-
Prelekcja Alberto Revelli na CONFidence
Na stronie konferencji CONFidence zostały udostępnione materiały z zeszłorocznej edycji. Wśród nich dostępna jest prelekcja Alberto Revelli na temat SQL Injection w środowisku Microsoft SQL Server. Prezentuje on jak przejąć pełną kontrolę nad systemem korzystając z wbudowanych procedur składowanych.
-
Kolejne starcie
W dzisiejszej notce zajmiemy się obsługą podstawowych elementów Kohany. Zapoznamy się z obsługa elementów MVC. Nauczymy się m.in. korzystać z bazy danych oraz operować na obrazach. Do dzieła!
-
JavaScript / CSS fingerprinting
Ogólnie przyjmuje się, że tworząc stronę mamy bardzo ograniczone możliwości pobierania informacji na temat użytkowników. Możemy pobrać adres IP, nazwę przeglądarki, systemu operacyjnego, rozdzielczość ekranu i jeszcze kilka innych mało wartościowych informacji, które w większości mogą zostać łatwo zmodyfikowane. Istnieje jeszcze kilka stosunkowo mało znanych sztuczek, które umożliwiają pobranie dodatkowych informacji na temat użytkowników naszej…
-
Niebezpieczeństwo UserScripts
UserScripts czy tez UserJS są małymi skryptami JavaScript ładowanymi do przeglądarki. Umożliwiają one zmianę w locie modelu DOM dowolnej strony. Powyższy opis może wydawać się niejasny, dlatego posłużę się przykładem w celu zademonstrowania zasady ich działania.
-
Czy chodziło Ci o … – czyli n-gramy
Podczas tworzenia modułu wyszukiwarki dobrym zwyczajem jest stworzenia mechanizmu „Czy chodziło Ci o …” czyli modułu sprawdzającego i korygującego ewentualne błędy w słowach wpisanych przez użytkownika. W przypadku określonego zakresu słów obsługiwanego przez ową wyszukiwarkę możemy posłużyć się mechanizmem n-gramów. Jego opis można znaleźć np. na stronie Wikipedii (ang.), poniżej przykład demonstrujący idee działania.
-
Praca z formularzami III
W dzisiejszej notce po raz kolejny, a zarazem ostatni będziemy mieli kontakt z formularzami. Jako ostatnie na celownik trafiły kontrolki uploadu oraz list.
-
Praca z formularzami II
W poprzedniej notce pokazałem jak zapisywać dane przy pomocy modułu Formation, dziś będziemy kontynuować poznawanie tego jakże przydatnego, a zarazem bardzo bluzgotwórczego modułu.
-
Dynamiczny spis treści
Ostatnio wyszedłem z założenia, że można by dodać do każdej notki na blogu spis treści. Poniżej opis jak w prosty sposób wykonać to przy użyciu jQuery.
-
Praca z formularzami
Wraz z wersją 2.2 Kohany zniknął moduł Forge ułatwiający pracę z formularzami (generowanie / walidacja). Niestety na jego miejsce nie pojawiło się nic co mogłoby go zastąpić. Powstałą lukę bardzo sprawnie możemy załatać przy pomocy nieoficjalnego modułu o nazwie Formation, którego autorem jest twórca bloga Learning Kohana. Dobra wiadomość jest taka, że aktualnie ów moduł…
-
Blind SQL Injection
Blind SQL Injection jest odmianą ataku SQL Injection charakteryzującą się brakiem pokazywania błędów w zapytaniach SQL. Wyłączenie pokazywania błędów przez programistę / administratora „podnosi” bezpieczeństwo aplikacji, jednak nie eliminuje problemu. Modyfikacja zapytania jest nadal możliwa, staje się jedynie trudniejsza z braku wglądu w zapytania oraz błędy SQL.