Norėdama padėti pasiruošti PHP5 sertifikato laikymui, Zend siūlo “Zend PHP 5 Certification Study Guide” leidinį. Leidinys vertas dėmesio dėl siūlomo pavyzdinio 10 skyriaus apie saugumą (2008/05/06). Verta atidžiai perskaityti pradedantiesiems PHP programuotojams, bei paskaitinėt jau turintiems patirties, kad prisimint saugumą programuojant.
Posts Tagged saugumas
2007 04 16-17 KTU Regional Business Incubator (KTC), K.Petrausko 26, Kaunas.
Training by Johann-Peter Hartmann (CTO, Mayflower GmbH) from Germany.
Išsamiau
Registracija (60lt žmogui, 2 dienos)
Vietų skaičius ribotas.
Atnaujinta:
atnaujinta informacija. Taip pat noriu paminėti, kad konferencija truks nuo ryto iki vakaro su pietų pertrauka.
phpMyAdmin saugiau
Kov 25
daugelis naudojasi phpMyAdmin programėle, kuri skirta darbui su MySql. Versijos pasirodo daug dažniau, nei patys randame laiko ar noro atnaujinti naudojamą versiją. Kad išvengti problemų su saugumu, rekomenduojama atnaujinti phpMyAdmin vos pasirodžius. Kaip viską padaryt kuo lengviau ir paprasčiau? Ogi labai paprasta… Yra phpMyAdmin pakete skriptas scripts/upgrade.pl, kuris tai gali padaryt už jus. Tereikia į cronjob’ą įdėt užduotį su upgrade.pl /mano/katalogas/su_phpmyadmin ir šis skriptas viską padarys už jus.
Tiesa, skriptą teks paredaguoti ;-) Tiesiog šaliname iš skripto eilutes 149-162 eilutes, kurios tikrina ar norime atnaujinti phpMyAdmin pasirodžius naujesnei versijai:
print "\n";
print "phpMyAdmin upgrade summary:\n";
print "---------------------------\n";
print " phpMyAdmin Path: $targetdirectory\n";
print " Installed version: $installedversion\n";
print " Upgraded version: $version\n\n";
print "Proceed with upgrade? [Y/n] ";
my $kbdinput =
if (lc(substr($kbdinput,0,1)) ne "y" && length($kbdinput) >= 1) {
print "Aborting.\n";
exit(0);
} else {
print "Proceeding...\n\n";
}
Tad.. Nuo šiol galima saugiau naudoti phpMyAdmin.
Šiais metais tai jau antroji PHP programuotojų konferencija Kaune. Pagaliau pavyko ir man sudalyvaut.
Mano pranešimo skaidrės:
PHP_saugumas-Linas_Gricius-v1.odp – OpenOffice2 Impress formatu
PHP_saugumas-Linas_Gricius-v1.ppt – MS Office formatu (eksportuota iš OO2)
PHP_saugumas-Linas_Gricius-v1.pdf – PDF formatu (eksportuota iš OO2)
Mano darytos nuotraukos įdėtos nemažintos (dešinėje viršuje galima nusistatyti peržiūrimos nuotraukos dydį).
spamas į wordpress II
Spa 11
atidžiau patyrinėjęs gaunamą spamą, pastebėjau, kad pasitvirtino senas geras dalykas – komentarai uždaryti, bet spamas lenda per trackback’us. Todėl ant jau uždarytų rašliavų paleidau dar vieną SQL užklausą: update `wp_posts` set ping_status='closed' where comment_status='closed', bei pataisiau wp įrankį, kuris uždarinėja automatiškai senas rašliavas po 21 dienos. Dabar tikiuos, kad spamo bus mažiau…
Daug kalbėta, daug rašyta… Šiąnakt nutariau pažiūrėti, kaip ten iš tikro.
Atnaujinimais naudojuosi per Microsoft Update sistemą, bet ne per Windows Update. Po bandymo jungtis išmetė prašymą leisti įdiegti trūkstamą komponentą. Spaudžiam “Details”:
Windows Genuine Advantage Validation Tool (KB892130)
443 KB , less than 1 minute
The Windows Genuine Advantage Validation Tool enables you to verify that your copy of Microsoft Windows is genuine. The tool validates your Windows installation by checking Windows Product Identification and Product Activation status. After you install this item, you may have to restart your computer. Once you have installed this item, it cannot be removed.
Total: 443 KB , less than 1 minute
Tai ką, sulaukėm. Spaudžių Download and Install Now ir laukiu rezultatų. Po įdiegimo iš karto siūlo:
Do you want to validate Windows now?
- Yes, help me validate Windows and get all important updates for my computer (Recommended)
- Just show me updates for other products (Your computer will be more vulnerable to security threats until you update Windows.)
Renkuosi Yes… Paskutinis šansas trauktis:
Validating Your Computer
In order to validate your copy of Windows, additional system information is being collected from your computer. Note: This process does not collect information that can be used to identify or contact you.
Please click Continue to complete the validation process.
Nedrąsiai spaudžių Contonue…
Validation Complete!
Thank you for validating your copy of Microsoft Windows.
Click Continue to return to your previous activity.
Einam toliau… Numeta mane tęsti atnaujinimus jau į http://update.microsoft.com/microsoftupdate/v6/default.aspx?success=true&ln=en ($_GET['success']=true;)
Ir… Atrodo, kad viskas tvarkoje – mano legalių MS Windows XP home neatmetė…
Bet… Ar ne laikas pereit prie Atviro kodo Operacinės sistemos?
Paskutiniais mėnesiais baisiai suaktyvėjo tokie nereikalingi lankytojai mano dienoraštyje, kurie nieko neveikia, tik… Spamina su referalais. Peržvelgus statistiką, pasirodo, kad daugiau nei pusė srauto – iš tokių domenų, kuriuose naudojami žodžiai via..gra cia…lis poc….keris ir t.t.
Imam didelį peilį ir žudom juos:
Atsidarom .htaccess failiuką ir įrašom:
# Antispam for referals
Options +FollowSymlinks
RewriteEngine On
RewriteCond %{HTTP_REFERER} \.terashells\.com [NC,OR]
RewriteCond %{HTTP_REFERER} poker [NC,OR]
RewriteCond %{HTTP_REFERER} mortgage [NC,OR]
RewriteCond %{HTTP_REFERER} cialis [NC,OR]
RewriteCond %{HTTP_REFERER} phendimetrazine [NC,OR]
RewriteCond %{HTTP_REFERER} easymoney [NC,OR]
RewriteCond %{HTTP_REFERER} casino [NC,OR]
RewriteCond %{HTTP_REFERER} 4free [NC,OR]
RewriteCond %{HTTP_REFERER} blackjack [NC,OR]
RewriteCond %{HTTP_REFERER} diet-pills [NC,OR]
RewriteCond %{HTTP_REFERER} viagra [NC,OR]
RewriteCond %{HTTP_REFERER} tramadol [NC,OR]
RewriteCond %{HTTP_REFERER} carisoprodol [NC,OR]
RewriteCond %{HTTP_REFERER} insurancedeals-4u [NC,OR]
RewriteCond %{HTTP_REFERER} www.instant-quick-money [NC,OR]
RewriteCond %{HTTP_REFERER} valeofglamorganconservatives [NC,OR]
RewriteCond %{HTTP_REFERER} debt-consolidation [NC,OR]
RewriteCond %{HTTP_REFERER} phentermine [NC,OR]
RewriteCond %{HTTP_REFERER} gambling [NC,OR]
RewriteCond %{HTTP_REFERER} holdem [NC]
RewriteRule .* - [F]
Po to pasitikrinam, ar sutvarkytas mūsų 403 klaidos puslapis. Kadangi blokavimas vykdomas Apache serverio lygyje, tai ši priemonė turi veikti su dauguma weblogų sistemų.
Belieka išsaugoti viską ir džiaugtis efektu. Retsykiais verta peržiūrėti statistiką ir papildyti naujais žodžiais draudimų sąrašą. Bet bent jau pradžiai šis bandymas duos truputį laiko atsikvėpti nuo neprašytų svečių, bei jų bereikalingo spaminimo.
Movable Type 3.15 released
Sau 26
Tau jau nebe naujiena, bet vis tiek para6ysiu priminimą, kad MT vartotojai pasitikrintų savo sistemą nuo paskutinio rasto exploito. Exploitas leidžia užsiimti nerealiu spamu bei paversti pačia serverio instaliaciją paversti spamo zombiu :)
Pasikeitimų sąrašas
Labiausiai atnaujinimo iki Windows XP SP2 nervina Security Center. Jei reikia jo atsikratyt, tai… START -> RUN: services.msc ir susirandam procesų, savo aprašymu primenentį Security Center. Darom Manual, aišku, prieš tai sustabdom jį… Viso gero nervai dėl to iššokančio Security center…
Secunia – Multiple Browsers Dialog Box Spoofing Test
Multiple Browsers Dialog Box Spoofing Test
Test to see if your browser is vulnerable to the “Dialog Box Spoofing Vulnerability”.
