TutaMC

В далекому 2007 році, я майже нічого не знав про sql-інекції, але всі свої "незнання" записав в лабораторній роботі щоб отримати пятірку автоматом. Дурак був, в казки вірив ). Але матеріал залишився, а тема інекцій все одно і зараз актуально. В статті є трішки неточностей, але досить мало. Якщо ви ніколи не юзали SQL і лише чули про нього, то гадаю стаття базу дасть.

Тож стаття тут - http://docs.google.com/View?id=dgftzgh5_64dvs5jmhc

А всі файли до неї лежать за цим адресом - http://tutamc.com/files/sql.zip (4.4Mb)

Подібних статтей в інету повно, але цю публікую, бо в файлах є Денвер-сервер з демо-скриптами. І можна(а точніше потрібно) читати статтю і відразу пробувавати все в браузері.

Найпопулярніше питаня до мене це "Як зробити, щоб нічого не робити, а сайт був супер-безпечний", і постійно я відповідав по різному максимально приховуючи АБСОЛЮТНО-СУПЕР-СЕКРЕТНУ технологію, що була розроблема століння назад. І лише сьогодні цім секретом поділюся ), тож якщо ви хочете створювати безпечний сайт, то ось 5 рекомендацій:

1. При програмуванні використовуйте фреймворки, типу ЗендФреймворка, КодеІгнайтера, Джанго, чи інших подібних. Використання фреймворків захищає вас від банальних помилок. Якщо говорити про Джанго, то в нім по замовчуванні є влаштований захист від майже всіх типів атак - SQL-inj, CSRF, XSS. Ці фреймворки написані великою кількістю розумних людей, тому помилок там дуже мало. Набагато менше, ніж якщо б ви цей функціонал писали самі.
2. Закривайте все по IP.
3. Закривайте все по IP.
4. Закривайте все по IP, якщо в вас є адмінка на сайті, то вхід до неї також закривайте по IP. Це дуже просто і супер надійно. Звичайно трішки "неудобства" добавить вам в зв'язку з необхідністю використуванням VPN коли не з основного місця працюєте, але це того варте. Наприклад, якщо зловмисник навіть дізнається адмінський пароль, то він абсолютно нічого не зможе зробити. Це просто реалізується в усіх веб-серверах, а я юзаю nginx, і в нім в конфігі є такі рядки:
   
   location /admin/ {
    allow 127.0.0.1;
    deny all;
    ...
}
5. І знову - закривайте все по IP, якщо в вас є MySQL, FTP і все інше, то все це закривайте файрволом. На сервак повинен бути доступ з будь якого IP лише до ssh з сертифікатом і великим паролем.

Вже багатенько часу я аналізую порно-ринок, і поділюсь результами аналізу найбільшої порно-програми! І це ж звичайно Microsoft Internet Explorer. Хоча я незнаю НОРМАЛЬНИХ людей які користуються ІЕ, але як-то кажуть ідіотів хватає.

У всіх браузерах останнім часом модно добавляти приватний режим, коли теоретично нічого логуватися не повинно. Та розробники ІЕ завжди відрізнялися "умом і сообразітельностью". Тож якщо ви включете в ІЕ порно-режим і полазити по "неправильним" сайтам, то будьте впевнені, що потім можна буде з деякою точністю взнати куди саме заходили.

І бага в ІЕ наступна: в ІЕ влаштована система по захисту від фішінгових сайтів. Кожного разу як заходете на сайт - паралельно відсилається запит до urs.microsoft.com де міститься URL сайту куди ми зайшли, а також ще деяка інфа. І навіть якщо ви в порно-режимі то звичайно всі сайти будуть відсилатися до Майкрософту! А крім того, щоб якщо ви зайдете на сайт два рази, то щоб не перегружати бідні майкрософтські сервера, цей запит кешується і зберігається в файлі:
C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat (відкіля цю інфу можна дістати)

Тож, як бачимо, навіть якщо ви в порно режимі, то крім того що майкрософт знає де ви ходете, а ще й всі хто отримують доступ до вашого компьютера будуть знати це (з останнім я звичайно трішки перебільшую, бо я дуже сумніваюсь що міліція таке знає, чи зможе написати программу яка цю вище-викладену інформацю використає ).

