banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: lamer  XML
Profile for lamer Messages posted by lamer [ number of posts not being displayed on this page: 4 ]
 
Xin trả lời luôn SSO là Single Sign... lOgin.
Thứ nhất là không phải

ISO 27000-2005 đựoc áp dụng riêng trong lĩnh vưc dich vụ IT.
 


Sai ở hai chỗ, một là chưa có chuẩn ISO 27000, nếu có sẽ là vào năm 2009; hai nó không chỉ áp dụng riêng cho bất kỳ lĩnh vực nào.

Thứ hai là việc truyền bá tài liệu như thế này, tốt thì có tốt, nhưng rõ ràng là không hợp với đạo đức nghề nghiệp của người làm ATTT cũng như vi phạm luật pháp quá rõ ràng.

Mất đi integrity thì còn gì là an toàn thông tin? Đáng buồn hơn là khi những chuyên gia, những người hiểu rõ, biết rõ về vấn đề và có thể sẽ giúp tổ chức, cá nhân khác xây dựng hệ thống của họ, lại đi làm việc này.
Code sai rõ ràng mà ở đó cứ nói không lầm, không sai smilie.

Sai chỗ nào thì mình hổng nói, tự tìm ra thì mới hiểu được chuyện.
Mình hổng có gì để thêm thắt vào cái này cả. Bạn nào tìm ra mật khẩu thì mình có thể nói đúng hay sai thôi.
Chính xác là hiểu sai ý nghĩa của "stock option".
http://www.yousendit.com/download/Y2o4UGhVMVhZY1R2Wmc9PQ

ShinichiKuto wrote:
Code:
vuhnq@QuocVu:~$ ls -la broadcast.log
-rw-r--r-- 1 root root 30432 2008-10-14 14:32 broadcast.log

 

RSA thì mình có thể không biết tính, chứ 30432 mà sao lên tới 30MB ta? Chưa tới 30 kilo nữa mà smilie. Hay là do mình đã xỉn rồi nên mắt bị hoa đi chăng?
Mật khẩu là gì nhỉ?
Tập tin HTML này có một đoạn mật khẩu nhưng đã bị đổi mã. Nếu tìm ra được đoạn mật khẩu này, các bạn sẽ biết được nhiều cách mà người tấn công có thể sử dụng để che dấu mã độc của họ.

http://www.yousendit.com/download/Y2o5d0VPK3hwTVZjR0E9PQ
lol smilie
Có nhiều cách để tránh những thư giả (forged) như thế này.

1. Áp dụng SPF.

2. Áp dụng Domain Key.

3. Áp dụng những trình lọc thư rác.

Ngoại trừ số 3, thì các phương pháp này phải thực hiện ở phía máy chủ. Với phương pháp 3 có thể sử dụng một số trình lọc rác ở máy khách.
Có lẽ mình mới uống vài chai nên đầu hơi choáng choáng. Chứ đọc xong phần đầu khi louisnguyen27 nói là có cả hai cái CISSP và CISA thì có thể đăng ký CISM, và còn phần sau thì lại nói là đồng ý rằng ba cái này không phụ thuộc vào nhau thì mình chưa hiểu là có cần lấy chứng chỉ CISSP và CISA trước khi có thể lấy CISM không?

[lụm=google]
The difficulty can be best defined by the exam duration; CISM is 4 hours versus CISSP is 6 hours. CISM is based on 5 domains and CISSP is based on 10 domains.
[/lụm]

Theo như câu phát biểu đó của một người có cả ba chứng chỉ thì có lẽ CISSP cũng rộng hơn, bao trùm hơn, và khó đạt được hơn. Không biết là sự thật ra sao smilie.

Và hình như quá trình đó không phải là

louisnguyen27 wrote:

xây dựng - đánh giá - khắc phục - đánh giá.
 


Theo như mình được biết thì quá trình đó là PDCA (Plan - Do - Check - Act, lập kế hoạch, thực hiện, kiểm tra, khắc phục, và lập lại). Kiến thức về PDCA chắc không xa lạ gì với những người trong lĩnh vực kiểm soát chất lượng (cha đẻ là tiến sĩ Edwards Deming).

Chia sẻ thêm một tí về những chứng chỉ này được hông louisnguyen27?

louisnguyen27 wrote:

Chỉ riêng với ISMS risk = vulnerability + threat (ở đây mình hiển thị sự kết hợp chứ không phải là phép toán nhé), như vậy nếu hệ thống của bạn có lỗ hổng mà không có kẻ tấn công thì không có rủi ro hay hệ thống của bạn bị tấn công mà không có lỗ hổng thì cũng không có rủi ro. 


Đúng rồi!

Vấn đề là làm sao đoán được giá trị (mức độ) của hai cái đó.

Các cách giảm tác nhân (threat) mình thường thấy gồm bảo vệ, tường dày, cửa thép, kiểm tra lý lịch người xin việc, v.v...

Các cách giảm điểm yếu (vulnerability) mình thường thấy bao gồm sử dụng hai chữ ký khi sử dụng séc, có người đi kèm khách khi tham quan, sử dụng hệ thống chống trộm, v.v...

Cũng xin nói thêm là nhiều người (đa số là dân không có kiến thức IT) có khái niệm đơn giản (hoặc cố tình nghĩ như vậy cho khỏe) là an toàn thông tin chỉ là một dạng khác của quản lý rủi ro. Và nhiều người khác (đa số là dân IT) thì lại không ý thức được mức độ tổng quát của an toàn thông tin, chỉ nghĩ rằng có tường lửa là có tất cả.

