abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 15:33 | Nová verze

Byla vydána verze 17.08.0 KDE Aplikací (KDE Applications). Přehled novinek v kompletním seznamu změn a na stránce s dalšími informacemi. Aplikace kmag, kmousetool, kgoldrunner, kigo, konquest, kreversi, ksnakeduel, kspaceduel, ksudoku, kubrick, lskat a umbrello byly portovány na KDE Frameworks 5.

Ladislav Hagara | Komentářů: 0
včera 15:11 | Nová verze

Simon Long představil na blogu Raspberry Pi novou verzi 2017-08-16 linuxové distribuce Raspbian určené především pro jednodeskové miniaturní počítače Raspberry Pi. Společně s Raspbianem byl aktualizován také instalační nástroj NOOBS (New Out Of the Box Software). Nejnovější Raspbian je založen na Debianu 9 Stretch. Přehled novinek v poznámkách k vydání. Řešena je také bezpečnostní chyba Broadpwn (CVE-2017-9417).

Ladislav Hagara | Komentářů: 1
včera 12:33 | Nová verze

Byla vydána verze 3.2.0 programu pro skicování, malování a úpravu obrázků Krita. Přehled novinek v poznámkách k vydání a na YouTube.

Ladislav Hagara | Komentářů: 0
včera 11:44 | IT novinky

Minulý týden na šampionátu The International 2017 byl představen bot, který poráží profesionální hráče počítačové hry Dota 2. V nejnovějším příspěvku na blogu se organizace OpenAI o projektu více rozepsala a zveřejnila videozáznamy několika soubojů.

Ladislav Hagara | Komentářů: 5
16.8. 17:11 | Komunita

Byly zveřejněny videozáznamy přednášek z Fedora 26 Release Party konané 10. srpna v Praze.

Ladislav Hagara | Komentářů: 0
16.8. 15:33 | Komunita

Přesně před čtyřiadvaceti lety, 16. srpna 1993, oznámil Ian Murdock vydání "Debian Linux Release".

Ladislav Hagara | Komentářů: 6
16.8. 06:00 | Bezpečnostní upozornění

Ve virtualizačním softwaru Xen bylo nalezeno a opraveno 5 bezpečnostních chyb XSA-226 až XSA-230. Nejzávažnější z nich XSA-227 (CVE-2017-12137) umožňuje eskalaci privilegií a ovládnutí celého systému, tj. správce hostovaného systému se může stát správcem hostitelského systému.

Ladislav Hagara | Komentářů: 1
15.8. 22:00 | Zajímavý projekt

V roce 2013 proběhla na Kickstarteru úspěšná kampaň na podporu otevřeného Dobře temperovaného klavíru (Well-Tempered Clavier). Stejný tým s Kimiko Išizaka spustil před týdnem na Kickstarteru kampaň Libre Art of the Fugue na podporu svobodného Umění fugy.

Ladislav Hagara | Komentářů: 2
15.8. 13:55 | Pozvánky

Spolek OpenAlt zve příznivce otevřených technologií a otevřeného přístupu na 143. brněnský sraz, který proběhne v pátek 18. srpna od 18:00 hodin ve sportovním areálu a restauraci BeachPub Sokolák u Brněnské přehrady aneb v hantecu u Prýglu.

Ladislav Hagara | Komentářů: 0
15.8. 10:55 | Nová verze

Byla vydána (pdf) verze 3 průběžně aktualizované (rolling release) linuxové distribuce Solus (Wikipedie). Ke stažení je v edicích Budgie, GNOME a MATE. Z novinek lze zmínit například podporu snapů. Solus 3 obsahuje Firefox 55.0.1, LibreOffice 5.4.0.3, Rhythmbox 3.4.1 nebo Thunderbird 52.2.1. Edice Budgie a GNOME přichází s GNOME MPV 0.12. Edice MATE s VLC 2.2.6.

Ladislav Hagara | Komentářů: 5
Těžíte nějakou kryptoměnu?
 (4%)
 (2%)
 (17%)
 (76%)
Celkem 351 hlasů
 Komentářů: 21, poslední 13.8. 09:57
    Rozcestník

    Dotaz: PHP - Podstrčení proměnné

    11.3.2011 23:46 Doležal
    PHP - Podstrčení proměnné
    Přečteno: 2525×
    Ahoj, může mi tohle někdo vysvětlit, ty 4 obrázky jned shora?

    http://access.feld.cvut.cz/view.php?cisloclanku=2007080003

    to je prece absolutni nesmysl, co tam píše..

