11:07
12/6/2014

Auć. Podesłał Mateusz Adamowski.

PS. Jakby co, wciąż mamy wolne miejsca na szkolenie z Atakowania i Ochrony Webaplikacji, otwiera mocno oczy na pewne błędy ;)

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

13 komentarzy

Dodaj komentarz
  1. Brawo. Teraz jesteśmy w posiadaniu exploitów na nieznane i nieużywane oprogramowanie wersja 0.00009 gamma

  2. I wszystkie przykłady mają być złe, czy mam czegoś konkretnego szukać?

  3. Ogólnie mówiąc … wszystkie.
    http://pl1.php.net/manual/en/function.extract.php
    “Warning
    Do not use extract() on untrusted data, like user input (i.e. $_GET, $_FILES, etc.). If you do, for example if you want to run old code that relies on register_globals temporarily, make sure you use one of the non-overwriting flags values such as EXTR_SKIP and be aware that you should extract in the same order that’s defined in variables_order within the php.ini.”

    • ^ do @koniczynek ^

    • Ale ja pytałem nie o extract, ale o sudo z GETem.

  4. https://github.com/search?q=%24_GET+eval&type=Code&ref=searchresults to chyba jeszcze lepsze…

  5. Eee… i co z tego? Github służy również niektórym do trzymania kodu prywatnych, eksperymentalnych projektów w których w początkowych fazach rozwoju stosuje się różne dziwaczne i niebezpieczne obejścia problemów oraz prostych skryptów do ułatwiania sobie życia.

    Proszę, nie róbcie taniej sensacji z byle gówna, bo wywalę was z czytnika RSS. ;)

    • To było parę miesięcy temu wrzucone na reddicie jako “znalazłem kilka darmowych VPSów” właśnie przez takie podejście autorów swojego eksperymentalnego kodu :)

      To że nie trzymasz nic na swoim VPSie ważnego i tylko sobie eksperymentujesz, że jak ktoś Ci się na niego nie wbije, to nie będzie w stanie zrobić czegoś co bardzo zdenerwuje Twojego providera. Wręcz przeciwnie!

      Wystarczy chociażby spam puścić.

    • @takwlasnie: piaskownicę również należy zabezpieczać.

  6. Gorsze, że ludzie piszący te “prywatne, eksperymentalne projekty” potem idą z takimi standardami kodowania do pracy za ciężką kasę, a potem Niebezpiecznik ma o czym pisać.

  7. @Boreq szkoda ze zadna powazna firma nie przyjmie Cie do pracy z takimi standardami. Poczytaj o PSR.

  8. LOL. Epicki kod.

Odpowiadasz na komentarz OJezu

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: