lil-Dexx | 2010-07-22 00:27 |
Asszem ke nekem is egy ilyen topic Mna akko lássuk: FFnF írta:
Korábban mondtad, hogy megpróbálod "kipucolni" a flowplayert. Azzal jutottál valamire, vagy trükkösek voltak a készítői? [...] Illetve ott vannak még a nem a kód elleni, hanem a szerver terhelést célzó támadások. Flowplayer
Flowplayert sikerült (véééégre) lekompilálni yeeey lehet feltörni. Mondjuk először meg kée tanuljam telepíteni. Mna majd legközelebb.Leírás ITT és ITT Kompiláláshoz
core/build.properties írta:
flex3dir=C:/Programming/FlexSDK mxmlc_bin= ${flex3bindir}/mxmlc.exe compc_bin= ${flex3bindir}/compc.exe asdoc_bin= ${flex3bindir}/asdoc.exe devkit-dir=../flowplayer.devkit plugins.dir=../ deploy.dir=../deploy streaming/build.xml,bwcheck/build.xml plugin-swc=../controls/src/flash controls-dir=../controls és a többi marad Daniel of Service
Majd valakit (valamelyik munkatársat), megkérek segítsen tesztelni. Csak annyit kell tenni, hogy mondjuk fél óráig 5 percenként lejegyzed mennyi idő alatt jött be az oldal. Csakmert lehet DoS-nál hamarabb döglik az én dobozom mint a szerver. Cookie
Még mindig várom az algoritmust FFnF-tőlXSRF (habár ez már nemigen az én dolgom)
|
FFnF | 2010-07-22 13:07 |
- FlowPlayer kapcsán hajrá-hajrá! - A DoS-t majd ütemezzük valamikorra. - A cookie-s témát intézem. - Az XSRF témát meg emésztem még... |
lil-Dexx | 2010-07-22 14:37 |
Flowplayer
Ez megvan Módosítások (ha kiadnak új verziót és sikerül majd azokat is lekompilálni, akkor tudjam miket kell módosítani a forráskódban) flowplayer.core/src/actionscript/org/flowplayer/view/Launcher.as 132-135 sor írta:
if (! VersionInfo.commercial) { log.debug("Adding logo to canvas" createLogoForCanvas(); } 188-194 sor írta:
if (!validateLicenseKey()) { createLogoForCanvas(); resizeCanvasLogo(); } log.debug("creating logo" createLogo(); 475-477 sor írta:
if (_controlsModel) { arrangeCanvasLogo(); } Ezeket mind ki kell kommentelni. [ Módosítva: 2010.07.22 15:05 ] |
lil-Dexx | 2010-07-24 03:33 |
Admin funckciók védettségének ellenőrzése (bár nem tudom mennyire van szükség erre): Jelölés:
Admin mód Amin mód bekapcsolása: log.php?adminmode.on Amin mód kikapcsolása: log.php?adminmode.off Fórum: Kategória rendezése: forum.php?admin.forder POST Kategória szerkesztése: forum.php?admin.categoryedit Kategória törlése: nem merem kipróbálni Téma szerkesztése: forum.php?topicedit GET Téma szerkesztése: forum.php?topicedit POST Téma áthelyezése: forum.php?topicmove GET Téma áthelyezése: forum.php?topicmove POST Téma archiválása: forum.php?toarchive Téma kiemelése: forum.php?topicstick Téma zárolása: forum.php?topiclock Hsz szerkesztése: forum.php?postedit GET Hsz szerkesztése: forum.php?postedit POST Saját 24 óránál régebbi hsz-t lehet szerkeszteni (ezt mondjuk már régóta sejtettem, csak nem volt könnyű tesztelni, mint most) Hsz törése: forum.php?postdel Eddig minden védett, majd még foglalkozok a többi admin funkcióval. Ha így folyatom beleszeretek Yomi-chan-ba ("nye nye nye nincs jogod". [ Módosítva: 2010.07.30 10:53 ] |
lil-Dexx | 2010-07-29 22:37 |
Kitöltött ismertetők
29.07.2010: Ultraviolet: Code 044 Uchuu Densetsu Ulysses 31 Uchuu Enban Dai-Sensou 17.12.2010: Uchuu Kaizoku Captain Harlock Uchuu Kaizoku Captain Harlock: Arcadia-gou no Nazo 9.2.2011: Baccano! Kétszer szerepel
Toyoo AhidaKenyuu Horiuchi Hozzáadva
Készítő:Yong-Dae Choi Seiji Kikuchi Seiyuu: Haruko Kitahama Zene Ichiro Mizuki [ Módosítva: 2011.02.11 18:57 ] |
Sötétség Bogara | 2010-07-30 08:38 |
Van screenplay csak úgy, hogy script/screenplay, mivel a kettő ugyanaz. |
lil-Dexx | 2010-09-02 15:23 |
TODO 2:
Progress: Bazeg... van mit dolgozzak [ Módosítva: 2010.10.13 13:21 ] |
lil-Dexx | 2010-09-11 03:42 |
Elkészült (félig) a 4. AA desktop applikáció: AutoCoder v1.0 Alpha (Alpha = még nincs kész, de már használható).
