Спасибо, уже разобрался… в результате получается что getenv('http_proxy') = $_SERVER[«HTTP_PROXY»]… ну а далее действительно все что использует http_proxy из переменных окружения начинает работать через Proxy. Примером уязвимого кода может быть, например, такой:
function autoDetectProxySettings() {
if (($httpProxy = getenv('http_proxy')) || ($httpProxy = getenv('HTTP_PROXY'))) {
return $httpProxy;
}
}
...
// ну а далее ...
$httpProxy = autoDetectProxySettings();
$ch = curl_init("http://server.url/secret_api");
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
if (isset($httpProxy)) { curl_setopt($ch, CURLOPT_PROXY, $httpProxy); }
$result = curl_exec($ch);
Аналогично и использующие переменную среды HTTP_PROXY библиотеки. Вообще интересно было бы краткий список наиболее часто используемых уязвимых библиотек.
Поясните в двух словах, если не сложно… может ли быть данная уязвимость опасна для Apache + PHP подключенного через php5_module?
Тестовый скрипт, выглядящий как:
<?php var_dump($_SERVER["HTTP_PROXY"]); ?>
Показывает что переменная HTTP_PROXY все-таки устанавливается при наличии заголовка Proxy в HTTP запросе от пользователя. Ради интереса попробовал поднять тестовый proxy сервер и передать его в заголовке Proxy в HTTP запросе скрипту, в котором осуществлялся GET-запрос через file_get_contents и с помощью curl_exec в PHP. В обоих случаях несмотря на то что в $_SERVER[«HTTP_PROXY»] содержался IP: порт Proxy запрос не пошел через него. Т.е. получается что $_SERVER[«HTTP_PROXY»] PHP при формировании исходящих запросов игнорировал.
В итоге получили, что любой пользователь извне может изменить значение $_SERVER[«HTTP_PROXY»], но исходящие запросы все равно не используют Proxy прописанный там. Стоит ли последовать рекомендациям, подключив mod_headers, чтобы вырезать заголовок Proxy или можно считать что система не подвержена данной уязвимости?
Современные реалии таковы, что ответить один раз «нет» недостаточно. Взять хотя бы назойливые предложения услуг от операторов связи или провайдеров интернет. Говоришь один раз, нет, спасибо, меня не интересует ваш супер-новый-пакет IPTV каналов, т.к. телевизор я не смотрю в принципе. А почему вы не хотите подключить его именно сейчас, ведь только сегодня у нас специальные условия и бесплатная запись эфира для последующего просмотра в течении месяца. С помощью этой функции вы не пропустите ни одной любимой передачи… НЕТ, СПАСИБО, НЕ ИНТЕРЕСУЕТ. Хорошо, мы перезвоним вам позже, у вас будет время обдумать наше предложение ;) То же самое и с MS ;) Действительно надеяться на то что подобные предложения не будут поступать, без наличия каких-либо действий по их ограничению со стороны пользователя, к сожалению, нельзя.
Я вовсе не защищаю MS, просто считаю что потратить 5 минут на поиски решения по отключению GWX — гораздо проще, чем годами обсуждать возникшую ситуацию на форумах. Особенно забавляют новости про «последнее китайское предупреждение» или про то что в «новой версии окна» окно закрыть невозможно или невозможно отказаться от обновления. Возможно, и кто хочет тот и закроет, и откажется. Я к тому что альтернативы всегда есть.
Первое что я сделаю — это позвоню в милицию и поинтересуюсь, возможно ли оградить себя как-то от подобного рода беспокойств, вторым пунктом будет поиск возможного решения ситуации от людей, которые попали в аналогичную ситуацию, третьим — решение проблемы. При любых кейсах возникшая проблема будет решена с вероятностью 99.9%. Согласитесь, воспользоваться Яндексом или Google'ем не так уж и сложно.
Гм… конечно то что нет галочки «Больше не выводить это уведомление никогда» несколько удручает, но с другой стороны — никто не мешает пользователям воспользоваться открытой информацией по отключению уведомления о необходимости обновления или обратиться в техподдержку Microsoft с данным вопросом. Как вы думаете, какой процент людей, у которых впервые появилось данное уведомление и которые хотели отключить его в будущем попробовали поискать данную информацию или позвонить / написать на горячую линию? Только честно.
