|
|
mrro wrote:
slide trình bày tại EKOPARTY: http://netifera.com/research/poet//PaddingOraclesEverywhereEkoparty2010.pdf
-m
Thanks anh mrro, slide rất hay và tương đối dễ hiểu...
Em muốn hỏi về vấn đề P[0] và IV trong trường hợp CAPTCHA anh giải quyết thế nào ? Brute-force ? ( nếu có tài liệu nào more detail cho em xin đọc cái ).
Không biết anh mrro có định mở 1 topic riêng thảo luận về PO với CBC-R không ?
|
|
|
DuongTV wrote:
Vậy thì ai đó chỉ bảo thêm về bản chất vấn đề với. Mấy bài viết này làm mình loạn cả lên giữa Session và Cookie. Không hiểu khái niệm Session ở đây muốn nói đến là cái gì? Và tại sao nó lại là vấn đề? Có vẻ rất nhiều site cũng gặp vấn đề tương tự. Lỗi này được đánh giá là High nên có vẻ rất nguy hiểm.
Nói nôm na, "Session" là một phiên truy cập của client đến server, "Session Id" giúp server đánh dấu phiên truy cập đấy.
Khi một client truy cập, anh ta sẽ được cấp cho 1 session id, và session id đó được lưu trong cookie hoặc POST/GET field, gửi kèm theo mọi request của anh ta. Server lưu trữ session id đã cấp và phân biệt nó với những client khác.
Theo như mình hiểu "Session fixation" là một lỗi bảo mật do sử dụng session id không đúng cách, giúp attacker có thể mạo danh được phiên truy cập của một người hắn muốn tấn công. Cụ thể hơn là do application trên server không tạo session id mới để phân biệt người đã authenticate và người chưa authenticate. Một ví dụ cho việc "lừa đảo" này:
- A truy cập vào web : xxx.com , server cấp cho id : yyy, session được gửi lại kèm theo những request khác tới server theo dạng xxx.com?id=yyy. Bây giờ A gửi cho 1 người hắn muốn lừa là B cái link xxx.com?id=yyy.
- B click vào xxx.com?id=yyy, sau đó login vào tài khoản của B và xem trang xxx.com. Do server thấy request đã có sessionid, server sẽ ngầm hiểu đây là phiên truy cập của A và không tạo session id mới. Server báo lại B login successfully.
- A đi uống nước và chờ 1 thời gian để chắc mẩm B đã login, sau đó truy cập lại vào xxx.com?id=yyy.
==> Bingo... server trả lời A đã login... và được access mọi thứ dưới account của B. B không hề hay biết gì, và A chỉ bị cản lại trong trường hợp B đã logout, nhưng lúc đó thì có khi A đã làm được nhiều thứ với cái trang xxx.com rồi.
Bạn có thể đọc thêm tại link của các bạn trên đã đưa, mình cũng không biết thuật ngữ này và cũng đọc và diễn dải lại thôi.
Thân
wd.
|
|
|
Mình khuyên bạn thích cài gì thì học cái ấy ... đừng chạy theo mọi người.
Một khi có niềm đam mê thì vất vả mấy cũng thành, còn dở dở ương ương thì học xong cũng dở dở ương ương
|
|
|
Đầu tiên bạn nên close board lại một thời gian để kiểm tra chắc chắn trước khi mở lại. Mình đoán 90% bạn bị local attack, vì bạn sử dụng share hosting web server apache. Một số việc mình nghĩ bạn cần làm
1) Đổi password admin, password ftp, password email mà bạn sử dụng đăng kí admin và các pass khác nếu xài trùng pass với pass hiện thời.
2) Sử dụng một vài tool/script để check xem bộ mã nguồn của vbb của bạn có còn đúng chuẩn không, hoặc xóa hết và sử dụng lại bộ mã chuẩn. bạn có thể down toàn bộ source về máy ở nhà để check ( có thể search một số diff tool)
3) Bạn có thể thông báo với admin server, hợp tác với họ, nhờ họ giúp quét rootkit và xem access log để biết được attacker đang access và qua những đường nào.
4) chmod cẩn thận lại các file và folder. Bạn có thể tìm trong forum, hoặc google, có nhiều bài nói về việc chmod một cách an toàn.
|
|
|
hizit91 wrote:
Phải nói ở HVA bắt bẻ ghê thật.
Nhưng xét lại HVA là forum về kĩ thuật thì tốt hơn là phần lớn bắt bẻ thuộc về vấn đề kĩ thuật [khách quan]
Nhưng đa phần [60-70%] là bắt bẻ ngôn từ [sẽ là thiếu nếu không nói các bắt bẻ có phần duy tâm + Vô bổ].
Xét ra không được phù hợp cho lắm.
