<![CDATA[Messages posted by "K4i"]]> /hvaonline/posts/listByUser/123582.html JForum - http://www.jforum.net Lỗi cài đặt thư viện libgcc cho Oracle /hvaonline/posts/preList/44709/275741.html#275741 /hvaonline/posts/preList/44709/275741.html#275741 GMT Lỗi cài đặt thư viện libgcc cho Oracle /hvaonline/posts/preList/44709/275710.html#275710 /hvaonline/posts/preList/44709/275710.html#275710 GMT MAC, Encrypt và Compress. Sử dụng thế nào cho đúng MAC - Message Authentication Code. Quá trình tạo một thông điệp xác thực cho thông tin, bảo vệ tính toàn vẹn của thông tin Encrypt - Quá trình mã hoá thông tin Compress - Quá trình nén thông tin ]]> /hvaonline/posts/preList/44603/275040.html#275040 /hvaonline/posts/preList/44603/275040.html#275040 GMT Khi xảy ra MD5 collision thì mã hash nào khác không bị collision ?

invalid-password wrote:
Tôi định dùng hash MD5 để kiểm tra sự giống nhau và khác nhau của các string. Nếu MD5(str) khác nhau và len(str) khác nhau thì string khác nhau. Về lý thuyết khi số lượng string rất lớn thì vẫn có thể xảy ra collision. Không biết người ta đã chứng minh được là trong tất cả những chuỗi có cùng độ dài thì không bao giờ xảy ra MD5 collision ? Ngoài ra tôi còn thấy người ta dùng kết hợp kiểm tra MD5 lẫn SHA1. Như vậy người ta đã chứng minh được khi xảy ra MD5 collision thì không thể xảy ra SHA1 collision ? Ngoài ra xin hỏi có những phương pháp đảm bảo nào khác để tránh collision trong bài toán này ? 
Các hàm băm (cryptographic nay non-cryptographic) đều có mục tiêu là biến đổi một data-set lớn về một giá trị nhỏ hơn, có độ dài không đổi. Chính vì điều này thì kiểu gì hàm băm cũng sẽ có collision. Không rõ tập dữ liệu của bạn lớn đến mức nào. Theo hiệu ứng Birthday Paradox thì với MD5 (128 bit) thì điều kiện tối thiểu để có thể xảy ra collision là tập giá trị phải có 2^64 giá trị. Nên tôi nghĩ chỉ cần so sánh giá trị md5 là đủ. Nếu tập dữ liệu của bạn cực lớn thì có thể sử dụng SHA (160bit) hoặc SHA-2 (256bit) hoặc SHA-3]]>
/hvaonline/posts/preList/44431/274462.html#274462 /hvaonline/posts/preList/44431/274462.html#274462 GMT
HVA News Lỗi bảo mật mới của skype Lỗi bảo mật của Skype cho phép bất kì ai cũng có thể đổi mật khẩu tài khoản của bạn. Vào đầu giờ sáng nay (giờ Việt Nam), tác giả của blog pixus-ru.blogspot.ru đã đưa lên một cách đổi mật khẩu của bất kỳ một tài khoản Skype nào chỉ trong vòng 6 bước. Lợi dụng việc Skype cho phép một email có thể đăng kí nhiều tài khoản email, tác giả đã trình bày cách thức để đổi mật khẩu của bất kỳ một tài khoản Skype nào thông qua tính năng Forgot Password của chính ứng dụng Skype. Các bước thực hiện bao gồm 1- Đăng kí một tài khoản Skype mới, sử dụng tài khoản email có sẵn của tài khoản cần tấn công. 2- Login vào tài ứng dụng Skype với tài khoản mới. 3- Bỏ qua các bước ban đầu của Skype 4- Sử dụng tính năng forgot password trên website Skype với mật khẩu mới. 5- Chờ Skype gửi lại Password Token và ứng dụng Skype sẽ thông báo về việc Token được gửi tới. Sử dụng ứng dụng Skype để lấy được link reset mật khẩu. 6- Ấn vào link reset mật khẩu lấy được, điều kì diệu sẽ xảy ra :mrgreen: Các bước chi tiết và hình minh hoạ được mô tả tại http://pixus-ru.blogspot.ru/2012/11/hack-any-skype-account-in-6-easy-steps.html Cập nhật:: 1. Sau khi lỗi được thông báo, Skype đã tạm thời tắt tính năng forgot password của ứng dụng. 2. Tính đến thời điểm hiện tại, tính năng forgot password đã được bật lại. Tuy nhiên, Password Token không còn được gửi đến ứng dụng Skype nữa. <Bình loạn> Đây là một lỗi bảo mật xảy ra khá "ngớ ngẩn" của ứng dụng Skype. Tính năng forgot password đã không được tính toán và xử lý đầy đủ.</Bình loạn>]]> /hvaonline/posts/preList/43802/271012.html#271012 /hvaonline/posts/preList/43802/271012.html#271012 GMT Tool dịch ngược shellcode

