abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 05:55 | Zajímavý projekt

Google na svém blogu věnovaném open source představil portál Google Open Source informující mimo jiné o více než 2000 open source projektech vyvíjených nebo používaných v Googlu.

Ladislav Hagara | Komentářů: 0
dnes 03:33 | IT novinky

Pro společnost Red Hat skončil 28. února fiskální rok 2017. Dle finančních výsledků bylo čtvrté čtvrtletí, stejně jako celý fiskální rok 2017, opět úspěšné. Tržby jsou zvyšovány již 60 čtvrtletí v řadě. Za čtvrté čtvrtletí 2017 to bylo 629 milionů dolarů, tj. meziroční nárůst 16 %. Tržby za celý fiskální rok činily 2,4 miliardy dolarů, tj. meziroční nárůst 18 %.

Ladislav Hagara | Komentářů: 2
včera 18:22 | Bezpečnostní upozornění

V balíčku eject, příkaz pro vysunutí CD/DVD z mechaniky, v linuxových distribucích Ubuntu (USN-3246-1) a Debian (#858872) byla nalezena bezpečnostní chyba CVE-2017-6964 zneužitelná k lokální eskalaci práv. Linuxové distribuce používající eject z balíčku util-linux nejsou zranitelné.

Ladislav Hagara | Komentářů: 8
včera 05:55 | Komunita

Dries Buytaert, autor a vedoucí projektu Drupal a prezident Drupal Association, požádal soukromě před několika týdny Larryho Garfielda, jednoho z klíčových vývojářů Drupalu, aby projekt Drupal opustil. Larry Garfield minulý týden na svých stránkách napsal, že důvodem jsou jeho BDSM praktiky a rozpoutal tím bouřlivou diskusi. Na druhý den reagoval Dries Buytaert i Drupal Association. Pokračuje Larry Garfield [reddit].

Ladislav Hagara | Komentářů: 40
včera 04:44 | Humor

Společnost SAS zveřejnila na svých stránkách studii s názvem Open Source vs Proprietary: What organisations need to know (pdf). Organizace by měly například vědět, že ideální je mix 40 % open source softwaru a 60 % proprietárního softwaru [Slashdot].

Ladislav Hagara | Komentářů: 12
27.3. 23:33 | Zajímavý software

Byl vydán ShellCheck ve verzi 0.4.6. Jedná se o nástroj pro statickou analýzu shellových skriptů. Shellové skripty lze analyzovat na webové stránce ShellChecku, v terminálu nebo přímo z textových editorů. Příklady kódů, na které analýza upozorňuje a doporučuje je přepsat. ShellCheck je naprogramován v programovacím jazyce Haskell. Zdrojové kódy jsou k dispozici na GitHubu pod licencí GPLv3.

Ladislav Hagara | Komentářů: 0
27.3. 23:33 | Pozvánky

Czech JBoss User Group zve na setkání JBUG v Brně, které se koná ve středu 5. dubna 2017 v prostorách Fakulty informatiky Masarykovy univerzity v místnosti A318 od 18:00. Přednáší Pavol Loffay na téma Distributed Tracing and OpenTracing in Microservice Architecture.

… více »
mjedlick | Komentářů: 0
27.3. 11:33 | Zajímavý článek

Národní centrum kybernetické bezpečnosti (NCKB) vypracovalo (pdf) 26 podrobných bezpečnostních doporučení pro síťové správce. Tato doporučení jsou nastavena tak, aby je bylo možné aplikovat v každé instituci. Jsou rozdělena na tři základní části: bezpečnost infrastruktury, bezpečnost stanic a serverů a bezpečnost uživatelů.

Ladislav Hagara | Komentářů: 17
27.3. 05:55 | Komunita

Prezident Nadace pro svobodný software (FSF) Richard M. Stallman vyhlásil na slavnostním ceremoniálu v rámci konference LibrePlanet 2017 vítěze Free Software Awards za rok 2016. Ocenění za společenský přínos získal SecureDrop (Wikipedie). Za rozvoj svobodného softwaru byl oceněn Alexandre Oliva (Wikipedie).

Ladislav Hagara | Komentářů: 0
27.3. 04:44 | Nová verze

Byla vydána verze 0.7.0 debugovacího nástroje cgdb. Mezi novinky patří například zvýrazňování syntaxe jazyka Rust. Podrobnosti v poznámkách o vydání.

Neel | Komentářů: 0
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (14%)
 (2%)
 (72%)
 (3%)
 (10%)
Celkem 959 hlasů
 Komentářů: 72, poslední 1.3. 11:16
    Rozcestník

    Dotaz: PHP - Podstrčení proměnné

    11.3.2011 23:46 Doležal
    PHP - Podstrčení proměnné
    Přečteno: 2522×
    Ahoj, může mi tohle někdo vysvětlit, ty 4 obrázky jned shora?

    http://access.feld.cvut.cz/view.php?cisloclanku=2007080003

    to je prece absolutni nesmysl, co tam píše..

