abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 15:18 | Zajímavý software
CrossOver, komerční produkt založený na Wine, je dnes (23. 5. 2017) dostupný ve slevě. Roční předplatné linuxové verze vyjde s kódem TWENTYONE na $21, resp. $1 v případě IP z chudších zemí jako ČR. Firma CodeWeavers, která CrossOver vyvíjí, významně přispívá do Wine. Přidaná hodnota CrossOver spočívá v přívětivějším uživatelském rozhraní, integraci do desktopu a podpoře.
Fluttershy, yay! | Komentářů: 3
dnes 15:11 | Zajímavý projekt

V únoru loňského roku bylo představeno několik útoků na celou řadu bezdrátových klávesnic a myší s názvem MouseJack. Po více než roce lze chybu opravit, tj. aktualizovat firmware, také z Linuxu. Richardu Hughesovi se podařilo navázat spolupráci se společností Logitech, získat od nich dokumentaci, přesvědčit je, aby firmware poskytovali přímo a ne jako součást .exe souboru, aby mohl být popis začleněn do služby Linux Vendor Firmware Service (LVFS) a aktualizace tak mohla proběhnou přímo z Linuxu pomocí projektu fwupd.

Ladislav Hagara | Komentářů: 0
dnes 13:22 | Nová verze

Po roce a půl vydali vývojáři projektu SANE (Scanner Access Now Easy) (Wikipedie) novou verzi 1.0.27 balíku SANE-Backends. Nejnovější verze tohoto balíku pro přístup ke skenerům přináší například významná vylepšení v několika backendech nebo podporu pro více než 30 nových modelů skenerů. Verze 1.0.26 byla přeskočena.

Ladislav Hagara | Komentářů: 0
včera 20:55 | Komunita

Od 18. do 21. května proběhla v Saint-Étienne Linux Audio Conference 2017. Na programu byla řada zajímavých přednášek a seminářů. Videozáznamy přednášek lze zhlédnout na YouTube. K dispozici jsou také články a prezentace.

Ladislav Hagara | Komentářů: 0
včera 20:44 | IT novinky

Hodnota Bitcoinu, decentralizované kryptoměny, překonala hranici 2 200 dolarů. Za posledních 30 dnů tak vzrostla přibližně o 80 % [reddit].

Ladislav Hagara | Komentářů: 3
včera 17:33 | Nová verze

Po 5 měsících vývoje od vydání verze 0.12.0 byla vydána verze 0.13.0 správce balíčků GNU Guix a na něm postavené systémové distribuce GuixSD (Guix System Distribution). Na vývoji se podílelo 83 vývojářů. Přibylo 840 nových balíčků. Jejich aktuální počet je 5 454. Aktualizována byla také dokumentace.

Ladislav Hagara | Komentářů: 1
včera 17:22 | Nová verze

Po 5 měsících vývoje a 3 týdnech intenzivního testování byla vydána verze 12 open source systému Nextcloud, forku ownCloudu, umožňujícího provoz vlastního cloudového úložiště. Přehled novinek i s videoukázkami v poznámkách k vydání. Pro vyzkoušení je k dispozici demo.

Ladislav Hagara | Komentářů: 6
včera 11:44 | Zajímavý článek

Týden po prvním číslu publikoval Michal Špaček na svých stránkách druhé číslo newsletteru věnovanému bezpečnosti, bezpečnému vývoji převážně webových aplikací a bezpečnosti uživatelů. Věnuje se výpadku Let's Encrypt, únikům dat, bug bounty pro WordPress nebo SQL Injection v Joomla. Zmiňuje také, že Mozilla plánuje z Firefoxu odstranit podporu pro Encrypted Media Extensions (EME) na nešifrovaném HTTP a nadále pro EME vyžadovat HTTPS.

Ladislav Hagara | Komentářů: 0
včera 02:00 | Pozvánky

Ve středu 31. května 2017 od 17:00 proběhne v pražské pobočce SUSE Den otevřených dveří v SUSE. Čekají vás přednášky o live kernel patchingu a nástroji SaltStack. Také se dozvíte zajímavé informace o SUSE, openSUSE, a vlastně všech produktech, na kterých lidé ze SUSE pracují.

Ladislav Hagara | Komentářů: 4
včera 01:00 | Pozvánky

Czech JBoss User Group srdečně zve na setkání JBUG v Brně, které se koná ve středu 7. června 2017 v prostorách Fakulty informatiky Masarykovy univerzity v místnosti A318 od 18:00. Přednáší Tomáš Livora na téma Fault Tolerance with Hystrix. Více informací na Facebooku a Twitteru #jbugcz.

mjedlick | Komentářů: 0
Chystáte se pořídit CPU AMD Ryzen?
 (6%)
 (32%)
 (1%)
 (8%)
 (44%)
 (9%)
Celkem 595 hlasů
 Komentářů: 62, poslední 19.5. 01:57
    Rozcestník

    Dotaz: PHP - Podstrčení proměnné

    11.3.2011 23:46 Doležal
    PHP - Podstrčení proměnné
    Přečteno: 2524×
    Ahoj, může mi tohle někdo vysvětlit, ty 4 obrázky jned shora?

    http://access.feld.cvut.cz/view.php?cisloclanku=2007080003

    to je prece absolutni nesmysl, co tam píše..

