Post na forum opartym o MyBB usera “shoes258″ z typowym zagranicznym spamem handlowym (jakieś pierdu-pierdu o ubraniach… i link do strony ). IP chińskie - 34.157.58.59.broad.pt.fj.dynamic.163data.com.cn. E-mail użyty w rejestracji zresztą też. Standard ktoś mógłby rzec… ale ciekawie wyglądają logi webserwera:
Przeczytaj resztę wpisu »

Nie ma to jak zrobić hyde-park, a właściwie pozwolić na wypowiadanie się na forum każdemu. Bez rejestracji i bez kontroli wypowiedzi. W końcu wolność mamy i jak tu kontrolować co ludzie mogą a co nie mogą mówić? Nie wypada… A, że ludzie to nie ludzie…

Przeczytaj resztę wpisu »

Polecam do przejrzenia ostatnią lukę w MyBB, a właściwie łatę, czyli wersję 1.2.13. Klasyczna nieefektywna czarna lista.

Przeczytaj resztę wpisu »

IDS na poziomie aplikacji webowej dla serwisu PC Format i NEXT działa już pełną parą… i teraz problem rozbija się o wyłowienie ze stosu zgłoszeń wartościowych informacji.

Przeczytaj resztę wpisu »

Zainteresował mnie ostatnio projekt PHPIDS, czyli IDS dla aplikacji webowej pisanej w PHP. I to nie tylko z uwagi na ostatnie poważne luki w MyBB, ale i w kontekście mojego serwisu, czyli www.pcformat.pl i www.nextmag.pl.

Przeczytaj resztę wpisu »

CERT Polska pisze, że ich ARAKIS wykrył 18 stycznia 2008 r. wykorzystywanie exploita na lukę w MyBB 1.2.10… to są niesłychanie szybcy lub niesłychanie skuteczni, bo exploit ten chodzi w sieci od mniej więcej czerwca-lipca 2007 roku! Nie był wtedy jeszcze opublikowany na np. Milw0rmie - po prostu “korporacje” z Rosji używały go raczej po cichu do budowania mniejszych czy większych botnetów z serwerów WWW. Dodam również, że luka załatana została 8 stycznia. NASK chyba nad tym ARAKIS-em powinien jeszcze popracować… ale doceniamy, doceniamy .

BTW. Proszę się nie sugerować treścią newsa na CERT Polska, że “Zaledwie dwa dni wcześniej upubliczniono informację o luce” - to jest bzdura, chyba, że przez “informację o luce” mają na myśli wrzucenie exploita na Milw0rm itp.

Restartowali kontroler domeny, więc ludki, nie mogąc dostać się do zasobów serwera plików, ciągną do mnie… Nowy-stary znajomy w pracy wpiął laptopa do listwy…

Przeczytaj resztę wpisu »

I have just found really beautiful security bug in MyBB - full PHP code injection… exploitable and (shit!) exploited already on some sites (love russian hackers )… With access to “system()” you have access to shell on webserver rights. Great…

Przeczytaj resztę wpisu »

Modyfikacje do mechanizmu forum MyBB. Łaty nie są pełnoprawnymi modyfikacjami - nie były testowane pod kątem używania ich na Twoim forum. Nie udostępniam wszystkich łat - niektóre są zbyt złożone lub wymagają dodatkowych zmian w bazie danych albo w skórkach.

Przeczytaj resztę wpisu »

System obsługi zawodów sportowych agility

Ze wstępu: “Celem pracy było zaprojektowanie i wykonanie systemu do obsługi zawodów sportowych psów agility. Omówione niżej założenia i wymogi stawiane systemowi wymusiły podział na dwie osobne aplikacje, nazwane AgileWeb i AgileDesk.”

Przeczytaj resztę wpisu »