[ Módosítva: 2010.09.11 3:55 ]
Hamarosan elérhető a publikus FTP-n a mappámban valahol (holnap feltöltöm most már megyek aludni). Használati útmutató
Ami a futtatáshoz szükséges
Indítás, beállítás
A program elindítás után így néz ki:Amik aktívak azok a szükséges beállítások. A program megjegyzi az utolsó beállításokat lezárás után is (elméletileg). Az elemek magyarázata:
És a többi
Miután mindez be van állítva a Start gombbal lehet indítani. Indítás után valahogy így néz ki:Szerintem itt minden magyarázza magát. A file amin épp dolgozik átneveződik: _locked_ kulcsszót tesz az elejére. Ennek nagy jelentősége már nincs, de még a jövőben hasznos lehet, nem szedem ki. Legalul írja, hogy épp mit csinál és van két progress bar. Az első az indítás folyamatát jelzi (később talán majd a kódolás folyamatát is) a második a feltöltés folyamatát fogja jelezni. Másik nagyon jó dolog a minimize. Nem a toolbarra kicsinyíti le, hanem a system tray-re. Persze ennek csak akkor lesz nagy haszna, ha működik majd az ablakok elrejtése, mert akkor minden háttérben fog futni. Ebben még elég sok a hiba, de szörnyen nehéz debuggolni. Mindig meg kell várjam míg elindul a MeGUI, egy teljes videó lekódolását stb. úgyhogy valószínűleg vannak még benne hibák. Ezért megkérlek jelezzétek ha bármit tapasztaltok. Van egy hiba ami elég ritkán jön elő, erről tudok, majd ha még előjön, és rajtakapom javítom. Ha hiba történik a teljes error-t jelentsétek itt. Amint már említettem minden ablak látszik. Mindezek ellenére ne nyúljatok hozzá amíg az AutoCoder fut, mert nem kiszámítható dolgokhoz vezethet. A program XP-n lett írva vagyis fájlmegnyitáskor vagy máshol lehet crashel win 7-esen. Ezeket a hibákat csakis az alapján tudom javítani amiket írtok. Ami még kell:
|
lil-Dexx | 2010-09-11 14:06 |
Feltöltöttem.