    Odpovědi

    12.3.2011 00:00 Sten
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Naopak, to je naprosto běžný bezpečnostní problém PHP aplikací, pokud je zapnuto register_globals a proměnné nejsou explicitně inicializovány (a možná byste se divil, kolik takových PHP aplikací na webu je).
    12.3.2011 00:00 nelson | skóre: 16 | blog: jakesi_cosi
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Nesmysl to není. Jde o demonstraci volby "register_globals". Je-li zapnuta, je PHP jedno, jak se k $promenne prislo - zda se dostala definicí ve scriptu, GETem, POSTem ci jinak. => Díra, kterou může útočník změnit hodnotu libovolné proměnné nejjednodušeji třeba pomocí getu - např. tedy index.php?auth=1.
    12.3.2011 00:03 Doležal
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    To ano, ale tady se jedná o to, že to mužu zabezpečit jak chci a utocnik vzdycky podstrci co bude chtit..
    12.3.2011 00:10 l4m4
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Kde se tam podle tebe píše něco takového?
    12.3.2011 00:31 Doležal
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    No nepise ale narazim na tohle
    Ošetřit pomocí důsledné inicializace proměnných na jejich výchozí hodnoty.
    To by me zajimalo jak. Pokud budu inicializovat promenou a a budu brat prokmenou treba z GET tak ji vzdycky podstrcim i kdyz budu mít tu promenou inicializovanou.. Tak k cemu to je dobry?
    12.3.2011 00:39 l4m4
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Když budeš brát hodnotu z GET a v tom bodě ji validovat, tak to není žádné podstrčení.

    Když napíšeš do kódu $foo, přičemž foo normálně není v requestu, a budeš předpokládat, že pokud je ve foo nějaká hodnota, tak jsi ji inicializoval ty, tak to s register_globals pravda není, což je právě to podstrčení.

    Toto je tam samozřejmě popsáno, akorát ses to neobtěžoval číst, takže ti to někdo musí napsat sem, uvidíme, zda to přečteš zde...
    12.3.2011 00:25 nelson | skóre: 16 | blog: jakesi_cosi
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Rekneme si příklad:
    1.)
    register_globals = On
    echo $promenna;
    Podstrcis
    2.)
    register_globals = Off
    echo $_SESSION["promenna"];
    Nepodstrcis
    12.3.2011 00:38 Doležal
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Tak ze kdyz mam

    register_globals = On echo $promenna; Podstrcis

    a kdyz mam

    register_globals = Off echo $promenna; NEPodstrcim ??

    btw co se vubec mysli tim podstrcenim? Nemuzete dat nekdo priklad ja kto muze podstrcit? pochopim toto /index.php?id=ahoj ze utocnik zmeni na /index.php?id=nazdar a je jedno jestli je register_globals = On nebo Off
    12.3.2011 10:24 moira | skóre: 30 | blog: nesmysly
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    btw co se vubec mysli tim podstrcenim? Nemuzete dat nekdo priklad ja kto muze podstrcit? pochopim toto /index.php?id=ahoj ze utocnik zmeni na /index.php?id=nazdar a je jedno jestli je register_globals = On nebo Off
    Rozdíl je v tom, že při globals=on budeš mít nastavenou proměnnou $id a bude v ní hodnota podle toho URL. Pokud někde pracuješ s $id, bez toho, že si jám inicializuješ nějakou hodnotou a spoléhaš na to, že je implicitně "prázdná", tak můžeš narazit.
    Překladač ti nikdy neřekne: "budeme kamarádi"
    12.3.2011 16:30 Doležal
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Rozdíl je v tom, že při globals=on budeš mít nastavenou proměnnou $id a bude v ní hodnota podle toho URL. Pokud někde pracuješ s $id, bez toho, že si jám inicializuješ nějakou hodnotou a spoléhaš na to, že je implicitně "prázdná", tak můžeš narazit.
    a kdyz budu mit globals=off tak co? kdyz zadam /index.php?id=nazdar tak v $id bude co?

    diky
    Jendа avatar 12.3.2011 16:37 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    kdyz zadam /index.php?id=nazdar tak v $id bude co?
    Nic, a podle mě to hodí E_NOTICE, že je proměnná neinicializovaná.
    Nezapomeňte si posunout časovače na svých bombách o hodinu dopředu!
    12.3.2011 00:28 Sten
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Zkuste si přečíst i ten text, ne jen ty obrázky:
    Jde o specifický útok pro jazyk PHP, který využívá bezpečnostní díry […], vzniklé při použití direktivy register_globals.
    Nejlepší obranou je […] direktivu register_globals úplně vypnout
    12.3.2011 11:35 chrono
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Ak sa používajú nejaké premenné, treba ich nastaviť na nejakú hodnotu a až potom používať (tak sa nemôže stať, že pri povolenom register_globals v tých premenných bude to, čo tam byť nemá). Čiže na začiatku $auth = 0; a potom prípadné testy, ktoré do tej premennej dajú niečo iné.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.