Không hiểu bạn hizit spam bài hay là góp ý... có một vấn đề nhưng reply đến 3,4 bài. Còn nữa ... bạn đưa ra con số 60-70% không hiểu ở đâu ra... haiz
hizit91 wrote:
Nếu đội ngũ member của HVA ngày xưa đam mê và nhiệt huyết đúng cách, có lẽ CNTT Việt Nam không đứng ở vị trí như hiện nay. Ngay những người hiện nay đang thành công và ngày xưa đam mê, nhiệt huyết cũng phải hối tiếc một phần về sự phí phạm thời gian trong những năm trai trẻ.
Lại một suy nghĩ vô căn cứ, bạn đã tìm hiểu những gì mà nói "CNTT Việt Nam không đứng ở vị trí hiện nay" liên quan đến "đam mê và nhiệt huyết" của đội ngũ member HVA ngày xưa ?
Nói thì nên có luận điểm chứ đừng kết luận một cách quả quyết vô lí do như vậy.
Thân,
wd.
|
|
|
Một số keyword để bạn có thể tìm hiểu thêm : FSB, Multiplier, CPU Cooling, Voltage core (vdd), HTLink
Còn overclock được đến đâu tùy thuộc nhiều vào mother board của bạn nữa, nên đoc manual của mother board. Những mother board hiện đại còn có chức năng tự overclock (set 5%, 10%,20% ), không cần làm thủ công nhiều.
Thân,
wd.
|
|
|
Haiz ) thế mà cứ nghĩ HAL độc lập với xorg, vừa thêm vài dòng trong xorg.conf, thế là được cái screen to..
Thanks quanta :X
wd
|
|
|
Hal là The "Hardware Abstraction Layer", giúp việc detect hardware trở nên dễ dàng hơn rất nhiều, không phải edit file xorg.conf một cách khó khăn
Chỉ cần install và khởi động nó ở chế độ boot, thì sau đó startx sẽ dễ dàng được khởi động với chuột và bàn phím chạy ngon lành. Mình thấy rất sướng
Tuy nhiên mình không hiểu là những file configuration của HAL nằm ở đâu ( mình chỉ thấy 1 số file policy trong /etc/hal/fdi/policy/ )
Mình muốn chỉnh add thêm độ phân giải (vì rõ ràng trong window detect được nhiều hơn) nhưng không biết làm thế nào, có bạn nào có kinh nghiệm xin hướng dẫn hoặc gợi ý
Thanks
wd.
|
|
|
Mình thì nghĩ hvaonline lâu nay nhờ công sức của BQT mà đã tạo được 1 văn hóa rất hay, đó là văn hóa "tự lập" không "ăn sẵn". Người ta có câu.. chỉ cho cần câu chứ không cho con cá là vậy, các thành viên dần dà sẽ biết tự tìm tòi, khám phá. Ai không theo được thì sẽ dễ dàng bị đào thải và không còn tham gia nữa.
Vấn đề phải chăng là thế hệ member hiện giờ thiếu những người đủ kiên nhẫn theo đuổi niềm đam mê của mình ?
Nói đi cũng phải nói lại mình thấy BQT cũng nên có những chính sách tìm kiếm nhân tài, đào tạo và thay thế.... nhằm động viên tinh thần học hỏi tìm tòi của member
* nghĩ vậy thôi chứ chưa biết làm thế nào *
wd.
|
|
|
phanledaivuong wrote:
WinDak wrote:
Học C nếu bạn muốn tìm hiểu hoặc làm những thứ "low-level" như memory, pointer
Học C++ nếu muốn tìm hiểu về "hướng đối tượng".
đấy là đi theo level dễ đến khó, nếu là học cho biết thì bạn có thể nhảy vượt cấp học "C++" cũng được
Nhưng mình khuyên nên có 1 mục đích cụ thể, sẽ giúp học nhanh hơn và không bị chán. Ví dụ : mục đích là để viết 1 simple program client-server -> C, học để tìm hiểu linux kernel -> C++ v..
Theo mình biết là C++ bao gồm C. nên C có pointer thì C++ cũng có, trong 1 đoạn code C++ bạn có thể vừa dùng cin, vừa dùng scanf vẫn được cơ mà mấy cái loop như for, while, do while thì cũng giống hệt nhau, nên C có cái gì thì C++ có cái đấy chứ ,
Ý mình là không nên xài dao mổ trâu đểu giết gà ! Cái đó là mục đích của việc "xác định mục đích". Dĩ nhiên có thể sử dụng C++, nhưng lúc đó cú pháp sẽ lẫn lôn giữa 2 cái, và không biết cái nào là C thuần, cái nào là C++, không biết phần nào là object oriented mà C++ add vào.
học để tìm hiểu linux kernel -> C++ v..
kernel của linux viết bằng C smilie
Đúng là mình nhầm, Thanks!. Core kernel viết = C, chỉ có các driver, các application sau này port qua C++.
wd.
|
|
|
C0pyl3ft wrote:
@ FaL and WinDak: Mục đích có nói rồi còn gì
nếu là người mới bắt đầu và không phải là dân lập trình chuyên nghiệp thì nên học C hay C++ trước, và nên quan tâm vào cái nào nhiều hơn?