Презентацию 16.5 (платформы Битрикс имеется ввиду) я смотрел на YouTube, там действительно проделан большой объем работ в плане упрощения процесса коммуникации с клиентами. Перечислять не буду, желающие могут посмотреть сами. Однако, все нововведения так или иначе привязаны к другому их продукту — Битрикс24. Т.е. да, на сайте можно разместить форму онлайн-чата, при этом посетитель может написать вам любым удобным для него способом — через социальные сети, через Telegram, через форму на сайте, при этом оператор получит данное сообщение в приложение Битрикс24. Т.е. для того чтобы воспользоваться всем этим функционалом, который обещают бесплатно с любой редакцией ОС — необходимо также завести аккаунт в Битрикс24. Мне же хочется немного другого, чтобы сообщения из онлайн-формы на сайте транслировались в Telegram.
Надеюсь понятно объяснил ) Если в двух словах, то решение от Битрикса консолидирует все доступные способы коммуникации в Битрикс24. Т.е. пользователь может написать используя Telegram, оператор увидит его вопрос в приложении Битрикс24. Меня же интересует использование приложения Telegram, как основного приложения для операторов.
Я так понимаю что статью Управление параметрами уведомлений и обновления в Windows 10 на официальном сайте Microsoft практически никто не читал, судя по количеству новостей появляющихся на эту тему (имеется ввиду, что все пишут о том что Microsoft настойчиво предлагает обновиться, но практически никто о том, что есть вполне официальный способ избавиться от этих уведомлений). У меня на рабочем ноутбуке используется лицензионная Win8.1, во время первого же обновления, которое принесло с собой GWX первым делом почитал официальные источники и отключил любые возможные попытки ОС обновиться или вывести данное уведомление (DisableGWX, DisableOSUpgrade оказалось достаточно). Вкратце об этом я писал еще в ноябре прошлого года — Как удалить сообщение в трее о необходимости получения Windows 10?. С тех пор ни одного окна с предложением сделать что-либо касательно Windows 10 я не видел в принципе.
Самое неприятное в этой ситуации — это то что не удалось определить источник появления вредоносного кода на сервере. В моей практике было две похожих поучительных ситуации. В одной модификация файлов произошла из-за критической уязвимости в CMS, в другой — пароль от FTP хостинга оказался скомпрометирован. Во-втором случае все было проще, пароль от FTP был сохранен в FTP-клиенте на ПК одного из контент-менеджеров на домашней машине. После того как он подцепил вирус, все пароли ушли злоумышленникам. Далее, через какой-то промежуток времени бот зашел на этот FTP и дописал свой код в каждый десятый PHP файл на сервере. В результате, те же самые редиректы, только чуть по-другому, плюс три разных backdoor'а (варианты php shell'а) оставленных для доступа в любое время. Резервной копии у людей, естественно не было, поэтому в обоих случаях все решилось развертыванием «чистого» ядра CMS, плюс полуавтоматическим анализом всех остальных *.php не входящих в состав ядра с удалением вредоносного кода. Плюс полной сменой паролей ко всему — FTP, MySQL, SSH, CMS и т.п. Периодически наблюдаем в логах попытки бота достучаться на FTP и HTTP-запросы к уже очищенным зараженным файлам. Мораль очень проста — достаточно было пропустить хоть одну «лазейку», чтобы все повторилось по новой.
+1. Прочитал на одном дыхании, т.к. читать было интересно ;) Даже если пост — это скрытая реклама некоего продукта, то в любом случае позитивно. Вот только сайт решения онлайн-консультанта, который упоминается в посте, почему-то «отпугивает». Хотя бы по одной простой причине, хм, интересно, а сколько это стоит? Смотрим на красивую банку с купюрами, ага, 480 руб. в месяц. Смотрим сноску со звездочкой: «а при оплате за год — всего 750 руб.» ))) Т.е. за год дороже что-ли? Впрочем, все это уже не имеет отношения к делу. Пост интересный.
p.s. К слову, об онлайн-консультантах. А кто-нибудь подскажет решение, которое интегрируется в сайт, но чтобы запросы пользователей с сайта приходили операторам в Telegram? Видел несколько решений, в том числе и на GitHub'е, их основное неудобство в том, что запросы разных посетителей валятся в одно и то же окно Telegram-бота, т.е. фактически визуально диалоги с разными посетителями не разделены. Если кто-нибудь в курсе удобного решения онлайн-консультанта интегрированного с Telegram — буду рад.
