Взламываем D-Link DSP-W215 Smart Plug: Опять, снова, еще раз

Автор: admin от 25-05-2014, 18:40, посмотрело: 385

Взламываем D-Link DSP-W215 Smart Plug: Опять, снова, еще раз

В предыдущих сериях:

  • Взламываем D-Link DSP-W215 Smart Plug

  • Взламываем D-Link DSP-W215 Smart Plug. Снова

  • Взламываем D-Link DSP-W215 Smart Plug. Снова и опять



  • До сих пор, все найденные в DSP-W215 уязвимости могли быть выполнены только из LAN, ну, если вы не глупец и не открыли доступ к Smart Plug из интернета.
    Типичным способом атаки устройств со встроенным веб-сервером, доступным только из внутренней сети, типа того, что у DSP-W215 — через CSRF. Проблема этого метода в том, что любой веб-браузер будет кодировать (urlencode) передаваемые данные, например, адрес возврата, но до этого момента мы использовали уязвимости, которые не декодируют (urldecode) наши данные (уязвимость в функции replace_special_char, которую мы эксплуатировали в предыдущей статье, декодирует только ограниченный набор ASCII-символов).

    Бинарный файл my_cgi.cgi, который является основной уязвимой целью, содержит функцию-декодировщик «decode», которая декодирует POST-данные. Этой функции передается два аргумента: указатель на закодированные данные и указатель на буфер, где хранятся раскодированные данные:
    void decode(char *encode_buf, char *decode_buf);


    Эта функция просто проходит циклом по всем байтам в encode_buf и раскодирует или копирует их в decode_buf:
    Взламываем D-Link DSP-W215 Smart Plug: Опять, снова, еще раз

    Категория: Веб-разработка, Информационная безопасность, Linux

     

    Python-digest #28. Новости, интересные проекты, статьи и интервью [19 мая 2014 — 25 мая 2014]

    Автор: admin от 25-05-2014, 18:40, посмотрело: 372

    Python-digest #28. Новости, интересные проекты, статьи и интервью [19 мая 2014 — 25 мая 2014] Вот, наконец-то, и свежие новости о python и близлежащих технологиях. В этот раз будем готовить пакеты, отлаживать регулярные выражения, оптимизировать количество запросов на базу данных, поиграем и порешаем загадки. В общем, развлечения на любой вкус.

    Большое спасибо всем кто помогает мне словом и делом на инструменте для подготовки дайджеста. Я знаю про движок рассылки, который уже есть в новой ветке, но пока руки не доходят буквально ни до чего. Тем не менее, вы всегда можете помочь, прислав свежую новость на форму. Отдельное спасибо owlman75 за картинку к выпуску.

    Подготавливая этот дайджест, наткнулся на довольно забавную статью о том, что не следует обольщаться простотой, с которой можно научиться программировать. Она, конечно, бесполезная, но я порой встречаю интересности не имеющие прямого отношения к python при этом вполне достойные внимания. Хочу спросить и спрашиваю у вас: стоит ли завести для них специальный раздел и публиковать в дайджесте?

    Категория: Программирование » Веб-разработка

     

    Активное шумоподавление звука затвора в камере мобильного устройства

    Автор: admin от 25-05-2014, 16:20, посмотрело: 366

    Камеры мобильных устройств Android/iOS/etc. при фотосъёмке издают характерный звук срабатывания затвора. В некоторых странах это требуется законодательно. Но что делать, если нашей программе нужно всё-таки беззвучно снять фотографию? Такой способ есть.

    Активное шумоподавление звука затвора в камере мобильного устройства

    Пользователь Хабрахабра k06a (Антон Буков) на Stackoverflow предложил универсальный способ, который должен работать на всех платформах. Он предлагает использовать активное шумоподавление, то есть инвертировать звук и запустить инвертированную копию непосредственно перед оригинальной. Мы получаем абсолютно беззвучную фотосъёмку!

    Категория: Game Development, Информационная безопасность

     

    Айтишник на отдыхе: а как насчет телескопа?

    Автор: admin от 25-05-2014, 15:15, посмотрело: 923

    Айтишник на отдыхе: а как насчет телескопа?
    Вы прочитали пост о том, что наблюдать на небе, посмотрели сами, показали друзьям и заинтересовались темой. Логичное следующее желание — купить телескоп и смотреть на те же красоты уже хорошо вооруженным глазом. Но эта задача не такая простая, как может показаться, выбор зависит от различных параметров. Поэтому пост с описанием различных оптических схем телескопов, монтировок, окуляров, думаю, окажется полезным.

    Категория: Железо » Гаджеты

     

    Автодокументация мобильных веб-сервисов на примере Yii

    Автор: admin от 25-05-2014, 15:15, посмотрело: 541

    Думаю, что многие, особенно небольшие, компании, при работе с одним и тем же фреймоворком постоянно пишут какие-то вещи/расширения и т.п., которые решают именно те задачи, с которыми они сталкиваются наиболее часто.

