prizrak's Journal

одна небольшая ошибка в коде, а именно - имя переменной. сквозь много версий. одна и та же ошибка, и никто не заметил. видимо непопулярный функционал для интернет магазина - статьи.
хочу профайлер или дебаггер для удаленной отладки ! это мазохизм - искать ошибку в имени переменной в чужом объектном коде. а еще говорят объектный код легко сопровождается и читается. брехня :)

к делу.
vam_href_link.inc.php 804 2007-02-07 10:51:57 VaM

Bug: Некорректно работает функция построения ссылок при разбиении списка статей на страницы.
Desc: Нарушается генерация SEO URL, авто-ЧПУ в просмотре списка статей. За построение списка статей отвечает articles.php. При использовании авто-ЧПУ и ручных SEO URL вызов articles.php производится из manager.php (для SEO) и redirector.php (для авто-ЧПУ) посредством mod_rewrite. Конкретно ошибка проявляется при генерации шаблона (переменная NAVIGATION_BAR) в месте построения списка страниц. Генерируется объектом splitPageResults.

Fix:
Раздел обработки ссылок статей. условие elseif ($page == FILENAME_ARTICLES)

новый будущий интерфейс в gmail можно опробовать сейчас, через темы Предвидение (dense) и Предвидение. Они незаметно появились в списке тем gmail.

Ищу работу. род деятельности - IT, системное администрирование, web-программирование.
Желательный регион - СЗАО.
Резюме по запросу.

CREATE TABLE `t1` (
  `id` int(11) NOT NULL auto_increment,
  `model` varchar(254) default NULL,
  PRIMARY KEY  (`id`)
) ENGINE=MyISAM;

select t1.id,t1.model,td.val as diag,tb.val as bright
from t1
inner join t2 as td on (td.idt=t1.id)
inner join t2 as tb on (tb.idt=t1.id)
where td.`val`>=19 and tb.`val`>=1000
group by t1.id

у меня VPN интернет локально-вычислительная сеть передачи данных построенную на базе оптоволоконных, магистральных и клиентских медных линий, имеется статический реальный IP-адрес.

У меня такой вопрос возник. В памяти телефона обнаружил папку mnt, в которой кроме всего прочего есть папка sdcard. В этой папке похоже лежит те же файлы, что и на карте памяти. нельзя ли без ущерба стереть файлы, расположенные в папке mnt\sdcard? И как они туда вообще попали? Я их специально не копировал.

вкратце про мотивы. некий %username% возжелал странного, а именно проверять файл hosts (речь идет о винде) при переходе по ссылке. конечно же речь идет о троянах и фишинге.

на основе странного хотения резонно возник вопрос - какого, собственно, банана, люди работая под админом в винде даже не пытаются себя обезопасить ?

стандартный крик о том, что "нельзя работать под админом" вобщем-то не работает, и не работал никогда, но вопрос заключается в другом - почему аудитория хабра (как бы по умолчанию подкованная) не задается вопросом снижения привилегий приложения хотя бы до стандартных пользовательских ?

понесу в массы доброе-вечное. существуют две вполне полезные програмки имеющие целью всего одну задачу - понизить приложение в правах.

- DropMyRights [© Michael Howard, Microsoft Security Engineering]
- StripMyRights [© 2005 Kеre Smith, Systemintegrasjon AS]

Вторая написана на основе первой. Обе програмки прекрасно справляются со своей задачей, позволяя понизить права приложения до пользовательских [N], ограниченных пользовательских [C], и недоверенных пользовательских [U] прав. Различные уровни "недоверия" позволяют довольно сильно ограничить возможности запускаемого приложения. Например всем известный IE не в состоянии запустится в режимах [C]onstrained и [U]ntrusted.

Естественно дочерние процессы запускаемые приложением наследуют ограничение в правах.

Основное существенное отличие StripMyRights от своего прародителя заключается в возможности запуска в качестве отладчика (ImageFileExecutionOptions, ключ Debugger], что позволяет настраивать ограничения прав для стандартных задач (IE,Outlook и т.п. популярно-уязвимые продукты), а также и для выполняемых библиотек.

Использование варианта запуска в качестве отладчика убирает необходимость править ярлыки для запуска программ, что довольно сильно упрощает интеграцию этого "ограничителя" в систему.

Естественно за кадром остались всевозможные песочницы (sandbox) для запуска приложений и ограничения их в правах, но это уже более сложное решение. Ну и говоря о безопасности системы не стоит забывать о политиках запуска-записи. можно запускать=нельзя писать, можно писать=нельзя запускать. Такие скромные настройки вашей системы позволят вам и далее работать с правами администратора.

Тем не менее, в том случае, если вы планируете использовать указанные программы в масштабах предприятия, я бы все-таки рекомендовал домен, качественную пользовательскую политику, запрет локальных админов и правильные настройки безопасности.

в данный момент (уже несколько дней) обращаю на частое использование exploit'а с pdf/javascript с доставкой трояндроппера. (Eleonore Exploit Pack v1.3.2)

проверку по virustotal на текущий момент распространяемый pdf не проходит. внутри имеет несколько страниц и набор генерированного текста.
пример:
Abscission suzanne office abnaki abiosis diane desiree dieter. Default abepithymia

Исполняемый js-код содержится в одном из потоков pdf, как и obfuscated жабаскрипт.
UPD : определился каспером как Exploit.JS.Pdfka.chw

Используются уязвимости Java Web Start (http: -J-jar -J//), Collab.collectEmailInfo, app.doc.Collab.getIcon, media.newPlayer

особо опасен при настройке автооткрытия документов pdf. подвержены adobe reader, foxit pdf reader (требует доустановленной поддерки javascript).

распространение с andyglobal.com, а также сайтов на том же IP.

( список сайтов на IP: 91.213.174.22 )

Известные пути на сервере:
/?spl=1&br=MSIE&vers=7.0&s=
/lines.js
/v4ZcxMs_A-p.php
/stat.php

Рекомендации админам :
1. блокировка хоста 91.213.174.22 (полезного маловато конечно, есть еще набор хостов с этой же хренью
2. обновление Java
3. отключение поддержки JS в Acrobat Reader/Foxit PDF Reader
4. желательно отключить браузеру возможность открывать PDFы самостоятельно.

ps: eleonore expp 1.3.2 похоже уплыла в public ? привет milw0rm, привет скрипткиддисы ?

Не работает firebug в firefox ?

В случае если вы пользовались себе фаерфоксом с дополнением firebug, обновили ff до версии 3.6.x и firebug до 1.4.х+ и firebug внезапно перестал работать ну совсем - вероятнее всего проблема со старыми файлами и методикой работы ff с дополнениями.

не вдаваясь в подробности быстро и просто полечить проблему установив более новый firebug, например 1.6a9.

довелось вчерась полечить эту забаву с кодом а5********* и номером 4460 :)

судя по рассказам пострадавшего вылечить беду подбором кода дезактивации не удается. баннер исчезает на некоторое время и потом появляется снова.

симптомы я думаю всем известны уже :)

противодействует запуску антивирусов и приложений (причем контроллируя пути, имена процессов и, предположительно, заголовки окон)

ключевые слова :
альтернативные потоки NTFS (например c:\windows\comsetup.log:QRNluCaWpBM)
AppInit_DLLs
Gmer

так же есть чудесный способ обманывать вымогателя и запускать некоторые приложения :)
из слабых мест - доступен запуск проводника, wmi а так же возможен запуск cmd.

запуск sysinternals procexp в нашем случае был невозможен, троянец рубил ему башку налету.
рубить процессы практически бесполезное занятие. необходимо выгружать из процесса библиотеку (закладка threads в procexp) - по имени библиотеки прекрасно находится. так же в этом прекрасно помогает avz, gmer и прочие, если сможете запустить ;)

ввиду жесточайшего уничтожения троянца получить образец не удалось (ставили эксперимент по лечению заразы без перестановки винтов и загрузок с winpe), соответственно ковырнуть библиотеку в дебаггере не представляется возможным.

ошибку IPSec после лечения виря исправляем через
netsh int ip reset c:\resetlog.txt
regsvr32 polstore.dll

также про действия для восстановления работы сети читать тут

пожалуй теперь самым большим развлечением будет намеренная вставка некорректного шифра в "о себе" дабы кульхацкеры маялись со взломом стандарнтным алгоритмом.

получаем пароль обратно. нолики и единички в "о себе"
к примеру
01011001100101101010010110100001001100000101101000010110110001011011000101101000
пароль к аське будет "57606886"

( Таблица декодирования вручную: )

upd: приму в дар инвайт на хабру :)

цитата с хабра, из этой статьи.

Delsian 23 ноября 2009, 15:28

Недавно столкнулся с украинским судопроизводством. Компьютерные квесты отдыхают: побеседуй с NPC, получи от него квестовый айтем, отнеси его в блуждающую локацию и за это другой NPC в третьей локации сообщит тебе код перехода на следующий уровень :)
Ну нафиг, лучше в такое на компе играть, чем вживую :)

я понял почему сталкера сделали на/в Украине :)

судя по всему хороший способ скрыть xss лежит в использовании tinyurl и подобных сервисов.

PoC думаю делать бесполезно, любой желающий проверит самостоятельно.

думаю что идея не нова, исследованием не занимался особо, но к коротким урлам буду относиться с опаской.

установка софта : _ttp://ninite.com/
записки : _ttp://www.evernote.com/
синхровеб : _ttp://www.getdropbox.com/