Вы же читали абсурдную переписку с провайдером в посте, собственно, это первое что было сделано. Зачем пост именно на Хабре? Как уже говорилось — ради привлечения внимания общественности, в том числе и компетентных представителей провайдера.
Получить доступ-то не проблема, у меня, например, есть VPN соединение и правила на маршрутизаторе, при срабатывании которых, т.е. когда при посещении какого-то URL мы получаем провайдерскую заглушку, IP ресурса просто попадает в Address List, который роутится через VPN (т.е. все это прозрачно внутри сети), но хочется как-то чтобы ситуация уже более-менее «определилась» и подобные блокировки не касались ресурсов, которые не значатся в соответствующих постановлениях. Правда «воевать» за это по-всей видимости пустая трата времени, если даже при наличии общественных организаций вроде РосКомСвободы и т.п. воз и ныне там.
Да, в вашем случае открывается. А вот в Билайне просто таймаут соединения. Аналогичная ситуация и с доступом на GitHub, который сегодня тоже обсуждают здесь — Похоже, Github опять не доступен в России.
Билайн. Все адреса из списка таймаут соединения, блокировка просто по IP даже без выдачи стандартной заглушки blackhole.beeline.ru. Только сегодня писал о том что Билайн плюсом ко всему еще и CloudFlare блокирует, причем также по IP.
Сегодня на волне информации о получении Let's Encrypt'ом кросс-подписей проверил текущую версию клиента. Все работает, однако сертификаты по прежнему выдаются с CN = happy hacker fake CA. Ждем официального старта, т.е. 16 ноября.
Я в свое время знакомился с Turbo Vision по одной из книг Фаронова (если не ошибаюсь), правда в то время естественно уже был Win32 и практического применения консольным интерфейсам находилось мало. Для выполнения же простейших учебных задач, имхо, он сложноват. Принципы ООП гораздо проще понимаются на простых учебных примерах.
А что плохого в Object Pascal? Умение программировать на одном структурированном языке позволяет с большой долей вероятности успешно освоить другой. Другими словами, если вы хорошо программируете на Object Pascal, то с легкостью начнете и на C и т.п. И с использованием WinAPI и другими вещами проблем также не возникнет. Понятно, что когда у всех ОС Windows изучать функции INT9 никому не интересно… а зря. Знакомство с прерываниями, регистрами CPU помогает понять «как оно работает»… а возможно даже и дает толчок к изучение архитектуры и ассемблера. Я своими глазами видел как в некоторых ВУЗах преподается Delphi… перетащили на форму пару кнопок, сделали калькулятор, написали курсовую работу ;) Нет, уж лучше Turbo Pascal и базовые задачи, алгоритмы, плюс работа со структурами данных (динамические списки, деревья и т.п.)…
p.s. Ну а что касается инструментов обучения, единственная проблема Turbo Pascal в том, что именно Turbo Pascal это MSDOS ориентированная версия IDE. Но есть же, к примеру, бесплатный Free Pascal, который можно вполне использовать в качестве среды разработки на этапе обучения и который отлично работает под Win32.