    В нашем случае этим фреймворком является Yii, а одной из самых популярных проблем была одновременная разработка web-сервиса для приложений iOS/Android.

    Сначала, как и всегда, просто разработчики договаривались между собой что и как, но если разработчик вдруг менялся — начинались проблемы. Далее — описание входных/выходных данных в wiki. При большом количестве мелких изменений возникала проблема синхронизации кода и форматов, описанных в wiki.

    Как мы решили проблему — ниже.

    Категория: Программирование, Веб-разработка

     

    LinkMeUp. Выпуск №15. Гость из Канады

    Автор: admin от 25-05-2014, 14:10, посмотрело: 290

    Богдан Таран — специалист по информационной безопасности в канадской компании The Great-West Life Assurance Company.

    Богдан расскажет о процессе эмиграции в Канаду, особенностях жизни и работы. Поймут ли ваш французский в Квебеке, сколько стоит переехать, почему в Канаде много филиппинцев, как найти работу инженеру, почему жить в маленьких городах лучше, чем в больших…

    Новости выпуска:

  • 400G в опорной сети, Норвегия (link)

  • Nokia, 5G и будущее LTE (1, 2)

  • Великий российский «файервол»: отказ от DPI (link)

  • Не новая, но довольно важная новость: Ростелеком вовсю строит оптику за полярным кругом (link)



  • Скачать файл подкаста.


    Категория: Системное администрирование, Сетевые технологии

     

    Ansible под Windows с костылями, подпорками и интеграцией с Vagrant

    Автор: admin от 25-05-2014, 13:10, посмотрело: 414

    Так получилось, что на нашем проекте сейчас используется Ansible. Я не буду останавливаться на том, что такое Ansible, как его готовить и с чем употреблять, а также на том, почему используется именно он (ибо выбор этот для условий эксплуатации под ОС от Microsoft оптимальным не назовешь) — в контексте этого поста предлагаю считать это данностью. Также ни для кого не секрет, что очень много веб-разработчиков по разным причинам работает под Windows. Нежелание сражаться с линуксами, нехватка денег на мак, танчики после работы, корпоративная политика — причин тоже может быть вагон. И о них в этом посте тоже не будет ни слова.

    Если обстоятельства таковы, что вам нужно использовать Ansible под Windows (что, в принципе, не так уж и напряжно, хоть и нигде толком не описано) и, чего доброго, интегрировать это дело с Vagrant под Windows — прошу под кат.

    Категория: Системное администрирование, Веб-разработка

     

    Tylt Energi 2K: сетевой адаптер + запасной аккумулятор

    Автор: admin от 25-05-2014, 11:35, посмотрело: 394

    Tylt Energi 2K: сетевой адаптер + запасной аккумулятор

    Проблема быстрой разрядки гаджетов — весьма проблемный момент для современного пользователя. Аккумулятор смарфтона или планшета обычно разряжается в наиболее неподходящий момент, когда нужно срочно позвонить/отправить смс, а доступа к источнику питания нет.

    Усугубляется эта проблема с появлением гаджетов со все большими дисплеями, которые потребляют львиную долю энергии. В общем-то, решение этого вопроса есть — это и аккумуляторы с увеличенной емкостью (правда, они не всегда надежны) и разного рода резервные аккумуляторы.

    На днях на Kickstarter создана кампания для интересного устройства, представляющего собой гибрид сетевого зарядника и запасного/автономного аккумулятора.

    Категория: Железо » Гаджеты

     

    NASA передает управление спутником ISEE-3 в руки энтузиастов космонавтики

    Автор: admin от 25-05-2014, 11:35, посмотрело: 326

    NASA передает управление спутником ISEE-3 в руки энтузиастов космонавтики

    Еще в апреле на Хабре публиковалась заметка о том, что группа энтузиастов собирает средства для восстановления работы спутника ISEE-3 (вполне рабочего), запущенного еще в 1978 году, и успешно выполнявшего свои задачи до заморозки проекта.

    Этот спутник оказался просто ненужен NASA, после завершения миссии, и его просто «заморозили». Тем не менее, все инструменты (13 научных систем) работают так же хорошо, как и в 1999 году, когда спутник был «заморожен».

    Категория: Космонавтика

     

    Установка phalcon framework на jelastic и mac

    Автор: admin от 25-05-2014, 10:30, посмотрело: 1422

    Установка phalcon framework на jelastic и mac

    Пришло время, когда возникло желание привести в порядок фрондэнд и бекэнд моего проекта, дабы ускорить разработку было решено использовать фреймворк phalcon.

    Установка phalcon framework на jelastic и mac

    Перед этим я перебрал несколько фреймворков и решил остановиться все-таки на phalcon.
    Итак, мне предстояло установить его на хостинг jelastic (этот выбор я сделал давно и менять его не собираюсь), а так же себе на mac.

    Категория: Программирование, Веб-разработка

     
    Назад Вперед