pražský hackerspace Brmlab.

xkucf03 | Komentářů: 0
včera 21:55 | Komunita

Nadace pro svobodný software (FSF) oznámila aktualizaci seznamu prioritních oblastí (changelog), na které by se měli vývojáři a příznivci svobodného softwaru zaměřit. Jsou to například svobodný operační systém pro chytré telefony, hlasová a video komunikace nebo softwarový inteligentní osobní asistent.

Ladislav Hagara | Komentářů: 7
včera 16:44 | Nová verze

Byla vydána verze 2.0.0 knihovny pro vykreslování grafů v programovacím jazyce Python Matplotlib (Wikipedie, GitHub). Přehled novinek a galerie grafů na stránkách projektu.

Ladislav Hagara | Komentářů: 0
včera 15:33 | Komunita

V australském Hobartu probíhá tento týden konference linux.conf.au 2017. Na programu je celá řada zajímavých přednášek. Sledovat je lze online.

Ladislav Hagara | Komentářů: 0
včera 10:20 | Zajímavý článek

Pavel Tišnovský se v dvoudílném článku na MojeFedora.cz věnuje bitmapovým (rastrovým) grafickým editorům ve Fedoře. V prvním dílu se věnuje editorům MyPaint, MtPaint, Pinta, XPaint, Krita a GIMP. V pokračování pak editorům GNU Paint (gpaint), GrafX2, KolourPaint, KIconEdit a Tux Paint.

Ladislav Hagara | Komentářů: 1
16.1. 17:11 | Komunita

Byl proveden bezpečnostní audit svobodného IMAP a POP3 serveru Dovecot (Wikipedie). Audit byl zaplacen z programu Mozilla Secure Open Source a provedla jej společnost Cure53. Společnost Cure53 byla velice spokojena s kvalitou zdrojových kódu. V závěrečné zprávě (pdf) jsou zmíněny pouze 3 drobné a v upstreamu již opravené bezpečnostní chyby.

Ladislav Hagara | Komentářů: 0
16.1. 15:30 | IT novinky

Nadace Raspberry Pi představila na svém blogu Raspberry Pi Compute Module 3 (CM3 a CM3L), tj. zmenšené Raspberry Pi vhodné nejenom pro průmyslové využití. Jedná se o nástupce Raspberry Pi Compute Module (CM1) představeného v dubnu 2014. Nový CM3 vychází z Raspberry Pi 3 a má tedy dvakrát více paměti a desetkrát větší výkon než CM1. Verze CM3L (Lite) je dodávána bez 4 GB eMMC flash paměti. Uživatel si může připojit svou vlastní. Představena byla

… více »
Ladislav Hagara | Komentářů: 2
16.1. 01:23 | Nová verze

Oficiálně bylo oznámeno vydání verze 3.0 multiplatformního balíku svobodných kancelářských a grafických aplikací Calligra (Wikipedie). Větev 3 je postavena na KDE Frameworks 5 a Qt 5. Krita se osamostatnila. Z balíku byly dále odstraněny aplikace Author, Brainstorm, Flow a Stage. U Flow a Stage se předpokládá jejich návrat v některé z budoucích verzí Calligry.

Ladislav Hagara | Komentářů: 7
15.1. 15:25 | Nová verze

Bylo oznámeno vydání první RC (release candidate) verze instalátoru pro Debian 9 s kódovým názvem Stretch. Odloženo bylo sloučení /usr jako výchozí nastavení v debootstrap. Vydán byl také Debian 8.7, tj. sedmá opravná verze Debianu 8 s kódovým názvem Jessie.

Ladislav Hagara | Komentářů: 6
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (10%)
 (3%)
 (75%)
 (3%)
 (10%)
Celkem 314 hlasů
 Komentářů: 24, poslední včera 10:14
    Rozcestník
    Reklama

    Dotaz: PHP - Podstrčení proměnné

    11.3.2011 23:46 Doležal
    PHP - Podstrčení proměnné
    Přečteno: 2516×
    Ahoj, může mi tohle někdo vysvětlit, ty 4 obrázky jned shora?

    http://access.feld.cvut.cz/view.php?cisloclanku=2007080003

    to je prece absolutni nesmysl, co tam píše..