Звичайно захист від фішінгових сайтів можна виключити, але хто-знає куди ще логує дані ІЕ.

Тож користуйтеся нормальними браузерами! )

Лекції скоро будуть!

Є трішки інформації про лекції, що вже скоро почнуться:

І головним є те, що без реєстрації ви не зможете прийти на лекції. Всі вони будуть абсолютно безкоштовні і вільні для входу для будь-кого, але потрібно відіслати е-майл, так як описано в попередньому пості - http://tutamc.com/node/224. Все це буду контролювати особисто я, тобто стану на вході і буду в кожного питати прізвище та звіряти зі списком. Це міра для того, щоб коли прийде 30 заявок і я виберу аудиторію на 30-цять чоловіу, а на лекції прийдуть 60 чоловік, то ніхто не буде шукати вам місце. Будь-ласка якщо в вас є бажання послухати про безпеку - знайдіть хвилинку і відішліть е-майл. Краще відістали і не прийти, чим прийти і не змогти послухати.
Про дату першої і всіх наступних лекцій я буду публікувати в цім блозі пост про це. Тож можете підписатися на RSS-ку, щоб не пропустити.
Формат лекцій планується більш-менш вільний, тож якщо в вас будуть виникати питання, то питайте і я буду відповідати або зразу на них. Або в кінці лекції, або на початку наступної. Варіант діалогу - найбільш оптимальний.
Лекції направлені для людей, що хочуть познайомитися з основами хакерської діяльності. Для тих хто вже працює в цій сфері не буде нічого цікавого.
В більшості лекцій буде практична частина, де на проекторі я буду показувати те про що розказував.
Відеозйомки не буде!
Презентацій будуть, але наврядчи вони будуть цікаві в відриві від лекцій. Тож якщо ви хочете послухати, то треба прийти, по іншому ніяк не вийде.
Час початку лекції десь після 18.00.
Дата початку - десь на наступному тижні.

 

Про те що мене багато раз питали нарешті збулося. А саме в цьому місяці в ХНУРЕ на факультеті КІУ за підтримки Хаханова Володимира Івановича я буду проводити 8 лекцій на тему:

Технологическая культура против хакерского мира

В лекціях буде не лише теорія, а й практика і навіть домашні завдання. Відвідування звичайно факультативне. Такщо якщо є бажаючі студенти, то їм потрібно відправити емайл Володимиру Івановичу: Початок лекцій мабудь на наступну неділю, але деталі будуть відомі вже після того як бажаючі повідправяють заявки. Але попередньо вони будуть в вечірній час. Після цього курсу лекцій можливо буде ще практичкий конкретний курс по якійсь вибраній тематиці.

Отже, якщо вам це цікаво, то відсилайте е-майл. Буду радий бачити.

Хакерська конференція

З невиликим запізненням спішу поділитися з вами про хакерську конференцію, що відбулася з 27.06.09 по 28.06.09.

Отже, 27 числа розпочався хакерський з'їзд в м.Києві на який з'їхалися представники з усієї країни. Людей було приблизно чоловік з 15. Зустріч відбулася в центрі, а потім повільно перейшла на Труханів острів, де й сиділи аж до вечора. Десь близько 8-мої години зустріч перейшла до "Кофе-тайму", де й була до півночі.

28 числа з самого ранку конференція продовжилася, але на цей раз в різних частинах Києва. А вже пізно ввечері всі роз'їхалися по домам.

За час зустрічі розмовляли як і про зовсім банальні теми, що не відносяться до хаку, так і на дуже серьозні теми, що навіть багато хто з присутніх не міг зрозуміти суті теми.

Ще хочеться добавити, те що в таких ситуаціях дружба виникає набагато швидше ніж в звичайних. Тож яякую всім учасникам за чудову конференцію.

І трішки медіаматеріалів.

Відео нового типу атак на сервер "Кет"

Соціальне програмування:

Кардінг:

Зустріли друга - Креветко:

Інші фотографії в альбомі http://picasaweb.google.ru/spirt40/ByFOA270609280609#

PS: хотів детально розписати як все було, але порахував що для секретності так не можна робити. Тому запис в блозі получися як звіт ;). Бо все це не передати словами, потрібно бути на таких зустрічах.