Notki skupione wokół rozwoju Sieci, tworzenia aplikacji internetowych oraz nowych technologii związanych z WWW.
7 styczeń 2008, autorstwa: 
kozik I have just found really beautiful security bug in MyBB - full PHP code injection… exploitable and (shit!) exploited already on some sites (love russian hackers 
)… With access to “system()” you have access to shell on webserver rights. Great…
Wysłano w Blog - Web | 
Liczba komentarzy: 2 »
9 październik 2007, autorstwa: kozik We wpisie o Zastoju wspomniałem o kilku ciekawostkach, których szerzej opisać wtedy nie mogłem. Nie trudno zgadnąć, że miało to związek z odliczaniem do 24 września - do daty wyjścia NEXTA. Teraz mogę swobodnie rozwinąć temat.
Wysłano w Blog - Web | Brak komentarzy »
13 lipiec 2007, autorstwa: kozik Jak poznać kiedy jakiś projekt i jego rozwój jest źle zarządzany, źle utrzymywany? Kiedy twórcy nie podchodzą dość poważnie do samego procesu rozwoju danego oprogramowania? Przy takiej ocenie posiłkować się można analizą zmian pomiędzy kolejnymi wydaniami oprogramowania.
Wysłano w Blog - Web | 1 komentarz »
15 czerwiec 2007, autorstwa: kozik Dłuższy czas używałem phpDocumentor do tworzenia dokumentacji z kodu PHP. Był wygodny i tworzył poprawną dokumentację. Zarówno do mniejszych projektów jak i do wyplucia doc dla www.pcformat.pl. Wkurzał mnie brak natywnej obsługi jakiejkolwiek innej strony kodowej poza ISO-8859-1, ale dało się to przeżyć. Jednak obwieszczeniem “Fatal error: Allowed memory size of 134217728 bytes exhausted” postawił sprawę jasno - nie jest nam po drodze!
Wysłano w Blog - Web | Liczba komentarzy: 3 »
4 czerwiec 2007, autorstwa: kozik Wielu pewnie kojarzy Google Earth i Google Maps - usługi bardzo interesujące i do tego udostępnione wszystkim za darmo. Ale to nie wszystko - Google udostępnia również do swoich produktów API…
Wysłano w Blog - Web | Liczba komentarzy: 2 »
24 kwiecień 2007, autorstwa: kozik To kolejny w przyciągu ostatniego miesiąca exploit na lukę 0-day (bez łaty od producenta) w MyBB. Tym razem - SQL Injection… Linka do exploita nie podam, ale za to:
W pliku calendar.php ZNAJDŹ:
$eid = intval($mybb->input['eid']);
PONIŻEJ DODAJ:
if (isset($mybb->input['day']))
$mybb->input['day'] = intval($mybb->input['day']) ;
Update (25 kwietnia):
MyBB wypuściło uaktualnienie (do wersji 1.2.6).
Wysłano w Blog - Web | Liczba komentarzy: 2 »
21 kwiecień 2007, autorstwa: kozik Nie ma nic bardziej wkurzającego niż aktualizacja oprogramowania tylko z podniesieniem numerka “patch-level“, która nie jest kompatybilna ze starą wersją…
Wysłano w Blog - Web | Brak komentarzy »
1 marzec 2007, autorstwa: kozik Oczekiwany miesiąc dziur w PHP związanych z bezpieczeństwem (MOPB) się rozpoczął publikacją informacji o 3 bugach… zasadniczo to przypomnieniem o ich istnieniu, bo są one znane od dawna.
Wysłano w Blog - Web | 1 komentarz »
13 grudzień 2006, autorstwa: kozik I have found in MyBB 1.2 bug which allow any registered and activated user send email to unactivated accounts. This can lead to sending spam from vulnerable MyBB site to any email address.
Proof of concept:
So our server is now (some kind of…) open relay.
Vendor have been notified (12.02.2006, 00:51 am). My patch for this vulnerability:
http://www.kozik.net.pl/projekty/mybb/1.2/005_spam_email_send2_unactivated.bug.diff
Wysłano w Blog - Web | Brak komentarzy »
12 październik 2006, autorstwa: kozik AJAX niewątpliwy hit od pewnego czasu w tworzeniu stron i aplikacji internetowych nie musi być trudny w implementacji na istniejącej stronie. Z pomocą idą…
Przeczytaj resztę wpisu »
Wysłano w Blog - Web | Brak komentarzy »
© 2002 - 2008 Krzysztof Kozłowski