    Odpovědi

    12.3.2011 00:00 Sten
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Naopak, to je naprosto běžný bezpečnostní problém PHP aplikací, pokud je zapnuto register_globals a proměnné nejsou explicitně inicializovány (a možná byste se divil, kolik takových PHP aplikací na webu je).
    12.3.2011 00:00 nelson | skóre: 16 | blog: jakesi_cosi
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Nesmysl to není. Jde o demonstraci volby "register_globals". Je-li zapnuta, je PHP jedno, jak se k $promenne prislo - zda se dostala definicí ve scriptu, GETem, POSTem ci jinak. => Díra, kterou může útočník změnit hodnotu libovolné proměnné nejjednodušeji třeba pomocí getu - např. tedy index.php?auth=1.
    12.3.2011 00:03 Doležal
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    To ano, ale tady se jedná o to, že to mužu zabezpečit jak chci a utocnik vzdycky podstrci co bude chtit..
    12.3.2011 00:10 l4m4
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Kde se tam podle tebe píše něco takového?
    12.3.2011 00:31 Doležal
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    No nepise ale narazim na tohle
    Ošetřit pomocí důsledné inicializace proměnných na jejich výchozí hodnoty.
    To by me zajimalo jak. Pokud budu inicializovat promenou a a budu brat prokmenou treba z GET tak ji vzdycky podstrcim i kdyz budu mít tu promenou inicializovanou.. Tak k cemu to je dobry?
    12.3.2011 00:39 l4m4
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Když budeš brát hodnotu z GET a v tom bodě ji validovat, tak to není žádné podstrčení.

    Když napíšeš do kódu $foo, přičemž foo normálně není v requestu, a budeš předpokládat, že pokud je ve foo nějaká hodnota, tak jsi ji inicializoval ty, tak to s register_globals pravda není, což je právě to podstrčení.

    Toto je tam samozřejmě popsáno, akorát ses to neobtěžoval číst, takže ti to někdo musí napsat sem, uvidíme, zda to přečteš zde...
    12.3.2011 00:25 nelson | skóre: 16 | blog: jakesi_cosi
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Rekneme si příklad:
    1.)
    register_globals = On
    echo $promenna;
    Podstrcis
    2.)
    register_globals = Off
    echo $_SESSION["promenna"];
    Nepodstrcis
    12.3.2011 00:38 Doležal
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Tak ze kdyz mam

    register_globals = On echo $promenna; Podstrcis

    a kdyz mam

    register_globals = Off echo $promenna; NEPodstrcim ??

    btw co se vubec mysli tim podstrcenim? Nemuzete dat nekdo priklad ja kto muze podstrcit? pochopim toto /index.php?id=ahoj ze utocnik zmeni na /index.php?id=nazdar a je jedno jestli je register_globals = On nebo Off
    12.3.2011 10:24 moira | skóre: 30 | blog: nesmysly
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    btw co se vubec mysli tim podstrcenim? Nemuzete dat nekdo priklad ja kto muze podstrcit? pochopim toto /index.php?id=ahoj ze utocnik zmeni na /index.php?id=nazdar a je jedno jestli je register_globals = On nebo Off
    Rozdíl je v tom, že při globals=on budeš mít nastavenou proměnnou $id a bude v ní hodnota podle toho URL. Pokud někde pracuješ s $id, bez toho, že si jám inicializuješ nějakou hodnotou a spoléhaš na to, že je implicitně "prázdná", tak můžeš narazit.
    Překladač ti nikdy neřekne: "budeme kamarádi"
    12.3.2011 16:30 Doležal
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Rozdíl je v tom, že při globals=on budeš mít nastavenou proměnnou $id a bude v ní hodnota podle toho URL. Pokud někde pracuješ s $id, bez toho, že si jám inicializuješ nějakou hodnotou a spoléhaš na to, že je implicitně "prázdná", tak můžeš narazit.
    a kdyz budu mit globals=off tak co? kdyz zadam /index.php?id=nazdar tak v $id bude co?

    diky
    Jendа avatar 12.3.2011 16:37 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    kdyz zadam /index.php?id=nazdar tak v $id bude co?
    Nic, a podle mě to hodí E_NOTICE, že je proměnná neinicializovaná.
    tf_train.py:93: global_step=110749, loss=1.4074e+17
    12.3.2011 00:28 Sten
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Zkuste si přečíst i ten text, ne jen ty obrázky:
    Jde o specifický útok pro jazyk PHP, který využívá bezpečnostní díry […], vzniklé při použití direktivy register_globals.
    Nejlepší obranou je […] direktivu register_globals úplně vypnout
    12.3.2011 11:35 chrono
    Rozbalit Rozbalit vše Re: PHP - Podstrčení proměnné
    Ak sa používajú nejaké premenné, treba ich nastaviť na nejakú hodnotu a až potom používať (tak sa nemôže stať, že pri povolenom register_globals v tých premenných bude to, čo tam byť nemá). Čiže na začiatku $auth = 0; a potom prípadné testy, ktoré do tej premennej dajú niečo iné.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.