luq techblog

o tworzeniu słów kilka…

Ukrywanie plików dla innych serwerów… 7 Maj 2010

Filed under: Ajax,JS,PHP,Security,Web — Łukasz @ 09:31
Tags: ,

Wczoraj, na forum.php.pl pojawiło się pytanie dotyczące tego jak ukryć dane z pliku *.js, tak żeby user nie mógł ich podejrzeć. Oczywiście odpowiedzią na te pytanie, jest krótkie „nie da się”, ale można zrobić kilka rzeczy aby utrudnić podejrzenie pliku czy uniemożliwić użycie go na innym serwerze, w sposób:

 

<script type="text/javascript" src="http://www.example.com/file.js"></script>

 

O tym właśnie jest ten wpis.

 

(more…)

 

CaptchaBreak ver 0.1.1

Filed under: PHP,Security — Łukasz @ 08:06
Tags: , ,

Z małym poślizgiem, bo miałem już to wczoraj zrobić, chciałem opublikować moją, lekko ulepszoną, klasę do łamania prostych captch, nowością jest możliwość ustawienia czy tekst (literki) są czarne czy białe, oraz obsługa znaków od ASCII 48 do z ASCII 122 – co daje nam cyfry, litery małe i duże + teoretycznie kilkanaście innych znaków, ale te raczej nie są stosowne w captchach.

 

Link do wpisu nt. pierwszej wersji: click

 

Download CaptchaBreak ver 0.1.1

 

Ajax md5() 28 marca 2010

Filed under: Ajax,JS,Security,Web — Łukasz @ 11:19
Tags: , , , , ,

Dziś coś na temat bezpieczeństwa. Pomysł na ten wpis zrodził się dziś rano, gdy wchodząc na forum.php.pl zobaczyłem temat w którym, ktoś potrzebował użyć PHP`owej funkcji pack() po stronie klienta. W odpowiedzi rzucono mu linka http://phpjs.org/functions/pack:880. Szczerze powiedziawszy spotkałem się z tą stroną pierwszy raz i się miło zaskoczyłem. Strona phpjs.org to próba przeportowania funkcji występujących w PHP na język JS. Aktualnie progres tego zadania liczony jest na 81.7% czyli sporo… Dobra ale ja nie o tym chciałem, może kiedy indziej napiszę coś o phpjs… Jakiś czas temu widziałem także, na czyimś blogu, pomysł na liczenie md5 po stronie klienta (szkoda, że nie mam linka a jednak znalazłem http://necro.nomicon.pl/2009/01/24/making-of-javascript-botnet). Ogólnie chodzi o to, aby potencjalny user czytając wpis na blogu, liczył hashe md5() z kolejnych niewyliczonych stringów, następnie wynik zapisywał z powrotem do bazy,wszystko działało oczywiście w oparciu o technologie Ajax, bez świadomości czytającego co jego komputer właśnie robi. W ten sposób obciążamy liczeniem maszyny osób serfujących po internacie, natomiast nam pozostaje jedynie magazynowanie wyników tych operacji. Ten wpis jest próbą skonstruowania czegoś podobnego. Czy się udało? Co z tego wyszło? Czytaj dalej :)

 
(more…)

 

(nie)Captcha – jak złamać captche a jak napisać swoją. 28 stycznia 2010

Filed under: PHP,Programowanie,Security,Web — Łukasz @ 00:56
Tags: , ,

Dziś tematem będą, ponownie już na moim blogu, – captche, czyli obrazki z kodem, który ma nas zabezpieczyć przed wypełnianiem formularza przez boty przeglądarek (rejestracją konta na serwisie, wysłaniem SMS`a z darmowej bramki etc.) ale również jest to zabezpieczenie przed automatyzacją pewnych operacji (np. wspomniane już właśnie wysyłanie SMS`ów, zresztą pisałem nt. Orange captcha). Pomysł wyprowadzano w życie już dawno i bardzo dużo serwisów z takiego rozwiązania korzysta. Również stronki domowe pisane przez zapaleńców często taki cuda mają (przy skomentowaniu artykułu np.). Jest to naturalne, bo pomysł jest ciekawy i fajny, są jeszcze inne sposoby ale nie o tym chciałem tu pisać.

 

Bardzo ważnym, nie tylko w dziedzinie informatyki/programowania, jest robienie wszystkiego z głową, a niektórzy zapominają o tym. Generowana captcha z zasady ma bronić nas przed zapycham korzystania z usług naszego serwisu przez boty przeglądarkowe, jest to jedyna ich funkcja. Natomiast bardzo często można się spotkać z „niby captchami” które właściwie nic z captcha nie mają wspólnego.

 
(more…)

 

SEConference 19 kwietnia 2009

Filed under: Security — Łukasz @ 12:35
Tags:

Ostatnio jest tu trochę pusto, ale jest to wynikiem tylko i wyłącznie brakiem czasu, a nie znudzeniem do prowadzenia tego bloga. Mam nadzieję, że już niedługo się to zmieni. Jednak nie o tym ma być ten wpis.
Dzisiaj chciałbym zrelacjonować krakowską konferencję SEConference, która odbyła się w piątek i na której udało mi się być. Oczywiście tematyką było – ogólne bezpieczeństwo komputerowe, a całość odbywała się na Politechnice Krakowskiej. Przyznam, że była to pierwsza taka impreza w której miałem przyjemność uczestniczyć.

 
(more…)

 

Orange captcha 6 marca 2009

Filed under: PHP,Programowanie,Security,Web — Łukasz @ 16:07
Tags: , ,

Już jakiś czas temu napisałem w PHP klasę do obsługi bramki SMS sieci orange. Jedynym mankamentem jest ta nieszczęsna captcha, przez co proces wysyłania SMSów nie jest w pełni automatyczny. Moim celem jest jednak napisanie klasy, która z automatu będzie wysyłać wiadomości do użytkowników np. gdy dostanie nową wiadomość or sth.

 

Na samym początku szukałem bramki, która umożliwiałaby wysyłanie SMSów do orange bez konieczności wpisywania kodu z obrazka. Nawet udało mi się to zadania, stronkę wrzuciłem do zakładek, niestety pech chciał, że niedługo potem wszystkie zakładki utraciłem :( Szczerze to nie wiem na jakiej zasadzie działała ta bramka. Czy miało właśnie coś w stylu „rozwiązywacza” captchy czy może obchodziła ten kod. Chodź te drugie rozwiązanie raczej mało prawdopodobne. Przymierzałem się także do napisania skryptu korzystającego właśnie z tej bramki pośredniej, ale nie udało mi się dojść do tego w jaki sposób ona działa, a raczej dlaczego to co ja napisałem nie działa. Prawdopodobnie nie przekazywałem jakiejś zmiennej POSTem czy coś. No i po utraceniu zakładek pomysł z użyciem tej bramki runął, na rzecz napisania własnej klasy łamiącej captche.

 

Zadanie jak dla mnie bardzo trudne i szczerze powiem nie wiem czy podołam no ale warto próbować ;) Na pewno człowiek się czegoś nauczy :)

 

(more…)