РНР-безопасность: где и как хранить пароли. Часть 2

Всем привет! На прошлой неделе мы опубликовали первую часть данной статьи, чем вызвали нешуточный холивар. Одной из главных претензий было отсутствие в статье упоминания password_hash, как мы и обещали, вторую часть данного материала начнем как раз таки с хеширования пароля с помощью password_hash....

Все блоги / Про интернет

РНР-безопасность: где и как хранить пароли. Часть 1

Каждый год в мире происходит все больше хакерских атак: от краж кредитных карт до взломов сайтов онлайн-магазинов. Уверены, что ваши скрипты по настоящему защищены? В преддверии старта курса «Backend-разработчик на PHP» наш коллега подготовил интересную публикацию на тему безопасности в PHP......

Все блоги / Про интернет

Opencartforum и друзья

Все собаки попадают в рай, а все владельцы интернет магазинов на Opencart, рано или поздно на Opencartforum. Когда проходит эйфория от первой установки движка на хостинг и начинается суровая реальность, типичному владельцу магазина всегда начинает чего-то не хватать и он начинает сложный путь...

Все блоги / Про интернет

Natas Web. Прохождение CTF площадки, направленной на эксплуатацию Web-уязвимостей. Часть 5

В данной статье мы разберемся с эксплуатацией некоторых WEB-узвимостей на примере прохождения варгейма Natas. Каждый уровень имеет доступ к паролю следующего уровня. Все пароли также хранятся в файлах /etc/natas_webpass/. Например, пароль для natas5 хранится в файле /etc/natas_webpass/natas5 и...

Все блоги / Про интернет

Natas Web. Прохождение CTF площадки, направленной на эксплуатацию Web-уязвимостей. Часть 4

В данной статье мы разберемся с эксплуатацией некоторых WEB-узвимостей на примере прохождения варгейма Natas. Каждый уровень имеет доступ к паролю следующего уровня. Все пароли также хранятся в файлах /etc/natas_webpass/. Например, пароль для natas5 хранится в файле /etc/natas_webpass/natas5 и...

Все блоги / Про интернет

Natas Web. Прохождение CTF площадки, направленной на эксплуатацию Web-уязвимостей. Часть 3

В данной статье мы разберемся с эксплуатацией некоторых WEB-узвимостей на примере прохождения варгейма Natas. Каждый уровень имеет доступ к паролю следующего уровня. Все пароли также хранятся в файлах /etc/natas_webpass/. Например, пароль для natas5 хранится в файле /etc/natas_webpass/natas5 и...

Все блоги / Про интернет

Natas Web. Прохождение CTF площадки, направленной на эксплуатацию Web-уязвимостей. Часть 2

В данной статье мы разберемся с эксплуатацией некоторых WEB-узвимостей на примере прохождения варгейма Natas. Каждый уровень имеет доступ к паролю следующего уровня. Все пароли также хранятся в файлах /etc/natas_webpass/. Например, пароль для natas5 хранится в файле /etc/natas_webpass/natas5 и...

Все блоги / Про интернет

[Из песочницы] Базовые знания в безопасности сайтов

Привет, Хабр! Безопасность — дело серьезное. И зачастую проблемы в этой области всплывают неожиданно и несут крайне неприятные последствия. Поэтому знания в этой теме крайне важны для каждого веб разработчика. Оговорюсь сразу — я далеко не профи, но стремлюсь к этому. Поэтому буду рад критике, но...

Все блоги / Про интернет

[Из песочницы] Получение ip с помощью php

В моём случае получение делится на 3 этапа. 1. Получение IP 2. Отправка IP (в моём случае через Telegram) 3. Редирект клиента 1 этап Читать дальше →...

Все блоги / Про интернет

[Из песочницы] PHP Pear взломан и недоступен

Как сообщил официальный twitter канал популярного репозитория исходного кода для PHP, обнаружен взлом и работа сервиса временно приостановлена. Pear уже как минимум пол года распространяет вредоносный код. Читать дальше →...

Все блоги / Про интернет

[Из песочницы] Как непринужденно снять нагрузку с севера одним байтом и логарифмической функцией

Вполне вероятно, вы замечали, что зачастую ваш север совершает работу, которую, строго говоря, сложно назвать полезной нагрузкой. Обычно, это те случаи, когда клиент совершает некие действия, требующие работы сервера, но не направленные на запланированный вами результат. Читать дальше →...

Все блоги / Про интернет

Создание локального WAMP сервера

В этой статье мы подробно рассмотрим процесс установки и настройки WAMP-сервера (Windows+Apache+MySQL+PHP). Причём, мы самостоятельно его соберём из всех необходимых компонентов. Почему не готовые решения, такие, как например denwer, Open Server, Wampserver и прочие? В случае самостоятельной...

Все блоги / DLE движок для сайтов

[recovery mode] Генератор случайных личностей

Иногда при регистрации на сайте не сильно хочется указывать свои настоящие пользовательские данные, тогда мы начинаем придумывать имя, фамилию, логин и т.д. Мне пришла в голову идея сделать сервис, который будет это думать за нас. Читать дальше →...

Все блоги / Про интернет

Генерация xkcd паролей на PHP

Известный комикс xkcd подсказывает нам, что пароль, который состоит из 4 часто употребляемых слов — легко запомнить и сложно подобрать. Перевод, оригинал Все текущие реализации этого метода генерации паролей рассчитаны на английские слова, а значит пароли сложнее запомнить русскоязычным. Я...

Все блоги / Про интернет

[Из песочницы] Спидран по 13 уязвимостям на сайтах. Основные понятия, и средства защиты

Недавно по работе собирал своего рода лекцию по веб-безопасности, ознакомился с известным рейтингом уявзимостей OWASP 2013 года, но с удивлением обнаружил, что корректной инфы на русском языке крайне мало, или её практически нет. Это, собственно, и стало поводом написать такую статью, в которой...

Все блоги / Про интернет

Опасный getimagesize() или Zip Bomb для PHP

В Питер снова пришла осень, и рабочее настроение, которое подвергалось постоянной атаке солнечной радиации вот уже целую неделю, решило, что с него хватит, и улетело в ещё не задраенную форточку. «Отлично, — подумал я, — самое время поковырять какой-нибудь движок, пока оно не вернулось!» Сказано —...

Все блоги / Про интернет

Сломайте SafeCurl и получите 0.25 Bitcoin!

Разработчик с ником fin1te пишет безопасную обертку над curl, которая позволяет защититься от SSRF-атак, и в связи с этим проводит контест: если вы сможете скачать файл btc.txt, который расположен на демо-сервере SafeCurl safecurl.fin1te.net и доступен только с source IP 127.0.0.1 и 37.48.90.196...

Все блоги / Про интернет

[Из песочницы] Деобфускация PHP

Здравствуй Хабр! Недавно зайдя на сайт своей знакомой, через смартфон, обнаружил несколько странных ссылок в подвале. Я поинтересовался у нее, специально ли она разместила эти ссылки. Конечно же нет. Она удивилась и решила лично посмотреть о каких ссылках идет речь и здесь начинается интересное:...

Все блоги / Про интернет

Далее