@ DLKC: Tớ học C trước, nhưng tò mò muốn biết ý kiến của các bạn về vấn đề này để sau này lỡ có ai nhờ tớ tư vấn thì tớ trả lời cho dễ
... Cái đó vẫn chưa rõ mục đích của bạn... nếu để bắt đầu (cho biết thế nào là lập trình ) thì bạn có thể học Pascal hay VB, những thứ dễ học dễ làm dễ hiểu.
Học C nếu bạn muốn tìm hiểu hoặc làm những thứ "low-level" như memory, pointer
Học C++ nếu muốn tìm hiểu về "hướng đối tượng".
đấy là đi theo level dễ đến khó, nếu là học cho biết thì bạn có thể nhảy vượt cấp học "C++" cũng được
Nhưng mình khuyên nên có 1 mục đích cụ thể, sẽ giúp học nhanh hơn và không bị chán. Ví dụ : mục đích là để viết 1 simple program client-server -> C, học để tìm hiểu linux kernel -> C++ v..
|
|
|
Câu hỏi quen thuộc mục đích lập trình của bạn là gì ?
|
|
|
Ikut3 wrote:
Theo mình thì còn cách nữa là sniff luồng dữ liệu trao đổi với mạng bên ngoài của cái SWF đang chạy coi coi từ cái SWF đó dữ liệu gì đi ra và đi vào. Qua đó phân tích được nó hoạt động ra sao.
Hay quá anh xnohat !
Ở trên kia em cũng đang định nói đến việc thử sniff gói tin của công cụ X-DDOS trên và 1 số công cụ X-DDOS khác để phân tích các gói dữ liệu mà SWF kia làm chủ.
Không biết có phải đối với dạng X-flash này nếu dùng chung 1 tool thì các gói packet (request) đến server của các Client đều giống nhau không.
Theo mình thì cách sử dụng packet sniffing này chỉ hiệu quả nếu x-flash import file từ external url, còn nếu import từ file trên cùng server thì vô dụng ?!?
( Mình edit lại vì vừa mới test thử bằng 1 cái flash mình tạo thấy cách này hiệu quả )
Một khả năng là có thể sử dụng phiên bản debugger của flash player
http://www.actionscript.org/resources/articles/207/1/Trace-and-debug-ActionScript-from-your-browser/Page1.html
http://kevinschmitt.com/2009/12/01/flash-browser-tracing-on-mac-windows-and-linux/
Nhưng mình không có file swf x-flash kia nên chưa test được thế nào.
Thân
wd.
|
|
|
hizit91 wrote:
Ý của tác giả ở đây là Webserver là máy chủ chứ không phải ám chỉ IIS hay Apache.
Thế nên người hứng chịu đầu tiên dòng DDoS sẽ là php.
Em chỉ [thông dịch] lại lời của tác giả, [quá trình thông dịch có thể sai]
Thân.
Tác giả ( quyển sách Beginning PHP5, Apache, and MySQL ® Web Development ) nói đến Webserver ở đoạn nào ? câu nào có từ Webserver ?
|
|
|
Em không đồng ý hoặc chưa hiểu ý tác giả theo cái ví dụ đó, mong anh giải thích thêm. Dưới đây là ý kiến của em
Apache là web server (HTTP server), là application phụ trách trực tiếp các gói tin HTTP. Nếu apache nhận diện request đến type php/phtml/... theo configuration, thì nó mới gọi module PHP ra và nhờ PHP interpret
Như vậy thì process apache.exe - window / httpd - linux sẽ tiếp nhận request đầu tiên mới chính xác.
Detail tại http://modules.apache.org/doc/API.html
Handlers, Modules, and Requests
Apache breaks down request handling into a series of steps, more or less the same way the Netscape Server API does (although this API has a few more stages than NetSite does, as hooks for stuff I thought might be useful in the future). These are:
* URI -> Filename translation
* Auth ID checking [is the user who they say they are?]
* Auth access checking [is the user authorized here?]
* Access checking other than auth
* Determining MIME type of the object requested
* "Fixups" --- there aren't any of these yet, but the phase is intended as a hook for possible extensions like SetEnv, which don't really fit well elsewhere.
* Actually sending a response back to the client.
