V Praze probíhá Flock 2026, tj. konference pro přispěvatele a příznivce Fedory. Přednášky lze sledovat také na YouTube.
Node-RED (Wikipedie, GitHub), webová aplikace postavená na Node.js pro vizuální programování a propojování hardwarových zařízení, API a online služeb, byl vydán ve verzi 5.0. Přehled novinek v příspěvku na blogu.
Byla vydána nová verze 3.27.0 FreeRDP, tj. svobodné implementace protokolu RDP (Remote Desktop Protocol). Opraveno bylo 5 zranitelností.
Řídící výbor GCC schválil záměr do GCC začlenit backend WebAssembly.
Po 9 týdnech vývoje od vydání Linuxu 7.0 oznámil Linus Torvalds vydání Linuxu 7.1. Přehled novinek a vylepšení na LWN.net: první a druhá polovina začleňovacího okna a časem také na Linux Kernel Newbies.
Cheat Engine (Wikipedie) je s verzí 7.7 k dispozici už také pro Linux. Jedná se o proprietární skener/debugger paměti používaný především k cheatování v počítačových hrách.
Vláda USA nařídila společnosti Anthropic pozastavit přístup k modelům Fable 5 a Mythos 5 pro všechny cizince, včetně zaměstnanců Anthropicu.
Společnost Murena představila (YouTube) novou verzi 4.0 mobilního operačního systému /e/OS (Wikipedie) založeného na Androidu a LineageOS bez aplikací a služeb od Googlu.
V Arch User Repository (AUR) bylo kompromitováno přes 400 opomíjených balíčků (jejich seznam). Útočník do nich začlenil škodlivý npm balíček atomic-lockfile, který krade citlivá data uživatelů. Publikována byla předběžná analýza spouštěného malwaru deps.
Homebrew, správce balíčků nejen pro macOS, byl vydán ve verzi 6.0.0 (seznam změn). Hlavními novinkami jsou bezpečnostní mechanismus tap trust kvůli důvěryhodnosti závislostí, vylepšení sandboxingu na Linuxu, interní JSON API nebo zlepšení výkonu.
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
function smssend($Number,$Message) {
$Recode=array('ä'=>'a','Ä'=>'A','á'=>'a','Á'=>'A','à'=>'a','À'=>'A','ã'=>'a','Ã'=>'A','â'=>'a','Â'=>'A','č'=>'c','Č'=>'C','ć'=>'c','Ć'=>'C',
'ď'=>'d','Ď'=>'D','ě'=>'e','Ě'=>'E','é'=>'e','É'=>'E','ë'=>'e','Ë'=>'E','è'=>'e','È'=>'E','ê'=>'e','Ê'=>'E','í'=>'i','Í'=>'I',
'ï'=>'i','Ï'=>'I','ì'=>'i','Ì'=>'I','î'=>'i','Î'=>'I','ľ'=>'l','Ľ'=>'L','ĺ'=>'l','Ĺ'=>'L','ń'=>'n','Ń'=>'N','ň'=>'n','Ň'=>'N',
'ñ'=>'n','Ñ'=>'N','ó'=>'o','Ó'=>'O','ö'=>'o','Ö'=>'O','ô'=>'o','Ô'=>'O','ò'=>'o','Ò'=>'O','õ'=>'o','Õ'=>'O','ő'=>'o','Ő'=>'O',
'ř'=>'r','Ř'=>'R','ŕ'=>'r','Ŕ'=>'R','š'=>'s','Š'=>'S','ś'=>'s','Ś'=>'S','ť'=>'t','Ť'=>'T','ú'=>'u','Ú'=>'U','ů'=>'u','Ů'=>'U',
'ü'=>'u','Ü'=>'U','ù'=>'u','Ù'=>'U','ũ'=>'u','Ũ'=>'U','û'=>'u','Û'=>'U','ý'=>'y','Ý'=>'Y','ž'=>'z','Ž'=>'Z','ź'=>'z','Ź'=>'Z');
exec('smssend '.preg_replace('/[^0-9]/','',$Number).' "'.preg_replace('/[^0-9a-zA-Z\+\-\*\/\.\,\:\; ]/','',strtr($Message,$Recode)).'"');
}
Vopred vám veľmi pekne ďakujem za ochotu.
Řešení dotazu:
11.12.2014 22:11
Fuky | skóre: 52
| blog: 4u
Pro převod na ASCII bych využíval standartní funkce dostupné v konkrétním prostředí:
PHP
setlocale(LC_CTYPE, 'cs_CZ');
echo iconv('UTF-8', 'ASCII//TRANSLIT', "Příšerně žluťoučký kůň úpěl ďábelské ódy.");
Bash
$ echo "Příšerně žluťoučký kůň úpěl ďábelské ódy." |enca -C extern -E cstocs -x ascii -L cs_CZ
Priserne zlutoucky kun upel dabelske ody.
Python
$ echo "Příšerně žluťoučký kůň úpěl ďábelské ódy." |python -c 'import sys, unicodedata; print unicodedata.normalize("NFKD", sys.stdin.read().decode("utf-8")).encode("ascii", "ignore")'
Priserne zlutoucky kun upel dabelske ody.
Co se týče zneužití fce exec(), tak mě na první pohled nic nenapadá.
11.12.2014 22:28
Fuky | skóre: 52
| blog: 4u
Ještě by tě mohlo zajímat:
12.12.2014 01:10
Josef Kufner | skóre: 70
exec('smssend '.escapeshellarg($number).' '.escapeshellarg($message));
12.12.2014 09:41
Fuky | skóre: 52
| blog: 4u
Podívej se na:
' "'.preg_replace('/[^0-9a-zA-Z\+\-\*\/\.\,\:\; ]/','',strtr($Message,$Recode)).'"'
Řekl bych, že tazatel si uvědomuje podstatu problému a zná fci escapeshellarg(), ale chce mít ve zprávě potencionálně nebezpečné znaky '*', ';' bez zpětného lomítka. A mě nenapadá, jak je v té jeho konstrukci zneužít, když začíná a končí řetězec pomocí uvozovek a zároveň podle mě nenechal k dispozici žádný znak, který by umožnil řetězec ukončit ze strany uživatele a provést spuštění vlastního příkazu. Nebo tě napadá nějaká konkrétní možnost zneužití?
12.12.2014 09:50
Fuky | skóre: 52
| blog: 4u
Teď mě napadá, tazatel ještě nezmínil jaké argumenty umožňuje přijímat program smssend, mmj. bych omezil velikost uživatelského vstupu na maximální požadovanou velikost zprávy.
Security issues with using PHP's escapeshellarg
Breaking escapeshellarg() news
12.12.2014 17:31
Josef Kufner | skóre: 70
13.12.2014 00:38
Jendа | skóre: 78
| blog: Jenda
| JO70FB
13.12.2014 01:44
Jendа | skóre: 78
| blog: Jenda
| JO70FB
13.12.2014 09:22
Fuky | skóre: 52
| blog: 4u
Tiskni
Sdílej:
