Прошёл очередной CTF, осталось двоякое чувство: с одной стороны - задания интересные, а с другой стороны - одному играть за всю команду как то скучновато, да и опять к заданиям я приступил, когда уже пол игры было сыграно. Но пост, естественно, не об этом :)
Из 22 заданий мне удалось решить только 12, что в итоге дало 2225 баллов и, аж 19е место из 206 команд (119 команд решили хотя бы одно задание). Теперь, собственно, сами таски.
Читать далее →
Данный пост проплачен всеми антивирусными компаниями, кроме ESET, поэтому ниже я напишу, почему NOD32 унылый антивирус с неменее унылой технической поддержкой.
Собственно, началось всё с того, что один пользователь пожаловался мне, что при использовании моего расширения для ВКонтакте, его NOD32 заблокировал доступ к домену rs.darkbyte.ru, на котором находился скрипт получения дат регистраций пользователей ВК. Сначала я подумал, что это проблема пользователя, что он подцепил какой-нибудь вирус, который ему в HTTP ответы вставляет всякую рекламу и NOD их блокирует. Но когда появились и другие подобные обращения, я понял, что проблема не в пользователе, а в моём сайте, но проверив содержимое заблокированного домена, я не обнаружил ничего такого, что могло бы спровоцировать антивирус заблокировать его.
Читать далее →
Довелось сегодня поучаствовать в CTF от Positive Hack Days. Очень пожалел, что к игре присоединился в последние часы, заданий было много, почти все по вебу, много интересного.
Информации по сервисам я записывал не много, а игровая сеть уже закрыта, поэтому могут быть некоторые расхождения в данных :)
Начнём с сервиса, который был по адресу 192.168.0.1. Там висела страничка с предложением ввести пароль. Ввод всякой фигни, в т.ч. кавычек, не дал результата. Заглянув в исходник, я обнаружил там ссылку на архив PowerHikeDoodad_src.zip, в котором было два файла index.php и config.php
Читать далее →
Официальный анонс звучал так:
С 1 декабря мы отключаем возможность встраивать виджеты API ВКонтакте в Публичные страницы. К сожалению, за более чем полгода существования этого экспериментального сервиса, нам не встретилось ни одного достойного примера использования этих возможностей. В то же время, с виджетами нередко связаны злоупотребления, а качество исполнения популярных виджетов не соответствует уровню сайта. 1 декабря блок «Виджет» исчезнет со всех Публичных страниц, все виджеты будут отключены.
Передача электричества на расстояние без проводов по-прежнему воспринимается многими, как научная фантастика и это не смотря на то, что беспроводной интернет уже стал обыденностью, не говоря уже об обычном радио. Хотя способы передачи электричества на расстояние были известны уже давно (опыты Николы Теслы, например), но о беспроводных зарядных устройствах для мобильных телефонах задумались сравнительно недавно.
Принцип передачи энергии, используемый в беспроводных зарядных устройствах довольно просто. Постоянное напряжение преобразуется в переменное и подаётся на катушку, расположенную в базовом блоке зарядного устройства. Вокруг катушки создаётся индукционное электрическое поле, которое улавливается второй катушкой, расположенной в приёмном устройстве (специальном адаптере или телефоне с поддержкой беспроводной зарядки). Напряжение, полученное со второй катушки, стабилизируется до подходящего уровня и подаётся на вход заряжаемому устройству.
Читать далее →
С тех пор, как сделал в прихожей плавное и автоматическое включение света, забыл о двух проблемах:
1) необходимости постоянно включать и выключать свет
2) часто перегорающих лампочках
Справедливости ради, стоит отметить, что в магазинах уже можно найти готовые лампочки с плавным и автоматическим включением, просто вкрутил и ничего не нужно делать, но ведь это не интересно :)
Читать далее →
Есть у веб-сервера apache хороший модуль mod_info, который позволяет просматривать информацию о конфигурации веб-сервера по адресу /server-info. По-умолчанию, данная информация доступна только для локальных пользователей, но в следствии неправильной настройки кеширующего прокси (напр: nginx), apache получает запросы всех пользователей с адреса 127.0.0.1 и поэтому ограничение "только для локальных пользователей" перестаёт работать.
Для сбора статистики был выбран список из 3.497.516 доменов в зоне RU. На сбор статистики было затрачено порядка 100 часов. Из выбранного списка, живых сайтов насчиталось 2.286.085, из них только у 1.548 сайтов был доступ к информации к mod_info.
Читать далее →
Проводя сбор некоторой статистики, обнаружил интересную уязвимость, которая может проявляться при установке в качестве фронтенда, какого либо прокси, перенаправляющего запросы веб серверу.
Рассмотрим проблему на примере nginx и apache с установленным модулем mod_info. nginx слушает на *:80 порту и перенаправляет все запросы на apache, который висит на 127.0.0.1:80.
Читать далее →
Появилась задача, требующая дать стороннему пользователю полный доступ к системе, при этом не позволить пользователю нарушить целостность системы. По виндовой привычке обратил внимание на эмуляторы, но, не подобрав ничего подходящего, решил найти другой способ и неожиданно вспомнил о клетках.
Клетки (jails) во FreeBSD - это своего рода песочницы, работа которых базируется на системном вызове chroot, но кроме того, существенно ограничиваются права суперпользователя. Например, запрещается загружать модули ядра, ровно как и изменять ядро, монтировать и демонтировать файловые системы и другое, о чём можно прочитать в справке.
Читать далее →
Браузер Google Chrome мне нравится всем, и скоростью работы, и интерфейсом, и базовым функционалом. Весь недостающий функционал легко добавляется расширениями, которых уже довольно много и аналоги практически всех расширений от других браузеров уже сделаны. Но одного расширения очень не хватало, аналога FlashGot для Firefox или Download Media Hunter для Opera или сниффера из Maxthon.
Читать далее →