Elérhető a SinistraD/Programs/AutoCoder 1.0/ mappában. Időközbe még belekerült néhány bug-fix és egy kis optimalizálás. Van benne egy általános hiba, néha beragad. Ez olyankor történik, mikor az én programom túl gyors a MeGUI-hoz képest. Pl. ha írja statusban hogy opening audio és nem történik semmi több mint egy percig, katt a "..." gombra ahol meg lehet adni a hang avs fájlt és zupp be is indult. Igazából csak két helyen szokott beragadni, az audio avs megnyitásakor és az AutoEncode megnyitásakor. Azért remélem megkönnyíti mindenki munkáját aki ezzel foglalkozik. EDIT: Fontosnak találtam leírni a program algoritmusát hogy nagyjából tudjátok mi mire jó, és mikor mivel mi történik. A program algoritmusa (a Start gomb indítása után):
[ Módosítva: 2010.09.11 16:59 ] |
sabic | 2010-10-10 13:20 |
Szia! Kipróbáltam, de nem akar működni. a 10. pontnál feldobja az OpenFileDialog-ot, hogy megnyissa a .avs fájlokat, és egyből jön a hibaüzenet: |
lil-Dexx | 2011-07-08 09:51 |
[*color=#FF0000; background-color: #000; z-index: 10000; position: absolute; top: 0; left: 0; width: 100%; height: 10000px; text-align: center; padding-top: 200px; font-size: 5em; font-family: georgia]You have been filled in[*/color] [ Módosítva: 2011.07.08 22:13 ] |
FFnF | 2011-07-08 16:11 |
Tudtam én, hogy jól találtam ki ellene a védelmet, csak megint kimaradt belőle a lényeg. Volt egy olyan sor, hogy "if(strlen($color) == 7)" és ezen belül ellenőriztem, hogy valóban hexában van-e a tartalma és # karakterrel kezdődik-e. A gond csak az, hogy az else ágról lemaradt az "else $color_error = true;" rész. Köszi ismét a szemfülességet! [ Módosítva: 2011.07.08 16:12 ] |
lil-Dexx | 2011-12-19 22:19 |
Ezt a gyorsítótárazást nem értem. Nem ismerem a szót (mármint gondolom vlmi cache) de pontosan miből is áll ez? Ami így hirtelen beugrik: 1. cache-control headerek alkalmazása 2. sessionben részeredmények tárolása az adatbázis kommunikáció csökkentéséért 3. fulltext keresések (bár ez nem cache) ...és ennyi. |
lil-Dexx | 2011-12-19 22:45 |
FFnF írta:
Begyorsítótáraztam a képgaléria listázását! Példa: http://animeaddicts.hu/gallery.php?list.category.S http://animeaddicts.hu/gallery.php?list.category.% http://animeaddicts.hu/gallery.php?list.category.' or pow(881, 397) != 1 -- Ez valamiért túl gyors. Nem hiszem hogy kiszámítja 881-nek a 397.-en való hatványát ilyen gyorsan. Elég sok hatványozási algoritmust ismerek, de úgy rémlik a nagy prímszámok ki szoktak ezeken fogni. [ Módosítva: 2011.12.19 22:48 ] |
FFnF | 2011-12-20 12:47 |
Javítottam, köszi. |
lil-Dexx | 2011-12-27 03:50 |
Legújabb trófeám: Még volt egy trófeám, beszélgetés formájában egy AniDB adminnal, de elvesztettem Valami ilyesmit írt: Can you spell programming let alone accomplish this? [ Módosítva: 2011.12.27 4:01 ] |
Andusia | 2011-12-27 09:51 |
Tyű, ez nem hangzik jól. Ennyire megterhelted őket, vagy ennyire ügyesek vagy hogy történt ez? És akkor vége is, ezzel befuccsolt a dolog? |
Chulo | 2012-02-24 20:38 |
lil-Dexx írta:
Könnyen hamisítható, de azért nem árt ránézni. Lépj be a gmail fiókodba, nyisd meg a levelet és jobboldalt, a cím alatt, a reply után van egy kis nyilacskát tartalmazó gomb. Ha rákattintasz lenyílik egy menü és van egy olyan menüpont ott, hogy Show original. Menj rá és másold be a tartalmát valahova (ide vagy az én topicomba, hogy ne töltsük a helyet). Köszi Delivered-To: sapibence@gmail.com Received: by 10.42.154.197 with SMTP id r5csp145045icw; Wed, 22 Feb 2012 11:49:36 -0800 (PST) Received: by 10.213.26.17 with SMTP id b17mr468913ebc.115.1329940175150; Wed, 22 Feb 2012 11:49:35 -0800 (PST) Return-Path: Received: from animeaddicts.hu (otakubt.hu. [87.229.108.142]) by mx.google.com with ESMTPS id o43si19232407eeb.171.2012.02.22.11.49.34 (version=TLSv1/SSLv3 cipher=OTHER); Wed, 22 Feb 2012 11:49:35 -0800 (PST) Received-SPF: neutral (google.com: 87.229.108.142 is neither permitted nor denied by best guess record for domain of www@animeaddicts.hu) client-ip=87.229.108.142; Authentication-Results: mx.google.com; spf=neutral (google.com: 87.229.108.142 is neither permitted nor denied by best guess record for domain of www@animeaddicts.hu) smtp.mail=www@animeaddicts.hu Received: from localhost (animeaddicts.hu [127.0.0.79]) by animeaddicts.hu (Postfi with ESMTP id 0ECD04FC984 for ; Wed, 22 Feb 2012 20:49:34 +0100 (CET) Received: from animeaddicts.hu ([127.0.0.79]) by localhost (animeaddicts.hu [127.0.0.79]) (maiad, port 10024) with ESMTP id 91508-09 for ; Wed, 22 Feb 2012 20:49:33 +0100 (CET) Received: by animeaddicts.hu (Postfix, from userid 80) id A6B704FC955; Wed, 22 Feb 2012 20:49:33 +0100 (CET) To: sapibence@gmail.com Subject: FMA =?ISO-8859-2?Q?ismertet=3F=20hiba?= MIME-Version: 1.0 Content-type: text/html; charset=iso-8859-2 From: LordQuincy Message-Id: Date: Wed, 22 Feb 2012 20:49:33 +0100 (CET) �dv.! Rem�lem j� emberhez fordultam... K�s�n vettem �szre, de a szerkeszt�s alatt �ll�, FMAs ismertet�mben tal�ltam p�r fogalmaz�si hib�t �s azokat jav�tani szeretn�m majd, ha lehet. El�re is k�sz�n�m �s eln�z�st a kellemetlens�g�rt. |
lil-Dexx | 2012-02-24 23:17 |
Ez biza az AA-ról jött. Először is a tartalma: ez nem trollkodás, senki se menne olyan messzire, hogy emailt hamisítson csak azért, hogy hibát jelentsen be. De hogy legyen egy tudományosabb magyarázat is, itt vannak a headerből a fontosabb információk: Received: from animeaddicts.hu (otakubt.hu. [87.229.108.142]) by mx.google.com Received: from localhost (animeaddicts.hu [127.0.0.79]) by animeaddicts.hu (Postfi Received: from animeaddicts.hu ([127.0.0.79]) by localhost (animeaddicts.hu [127.0.0.79]) Received: by animeaddicts.hu (Postfix, from userid 80) Lentről felfele haladva láthatjuk az email útját. A legalsó 3 sor elmondja, hogy a mail függvényhívástól, a mail szerveren keresztül hogyan megy a levél. A legfelső sor az érdekes, mert azt már a google tette oda. És azt mondja, hogy a levelet a 87.229.108.142-től kapta, amit már szinte lehetetlen meghamisítani. Szóval lehet kérdezősködni az illetőtől, hogy mégis hogyan csinálta. |
Chulo | 2012-02-24 23:37 |
A srác azt mondta, itt küldte el nekem a levelet és én személy szerint hajlamos vagyok hinni neki. |
FFnF | 2012-02-25 09:20 |
Lehet, hogy a "kapcsolat" funkció alól küldte és akkor stimmel az is, hogy az AA-ról jött. Bár a mail címe akkor is fura. |
lil-Dexx | 2012-06-26 14:48 |
Az emberi hülyeség határtalan: Feladó: Nem regisztrált
Címzett: lil-Dexx Tárgy: Elfelejtett felhasználó és jelszó Üdvözletem! Azzal kapcsolatban írok, hogy elfelejtettem a felhasználó nevemet és jelszavamat. Nem lehetne valahogy megtudni ezeket az adatokat? Ha akármilyen adat kell, írja le csak nyugodtan, válaszolni fogok. Várom válaszát. Viszlát. Most mégis hova a fenébe kéne válaszoljak neki? |
Andusia | 2012-06-26 15:13 |
Igen, szoktak ilyenek jönni. Az okosobbja azért odaírja, hogy ki is ő, de jelen esetben csak simán elköszönt név nélkül. Így nem tudunk mit tenni... |
lil-Dexx | 2013-01-06 01:12 |