    Odpovědi

    12.3.2011 00:00 Sten
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Naopak, to je naprosto běžný bezpečnostní problém PHP aplikací, pokud je zapnuto register_globals a proměnné nejsou explicitně inicializovány (a možná byste se divil, kolik takových PHP aplikací na webu je).
    12.3.2011 00:00 nelson | skóre: 16 | blog: jakesi_cosi
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Nesmysl to není. Jde o demonstraci volby "register_globals". Je-li zapnuta, je PHP jedno, jak se k $promenne prislo - zda se dostala definicí ve scriptu, GETem, POSTem ci jinak. => Díra, kterou může útočník změnit hodnotu libovolné proměnné nejjednodušeji třeba pomocí getu - např. tedy index.php?auth=1.
    12.3.2011 00:03 Doležal
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    To ano, ale tady se jedná o to, že to mužu zabezpečit jak chci a utocnik vzdycky podstrci co bude chtit..
    12.3.2011 00:10 l4m4
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Kde se tam podle tebe píše něco takového?
    12.3.2011 00:31 Doležal
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    No nepise ale narazim na tohle
    Ošetřit pomocí důsledné inicializace proměnných na jejich výchozí hodnoty.
    To by me zajimalo jak. Pokud budu inicializovat promenou a a budu brat prokmenou treba z GET tak ji vzdycky podstrcim i kdyz budu mít tu promenou inicializovanou.. Tak k cemu to je dobry?
    12.3.2011 00:39 l4m4
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Když budeš brát hodnotu z GET a v tom bodě ji validovat, tak to není žádné podstrčení.

    Když napíšeš do kódu $foo, přičemž foo normálně není v requestu, a budeš předpokládat, že pokud je ve foo nějaká hodnota, tak jsi ji inicializoval ty, tak to s register_globals pravda není, což je právě to podstrčení.

    Toto je tam samozřejmě popsáno, akorát ses to neobtěžoval číst, takže ti to někdo musí napsat sem, uvidíme, zda to přečteš zde...
    12.3.2011 00:25 nelson | skóre: 16 | blog: jakesi_cosi
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Rekneme si příklad:
    1.)
    register_globals = On
    echo $promenna;
    Podstrcis
    2.)
    register_globals = Off
    echo $_SESSION["promenna"];
    Nepodstrcis
    12.3.2011 00:38 Doležal
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Tak ze kdyz mam

    register_globals = On echo $promenna; Podstrcis

    a kdyz mam

    register_globals = Off echo $promenna; NEPodstrcim ??

    btw co se vubec mysli tim podstrcenim? Nemuzete dat nekdo priklad ja kto muze podstrcit? pochopim toto /index.php?id=ahoj ze utocnik zmeni na /index.php?id=nazdar a je jedno jestli je register_globals = On nebo Off
    12.3.2011 10:24 moira | skóre: 30 | blog: nesmysly
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    btw co se vubec mysli tim podstrcenim? Nemuzete dat nekdo priklad ja kto muze podstrcit? pochopim toto /index.php?id=ahoj ze utocnik zmeni na /index.php?id=nazdar a je jedno jestli je register_globals = On nebo Off
    Rozdíl je v tom, že při globals=on budeš mít nastavenou proměnnou $id a bude v ní hodnota podle toho URL. Pokud někde pracuješ s $id, bez toho, že si jám inicializuješ nějakou hodnotou a spoléhaš na to, že je implicitně "prázdná", tak můžeš narazit.
    Překladač ti nikdy neřekne: "budeme kamarádi"
    12.3.2011 16:30 Doležal
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Rozdíl je v tom, že při globals=on budeš mít nastavenou proměnnou $id a bude v ní hodnota podle toho URL. Pokud někde pracuješ s $id, bez toho, že si jám inicializuješ nějakou hodnotou a spoléhaš na to, že je implicitně "prázdná", tak můžeš narazit.
    a kdyz budu mit globals=off tak co? kdyz zadam /index.php?id=nazdar tak v $id bude co?

    diky
    Jendа avatar 12.3.2011 16:37 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    kdyz zadam /index.php?id=nazdar tak v $id bude co?
    Nic, a podle mě to hodí E_NOTICE, že je proměnná neinicializovaná.
    12.3.2011 00:28 Sten
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Zkuste si přečíst i ten text, ne jen ty obrázky:
    Jde o specifický útok pro jazyk PHP, který využívá bezpečnostní díry […], vzniklé při použití direktivy register_globals.
    Nejlepší obranou je […] direktivu register_globals úplně vypnout
    12.3.2011 11:35 chrono
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Ak sa používajú nejaké premenné, treba ich nastaviť na nejakú hodnotu a až potom používať (tak sa nemôže stať, že pri povolenom register_globals v tých premenných bude to, čo tam byť nemá). Čiže na začiatku $auth = 0; a potom prípadné testy, ktoré do tej premennej dajú niečo iné.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.