    Odpovědi

    12.3.2011 00:00 Sten
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Naopak, to je naprosto běžný bezpečnostní problém PHP aplikací, pokud je zapnuto register_globals a proměnné nejsou explicitně inicializovány (a možná byste se divil, kolik takových PHP aplikací na webu je).
    12.3.2011 00:00 nelson | skóre: 16 | blog: jakesi_cosi
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Nesmysl to není. Jde o demonstraci volby "register_globals". Je-li zapnuta, je PHP jedno, jak se k $promenne prislo - zda se dostala definicí ve scriptu, GETem, POSTem ci jinak. => Díra, kterou může útočník změnit hodnotu libovolné proměnné nejjednodušeji třeba pomocí getu - např. tedy index.php?auth=1.
    12.3.2011 00:03 Doležal
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    To ano, ale tady se jedná o to, že to mužu zabezpečit jak chci a utocnik vzdycky podstrci co bude chtit..
    12.3.2011 00:10 l4m4
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Kde se tam podle tebe píše něco takového?
    12.3.2011 00:31 Doležal
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    No nepise ale narazim na tohle
    Ošetřit pomocí důsledné inicializace proměnných na jejich výchozí hodnoty.
    To by me zajimalo jak. Pokud budu inicializovat promenou a a budu brat prokmenou treba z GET tak ji vzdycky podstrcim i kdyz budu mít tu promenou inicializovanou.. Tak k cemu to je dobry?
    12.3.2011 00:39 l4m4
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Když budeš brát hodnotu z GET a v tom bodě ji validovat, tak to není žádné podstrčení.

    Když napíšeš do kódu $foo, přičemž foo normálně není v requestu, a budeš předpokládat, že pokud je ve foo nějaká hodnota, tak jsi ji inicializoval ty, tak to s register_globals pravda není, což je právě to podstrčení.

    Toto je tam samozřejmě popsáno, akorát ses to neobtěžoval číst, takže ti to někdo musí napsat sem, uvidíme, zda to přečteš zde...
    12.3.2011 00:25 nelson | skóre: 16 | blog: jakesi_cosi
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Rekneme si příklad:
    1.)
    register_globals = On
    echo $promenna;
    Podstrcis
    2.)
    register_globals = Off
    echo $_SESSION["promenna"];
    Nepodstrcis
    12.3.2011 00:38 Doležal
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Tak ze kdyz mam

    register_globals = On echo $promenna; Podstrcis

    a kdyz mam

    register_globals = Off echo $promenna; NEPodstrcim ??

    btw co se vubec mysli tim podstrcenim? Nemuzete dat nekdo priklad ja kto muze podstrcit? pochopim toto /index.php?id=ahoj ze utocnik zmeni na /index.php?id=nazdar a je jedno jestli je register_globals = On nebo Off
    12.3.2011 10:24 moira | skóre: 30 | blog: nesmysly
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    btw co se vubec mysli tim podstrcenim? Nemuzete dat nekdo priklad ja kto muze podstrcit? pochopim toto /index.php?id=ahoj ze utocnik zmeni na /index.php?id=nazdar a je jedno jestli je register_globals = On nebo Off
    Rozdíl je v tom, že při globals=on budeš mít nastavenou proměnnou $id a bude v ní hodnota podle toho URL. Pokud někde pracuješ s $id, bez toho, že si jám inicializuješ nějakou hodnotou a spoléhaš na to, že je implicitně "prázdná", tak můžeš narazit.
    Překladač ti nikdy neřekne: "budeme kamarádi"
    12.3.2011 16:30 Doležal
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Rozdíl je v tom, že při globals=on budeš mít nastavenou proměnnou $id a bude v ní hodnota podle toho URL. Pokud někde pracuješ s $id, bez toho, že si jám inicializuješ nějakou hodnotou a spoléhaš na to, že je implicitně "prázdná", tak můžeš narazit.
    a kdyz budu mit globals=off tak co? kdyz zadam /index.php?id=nazdar tak v $id bude co?

    diky
    Jendа avatar 12.3.2011 16:37 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    kdyz zadam /index.php?id=nazdar tak v $id bude co?
    Nic, a podle mě to hodí E_NOTICE, že je proměnná neinicializovaná.
    „To jsem nedávno zjistil, že naše televize jde ovládat po síti. Docela mě to překvapilo.“ „Jo? A kdo vám ji ovládal?“
    12.3.2011 00:28 Sten
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Zkuste si přečíst i ten text, ne jen ty obrázky:
    Jde o specifický útok pro jazyk PHP, který využívá bezpečnostní díry […], vzniklé při použití direktivy register_globals.
    Nejlepší obranou je […] direktivu register_globals úplně vypnout
    12.3.2011 11:35 chrono
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Ak sa používajú nejaké premenné, treba ich nastaviť na nejakú hodnotu a až potom používať (tak sa nemôže stať, že pri povolenom register_globals v tých premenných bude to, čo tam byť nemá). Čiže na začiatku $auth = 0; a potom prípadné testy, ktoré do tej premennej dajú niečo iné.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.