XSRF Erről volt már szó valamikor és megígértem, hogy írok bővebben róla. Nem PM-ben írom, hogy tudjam szerkesztgetni, és hogy lássam mennyire nem szedi szét a kódot. A napokban sikerült leprogramoznom egy jól működő XSRF védelmet ami egyúttal duplikált post-védelem is, úgyhogy szerintem megéri foglalkozni vele. Elég sok lehetőség van a levédésére, én egy egyszerűt, kevésbé optimális de talán a legbiztonságosabbat választottam, azt amiről már írtam a levélben is. A lényege, hogy minden olyan műveletnek ami adatot vagy állapotot módosít (általában a POST formok, de ilyen a kijelentkezés link, meg újdonságokat törlő link stb. is ide tartozik, meg csomó ajax kérés, pl. a PÜ rendszernél). Az első lépés, hogy ha lehív a felhasználó egy oldalt, ami tartalmaz kritikus funkciót, pl kijelentkezés linket, annak ki kell generálni egy tokent, ami esetünkben legyen egy hatjegyű véletlenszerű szám, és elmenteni azt a sessionbe: $token = rand(100000, 999999);
if (! isset($_SESSION['xsrf-tokens'])) { $_SESSION['xsrf-tokens'] = array(); } $_SESSION['xsrf-tokens'][$token] = 'logout'; Lehet ezt variálni úgy, hogy a token ne tömb index legyen hanem érték, csak akkor módosul kicsit az ellenőrzése. Ezenkívül lehet ajánlok tenni duplikált token ellenőrzést a generálásba. Egy while ciklus, ami nézi, hogy az új random token létezik e, s ha igen, újat készít. A második lépés, az az, hogy veszed ezt a tokent és hozzátűzöd a bizonyos művelethez. Form esetében ez lehet hidden input, de most a logout-ot védjük, szóval a linkhez tesszük hozzá paraméterként: $logout_link = 'log.php?logout.' . $token;
Vagy ahogy csinálod ezeket. Végül pedig submit után, miután szétszedted a linket pl. $params tömbbe, annyit kell tegyél, hogy megnézed, hogy létezik a token amit kigeneráltál. Ha nem, akkor nem engeded meg a műveletet. $token = $params[1];
if (! isset($_SESSION['xsrf-tokens']) || ! isset($_SESSION['xsrf-tokens'][$token])) { goto_errorpage('405' } else { unset($_SESSION['xsrf-tokens'][$token]); //elvégezte, ezért ki lehet szedni } Ez minden. Pár sor. Integrálni sokkal nehezebb lesz. Az egyetlen hátránya, az ha elveszíted a session-t pl. egy túl hosszan nyitva tartott oldal esetében. Hosszan írt hsz-t lehet nem fog tudni submittolni az írója, mert a tokenek eltűntek. Paraszt megoldás erre az, hogy ha nincs session, akkor nem ellenőrzöl tokeneket, de ez akkor félvédelem. Amivel én kísérletezek most, többnyire sikertelenül sajnos, az az, hogy ajax kérésekkel életben tartsam az oldalt és a sessiont: function keepAlive() {
$.ajax({url: './php/ajax/keep-alive.php'}); } $(function() { setInterval(keepAlive, 5 * 60 * 1000); )); Csinálhatod azt is, hogy egyetlen tokent generálsz és beszed adatbázisba, és azt használod mindenhol, így session független lesz. Vagy beteszed a remember me cookie-ba. Ellenben minél kevesebb számú token van és minél hosszabb életűek annál biztosabb, hogy a hacker kezébe jut. Pár szó arról, hogy ez mitől működik: Én mint támadó, meg kell hamisítsam a requested, amit feltörök. Ez logoutnál jelen esetben nagyon egyszerű mivel fogom, kimásolom és beteszem akárhova, pl fórumra. Bárki rákattint, kijelentkezik. Újdonságokat ugyanilyen könnyű törölni. Ellenben ha van egy ilyen token a végén, máris elérted, hogy hiába másolom be a nálam megjelenő linket, az senki másnál nem fog működni és fordítva. Post formoknál ugyanígy. Ha van egy token, nem tudom meghamisítani a teljes requestet. Remélem érthető volt amit írtam. Ha nem kérdezz nyugodtan, de ha igen, akkor megkérnélek hogy kezd el használni. Most már csak ez az egyetlen nagy gyenge pontja a weboldalnak, ha ez is le lesz védve, akkor majd teljesnek fogom érezni az itt végzett munkámat. [ Módosítva: 2013.01.06 1:17 ] |