gamma95 wrote:
mềnh chơi thủ công mỹ nghề đồ miễn phí thôi python -c 'print "shellcode nhét vô đây"' | ndisasm - 
Không có vote với lại like nhỉ :mrgreen:]]>
/hvaonline/posts/preList/43263/270895.html#270895 /hvaonline/posts/preList/43263/270895.html#270895 GMT
Hỏi cách Backup dữ liệu Oracle 9i, 10i

phuchau89 wrote:
Chào các anh chị HVA, hiện em mới vào làm việc trong công ty cũng khá lớn, nhưng kinh nghiệm em chưa nhiều, hiện em đang gặp chút khó khăn sau: Em đang quản trị cơ sở dữ liệu SQL Server 2000, 2005,2008 và Oracle Server khoảng 5 con Server 9i và 10i. Giờ em muốn tạo lịch để backup dữ liệu hằng ngày cho các Server này vào 1 ổ cứng di động 1 tetra của em. Backup dữ liệu SQL Server thì em đã rành rồi. Còn backup Oracle server thì chưa: Vậy các anh chị cho em hỏi như sau: - Backup Oracle database và restore nó như thế nào (backup từ Server về máy tính em đang ngồi nơi có gắn ổ cứng di động, cùng lớp mạng chung hệ thống) - Phương pháp nào là tốt nhất cho sao lưu và phục hồi, em nghe nói backup bằng Datapump và nhiều thứ khác, mình nên sài thứ nào - Các bước Backup and Restore nó.......... Em cảm ơn! 
Chào em, Việc backup database Oracle có mấy loại: - Cold backup: tắt database, backup mọi thứ (spfile, control file, datafile) - Hot backup: backup trong khi database vẫn đang chạy. - MySQL style: dump (expdp, impdp) Việc quyết định cách thức thực hiện là do yêu cầu nghiệp vụ của ứng dụng và tổ chức qui định. Em tham khảo tài liệu về Oracle RMAN để biết thêm. Lần đầu tiên anh được biết công ty cho phép backup dữ liệu công ty vào ổ cứng di động của nhân viên. Nói chung là rất "bá đạo". Em nên nói chuyện lại với cấp trên để có phương án backup hợp lý (đặc biệt là Oracle database).]]>
/hvaonline/posts/preList/43674/270431.html#270431 /hvaonline/posts/preList/43674/270431.html#270431 GMT
Chủ đề: DDoS đi về đâu? So, at the very least your DoS defense responsibility is shared with your Internet Service Provider (ISP). In other cases, it is shared with your cloud provider. Or, it can me shared with a Content Delivery Network (CDN) or other entity. In essence, these are the scenarios of DoS protection sharing: Your organization + your ISP (they can mitigate the attack when a network pipe from you to them is full; in most cases you’d need to detect it first though) Your organization + your cloud provider (do you realize that if you use SaaS to achieve a particular business function, such function can be denied by a) DoS’ing your network, b) DoS’ing your provider [or: DoS’ing them enough so that they drop you as a customer…] or c)DoS’ing your link to them) Your organization + your CDN (if you accelerate your web presence by using a CDN, they become an inherent part of your DoS defense arsenal) Your organization + specialty anti-DoS provider (and, yes, if your anti-DoS provider is itself DoS’d, you are ..ahem…”denied your anti-DoS service” … ironic,isn’t it?) Thus, DoS defense requires sharing. As I pointed out, it is likely that we will be sharing more than just bandwidth for doing many security things in the coming years…   ]]> /hvaonline/posts/preList/42793/266552.html#266552 /hvaonline/posts/preList/42793/266552.html#266552 GMT Tại sao HVA ko tổ chức 1 lớp về bảo mật cho mọi người /hvaonline/posts/preList/42691/266550.html#266550 /hvaonline/posts/preList/42691/266550.html#266550 GMT Chủ đề: DDoS đi về đâu? conmale trên FB
Mình chỉ cần tạo 1 nhóm VPS, không cần nhiều CPU, RAM, chỉ cần nhiều băng thông và mỗi cái làm một reverse proxy. Reverse proxy này được iptables bảo vệ ở tầng IP và chính nó được áp dụng mod_security để giới hạn inbound requests. Cái chính là để chẻ nhỏ các requests đi vào (nhằm tránh quá nhiều traffic dồn vào một server).  