* Logging the request
These phases are handled by looking at each of a succession of modules, looking to see if each of them has a handler for the phase, and attempting invoking it if so. The handler can typically do one of three things:
* Handle the request, and indicate that it has done so by returning the magic constant OK.
* Decline to handle the request, by returning the magic integer constant DECLINED. In this case, the server behaves in all respects as if the handler simply hadn't been there.
* Signal an error, by returning one of the HTTP error codes. This terminates normal handling of the request, although an ErrorDocument may be invoked to try to mop up, and it will be logged in any case.
Most phases are terminated by the first module that handles them; however, for logging, "fixups", and non-access authentication checking, all handlers always run (barring an error). Also, the response phase is unique in that modules may declare multiple handlers for it, via a dispatch table keyed on the MIME type of the requested object. Modules may declare a response-phase handler which can handle any request, by giving it the key */* (i.e., a wildcard MIME type specification). However, wildcard handlers are only invoked if the server has already tried and failed to find a more specific response handler for the MIME type of the requested object (either none existed, or they all declined).
|
|
|
Perl khá khó học, nếu bạn chưa quen với ngon ngữ lập trình nào thì mình khuyên nên học python, có thể làm được các ứng dụng như perl nhưng đơn giản hơn.
Còn quyết tâm thì mình nghĩ bạn không cần học trước gì cả, chịu khó đọc và thực hành thì sẽ được thôi.
|
|
|
Theo mình hiểu thì người bạn của bạn muốn connect vào internet qua ad-hoc connection với máy của bạn.
Đây là tutorial của microsoft : http://www.microsoft.com/windowsxp/using/networking/setup/adhoc.mspx
Nhưng lạ cái là đã có router wireless linksys thì connect thẳng vào nó chứ tạo ad-hoc làm gi ?
|
|
|
Check this out :
http://www.cameroncooke.com/2009/01/25/windows-7-uses-port-80-and-makes-it-impossible-to-install-apache-solution/
|
|
|
English của bạn còn lủng củng và rất nhiều lỗi chính tả và cú pháp, bạn nên nhờ người nào rành tiếng Anh sửa giúp.
Thêm góp ý nữa là nên có những hình vẽ để trình bày luận điểm đỡ khô cứng
|
|
|
login vào safe mode, chạy hijackthis rồi check hết toàn bộ file trong category [F3] và [04], chọn fix trong hijack rồi khởi động lại.
Tình hình tiếp tục thế nào report lên đây típ
|
|
|
admm wrote:
Vừa vào Diễn đàn đã gặp ngay cảnh cậu Quanta Delete bài vào thùng rác (tuổi chắc tầm cô út nhà mình), làm thành viên mới tham gia như mình cảm thấy không được tôn trọng
...
...
Trong Diễn đàn này khi mình đọc các bài của anh Conmale và PXMMRF mới cảm nhận được sắc thái điềm đạm và đúng mực, từ ngôn từ đến cách xử sự của người hiểu biết, có lẽ là tấm gương sáng cho cậu Quanta này.
Mình thấy bạn admm muốn người khác tôn trọng thì phải tôn trọng người khác trước. Bạn cứ 1,2 cậu quanta này cậu quanta kia... rồi lấy tuổi tác ra so sánh, hoàn toàn không có ý nghĩa gì trên 1 diễn đàn.
Nhập gia tùy tục, đã có nội quy thì bạn nên tuân thủ, mod có xóa cũng là làm theo luật cả thôi không nên so sánh "cư xử của người có hiểu biết" hay không, như vậy rất phản cảm.
Thân,
wd.
|
|
|
có vấn đề gì không ổn ? Tình trạng máy hiện nay thế nào ?
post vài cái screen shot lên đi bạn
|
|
|
1 core của Pentium ép xung yếu hơn , chạy nóng lắm bác ạ, có tản nhiệt tốt thì ok
|
|
|
Vì 2 cái xung có vẻ chênh lệch nên tùy thuộc vào mức độ multi-tasking trong xài máy của bạn. Nếu xài hằng ngày thì 3.2 vs dual core cũng không khác nhiều.
Nhưng con Dual-core chỉ cần ép xung lên tí, khoảng 2.6,2.8ghz là ăn đứt con 3.2g rồi
My choice : Dual-core
|
|
|
off topic tí, nhưng mà mod có thể cho 1 cái sticky như là :"READ THIS BEFORE POSTING"
|
|
|
có vài topic hỏi giống bạn rồi, chịu khó search tí nhé
|
|
|
Ép xung được hay không thì phụ thuộc vào mother board rồi. Nếu không có chức năng chỉnh ratio hoặc FSB trong mother board thì không có cách nào đâu. Thử flash bios để upgrade lên bản mới nhất xem.
Còn không mình nghĩ ultimate solution là sắm cái máy mới
|
|
|
|
|
|
|