Theo như thống kê thì Việt Nam có 10 chuyên gia đạt chứng chỉ CISSP, chứng chỉ đầu ngành trong lĩnh vực an toàn thông tin, và Bộ Quốc Phòng Mỹ yêu cầu phải có với những người làm việc cho họ. Nên để tránh đụng phải một trong hai dạng người trên thì tốt nhất là doanh nghiệp chỉ chọn những ai có chứng chỉ đó trong các hợp đồng tư vấn. Đây cũng là một cách để giảm thiểu rủi ro smilie
Thêm một phần mềm diệt virus Việt Nam nữa. Thị trường càng sôi động, người dùng càng có nhiều lựa chọn.
Phần ghi chú của hàm SetFilePointer có nói là:

The file pointer that is identified by the value of the hFile parameter is not used for overlapped read and write operations.

To specify the offset for overlapped operations use the Offset and OffsetHigh members of the OVERLAPPED structure.

Trong hai ví dụ đọc và ghi này đều dùng OVERLAPPED nên cần phải dùng Offset và OffsetHigh.
Có lẽ hàm SetFilePointer không chạy đúng? Thử kiểm tra giá trị của eax sau khi gọi SetFilePointer xem sao. Nếu nó trả về INVALID_SET_FILE_POINTER thì lời gọi hàm này có vấn đề.
Đúng rồi, đúng rồi, mình thật là sai sót.

Việc người dùng chạy một file rất khác với việc họ __save as__ một trang web. Trong hành động đầu tiên thì họ chỉ cần nhấn enter một cái. Trong hành động sau thì họ phải click File, chọn Save As. Chưa kể tới việc hành động đầu tiên có thể được tự động hóa, còn hành động thứ hai thì hơi bị khó hơn.

Cũng nói thêm rằng mình công nhận đây là một lỗi nghiêm trọng.

Những gì mình trao đổi ở trên là cách đánh giá lỗi của một chuyên gia an ninh phần mềm khác, mà nếu theo mình thì khi áp dụng vào lỗi này sẽ biến lỗi này thành "không phải lỗi".

Hoặc nếu kẻ xấu gửi cho nạn nhân một file thực thi, ví dụ: .exe, .bat, .reg... và nạn nhân bị lừa chạy những file đó, thì rõ ràng nạn nhân đã nhường quyền điều khiển máy tính của họ cho những chương trình này, và kẻ xấu có thể thực hiện được bất cứ việc phá hoại nào.
 


So với việc "He then tricks users into visiting his Website and convinces them to save this Page" thì không biết là có gì khác nhau không?


Nếu các bạn vẫn thực sự chưa rõ thế nào là một lỗ hổng, các bạn vui lòng tham khảo 3 trong số 10 quy tắc bất biến trong việc report lỗ hổng được Microsoft sử dụng:

Law #1: If a bad guy can persuade you to run his program on your computer, it's not your computer anymore. Dịch sang tiếng Việt: Điều 1: Nếu một kẻ xấu có thể lừa bạn chạy một chương trình của hắn trên máy tính của bạn, thì đó không còn là máy tính của bạn nữa.
 


:-D :-D :-D
chắc chắn là sai roài.

đúng là một lần clic là một lần view, nhưng một lần view chưa chắc đã dẫn tới 1 clic. tức là numview có thể khác numclic.

cái này không khó, chỉ là phải biết cách dùng join.

join có 2 kiểu chính là inner join và outer join. outer join có ba kiểu là left, right hay full outer join.

bài này dùng left outer join giữa hai bảng view và clic.

select view.keyword_id, view.company_id, view.num, clic.num, (select keyword from keyword where keyword.id = view.keyword_id), (select company from company where company.id = view.company_id) from view left outer join clic on view.keyword_id = clic.keyword_id and view.company_id = clic.company_id

mình nghĩ là đại khái thế, không có điều kiện để test thử
Một câu truy vấn duy nhất thôi hay là có thể dùng nhiều câu truy vấn? :-D
Code:
>>> import this
The Zen of Python, by Tim Peters
Beautiful is better than ugly.
Explicit is better than implicit.
Simple is better than complex.
Complex is better than complicated.
Flat is better than nested.
Sparse is better than dense.
Readability counts.
Special cases aren't special enough to break the rules.
Although practicality beats purity.
Errors should never pass silently.
Unless explicitly silenced.
In the face of ambiguity, refuse the temptation to guess.
There should be one-- and preferably only one --obvious way to do it.
Although that way may not be obvious at first unless you're Dutch.
Now is better than never.
Although never is often better than *right* now.
If the implementation is hard to explain, it's a bad idea.
If the implementation is easy to explain, it may be a good idea.
Namespaces are one honking great idea -- let's do more of those!


Readability counts.

smilie smilie smilie
chú ý phải convert số ở short sang int, số ở int sang long long và đại loại như thế smilie, nếu không sẽ bị tràn
Mấy bữa nay đi dạy ở hai trường bên Singapore cũng có người hỏi về cái này, hehehe :-D.
Sai chính tả & ngữ pháp tùm lum hết. Lẽ nào phòng nhân sự hông viết nổi một bản tìm việc ra hồn?
Các trung tâm ở TPHCM có lẽ đang dạy CEH 5.0.

Mình biết chỗ dạy CEH 6.0 nhưng ngặt nỗi nó chỉ dạy nhóm (4 tới 12 người) mà không dạy phổ thông như các nơi khác.
Vậy thì bạn đã biết về header của file .exe trên DOS chưa? Bạn xem thêm thông tin về phần này thì bạn sẽ biết cách làm theo ý mình. Tốt nhất là "táy máy" thử sai vài lần.

Ý tưởng là bạn sửa địa chỉ đầu vào của file .exe để nó chỉ tới đúng vị trí phần virus.
 
Go to Page:  First Page Page 1 2 3 4 6 7 8 Last Page

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|