Để đưa ra một kịch bản như sau: Khi luồng traffic DDoS đi vào foo.com đạt đến ngưỡng của hệ thống (sau khi iptables, caching tá lả không còn ăn thua nữa) thì ngay lập tức một hệ thống giám sát (nôm na gọi tên như vậy) sẽ tự động tạo một loạt các máy ảo trên cloud của amazon tại các vùng DC khác nhau, apply các cấu hình định trước để thành các máy chủ reverse proxy bổ sung cho foo.com. Lượng máy ảo tắt bật sẽ lần lượt được thêm giảm tuỳ thuộc vào luồng traffic đi vào.[1] Liệu đây có phải là một giải pháp tốt về mặt kĩ thuật? PS: vấn đề duy nhất là về tài chính (cái bill thanh toán thì cực kì khủng khiếp) :mrgreen:. [1]: giải pháp này về mặt kĩ thuật là hoàn toàn khả thi với những công cụ sẵn có hiện tại như Puppet/Fabric/Capistriano), Amazon AWS API, DNS Round Robin, Varnish/HAProxy,...]]>
/hvaonline/posts/preList/42793/266548.html#266548 /hvaonline/posts/preList/42793/266548.html#266548 GMT
PostgreSQL vs Oracle /hvaonline/posts/preList/42605/265629.html#265629 /hvaonline/posts/preList/42605/265629.html#265629 GMT PostgreSQL vs Oracle

vuleqng wrote:
Hiện nay mình đang cần một vài so sánh về PostgreSQL và Oracle. Các tiêu chí so sánh gồm có : - Các công nghệ riêng (một vài nổi bật). - Triển khai trong thực tiễn (nơi thường được triển khai, việc triển khai khó dễ thế nào, việc bảo trì, vận hành, tiền dịch vụ, ... etc). - Độ ổn định trong thời gian dài. - Tính dễ mở rộng. - Sự thích ứng và hỗ trợ các application. ... etc, còn vài tiêu chí nào nữa thì các bạn có thể bổ sung vào. Rất cám ơn các bạn đã tham gia vào đọc topic.  
So sánh để làm gì? Bạn định lựa chọn cho ứng dụng nào?]]>
/hvaonline/posts/preList/42605/265568.html#265568 /hvaonline/posts/preList/42605/265568.html#265568 GMT
(HVA News) Lỗi bảo mật nghiêm trọng của MySQL - CVE-2012-2122 CVE-2012-2122) cho phép kẻ tấn công có thể đăng nhập vào hệ quản trị cơ sở dữ liệu MySQL/MariaDB với một tài khoản bất kỳ tồn tại trên hệ thống mà không cần biết mật khẩu cuả user đó. Tuy nhiên, rất may mắn là lỗi này chỉ xuất hiện trên một số nền tảng nhất định với xác suất vào khoảng 1/256. Trong đó, các phiên bản MySQL/MariaDB được phân phối theo các Linux distro sau đã được xác nhận có lỗi này: Ubuntu Linux 64-bit ( 10.04, 10.10, 11.04, 11.10, 12.04 ) ( via many including @michealc ) OpenSuSE 12.1 64-bit MySQL 5.5.23-log ( via @michealc ) Fedora 16 64-bit ( via hexed ) Arch Linux (unspecified version) Cũng theo Sergei, phiên bản binary chính thức được phân phối trên trang chủ của MySQL/MariaDB không bị ảnh hưởng bởi lỗi này. Tính đến thời điểm hiện tại, lỗi trên đã được khắc phục trong mã nguồn của MySQL và sẽ sớm có các bản vá cho từng distro. Đề nghị từ phía HVA 1- Hãy kiểm tra lại MySQL/MariaDB của mình đang chạy. Hãy đảm bảo là service của MySQL/MariaDB không được "phơi mặt" ra ngoài Internet. Hoặc chỉ cho phép các IP đáng tin cậy được truy cập vào hệ thống (nhanh nhất là sử dụng iptables hoặc tcpwrapper) 2- Kiểm tra lại các bản vá bảo mật mới nhất của distro mà mình đang sử dụng. Hãy vá nhanh nhất ngay khi có thể. Lời cuối: Đây là một lỗi bảo mật được HD Moore mô tả là "Bi kịch" và cực kì "Hài hước". Bản thân tôi khi nhìn xong PoC cũng đã phải phì cười. Còn bạn, nếu muốn hãy thử (và tự chịu trách nhiệm về hành vi của mình) Code:
$ for i in `seq 1 1000`; do mysql -u root --password=bad -h 127.0.0.1 2>/dev/null; done
K4i - HVA News Biên tập: nlfb]]>
/hvaonline/posts/preList/42627/265049.html#265049 /hvaonline/posts/preList/42627/265049.html#265049 GMT