У меня вот прямо-противоположная ситуация, никогда не относил себя к людям страдающим тотальной ленью и нежеланием работать. Скорее наооборот, еще на первом курсе института я решил связать свою будущую работу с IT-сферой, специальность в ВУЗе была соответствующая, вернее, скажем так — одним из основных направлений были информационные технологии. При этом все что касалось программирования, основ сетей, БД довольно неплохо читалось (кто хотел — вполне мог получить необходимую базу и даже больше), но, помимо этого была масса других дисциплин, которые «отвлекали» от основного. Параллельно, еще на первом курсе, учась очно, я устроился на работу. Потом на другую. К четвертому курсу совмещать работу (которая была гораздо интереснее, и приносила какой-никакой для студента доход) и учебу стало практически невозможно. Зам. заф. кафедрой поставил вопрос прямо, мол, если работа мешает учебе, то… <вывод>. Вывод он предложил сделать мне, недолго думая, я ответил — то такая учеба, естественно не нужна. Правда я еще пару лет пытался потянуть время, беря академ, повтор и т.п. (все надеялся закончить и получить корочку «как все»), но потом пришел к выводу, что диплом можно успеть получить всегда. А вот знания / опыт / навыки, возможность профессионального и карьерного продвижения — тут помимо желания, зачастую нужно еще нужно благоприятное стечение обстоятельств. Ничуть не жалею о принятом решении, тем более, что вскоре после него появилась перспектива открытия собственного бизнеса, что я в той или иной степени успешно реализовал. С сотрудниками тоже пришлось помучиться, т.к. приходили люди и с двумя, и с тремя дипломами о высшем образовании, но элементарных технических знаний у них не было, ни у одного. В конечном итоге задача подбора сотрудников свелась к тому, что мы разместили тестовый кейс для собеседуемых с несложными вопросами на сайте компании. Испытуемый должен был ответить на несколько простых вопросов, исходя из реальных задач (настройка подключения к интернет, организация удаленного доступа и т.д. и т.п.) и прислать все это нам вместе с резюме. У тех кто так или иначе сумел ответить на все вопросы кейса (даже банально воспользовавшись Google и найдя недостающую для решения задачи информации) были практически 100% шансы получить работу. Плюс, если кейс был решен успешно уже на личном собеседовании давалась нестандартная практическая задача — по результатам выполнения которой и принималось итоговое решение (задачи были разные, но общая цель у них была одна — посмотреть сможет ли человек самостоятельно найти информацию необходимую для решения задачи или хотя бы понимания ее сути), если человек показывал что понимает в «какую сторону копать» — он работал и вполне успешно.
Аналогично и использующие переменную среды HTTP_PROXY библиотеки. Вообще интересно было бы краткий список наиболее часто используемых уязвимых библиотек.
Тестовый скрипт, выглядящий как:
Показывает что переменная HTTP_PROXY все-таки устанавливается при наличии заголовка Proxy в HTTP запросе от пользователя. Ради интереса попробовал поднять тестовый proxy сервер и передать его в заголовке Proxy в HTTP запросе скрипту, в котором осуществлялся GET-запрос через file_get_contents и с помощью curl_exec в PHP. В обоих случаях несмотря на то что в $_SERVER[«HTTP_PROXY»] содержался IP: порт Proxy запрос не пошел через него. Т.е. получается что $_SERVER[«HTTP_PROXY»] PHP при формировании исходящих запросов игнорировал.
В итоге получили, что любой пользователь извне может изменить значение $_SERVER[«HTTP_PROXY»], но исходящие запросы все равно не используют Proxy прописанный там. Стоит ли последовать рекомендациям, подключив mod_headers, чтобы вырезать заголовок Proxy или можно считать что система не подвержена данной уязвимости?
p.s. Или же речь идет только о CGI?
Я вовсе не защищаю MS, просто считаю что потратить 5 минут на поиски решения по отключению GWX — гораздо проще, чем годами обсуждать возникшую ситуацию на форумах. Особенно забавляют новости про «последнее китайское предупреждение» или про то что в «новой версии окна» окно закрыть невозможно или невозможно отказаться от обновления. Возможно, и кто хочет тот и закроет, и откажется. Я к тому что альтернативы всегда есть.
Надеюсь понятно объяснил ) Если в двух словах, то решение от Битрикса консолидирует все доступные способы коммуникации в Битрикс24. Т.е. пользователь может написать используя Telegram, оператор увидит его вопрос в приложении Битрикс24. Меня же интересует использование приложения Telegram, как основного приложения для операторов.
p.s. К слову, об онлайн-консультантах. А кто-нибудь подскажет решение, которое интегрируется в сайт, но чтобы запросы пользователей с сайта приходили операторам в Telegram? Видел несколько решений, в том числе и на GitHub'е, их основное неудобство в том, что запросы разных посетителей валятся в одно и то же окно Telegram-бота, т.е. фактически визуально диалоги с разными посетителями не разделены. Если кто-нибудь в курсе удобного решения онлайн-консультанта интегрированного с Telegram — буду рад.
p.s. Ну а что касается инструментов обучения, единственная проблема Turbo Pascal в том, что именно Turbo Pascal это MSDOS ориентированная версия IDE. Но есть же, к примеру, бесплатный Free Pascal, который можно вполне использовать в качестве среды разработки на этапе обучения и который отлично работает под Win32.