Вы меня не поняли. В том, что гик и спец — тут спору нет и быть не может, это бесспорно специалист высочайшей категории — все кто в теме это знают, но я говорил о другом… Видимо о Рутковской я знаю больше чем Вы.
Нужно выставлять secure флаг (Indicates that the cookie should only be transmitted over a secure HTTPS connection from the client. When set to TRUE, the cookie will only be set if a secure connection exists. On the server-side, it's on the programmer to send this kind of cookie only on secure connection). Ну и само собой httponly флаг нужно не забывать ставить, дабы минимизировать возможный выхлоп злодеев при XSS-атаках.
Если всё без субъективной окраски именно так, как Вы пишите — 2 недели пахал, привозил по 7-30к RUR в сутки, оказался еще что-то должен и по итогу получил копейки, то это какое-то тотальное на%@лово. Впрочем не какое-то, а самое настоящее, одного описания брифинга того, как нужно выжимать с клиентов деньги хватает чтобы понять, что контора козлиная.
Я б на Вашем месте контору эту наказал. Сдается мне львиную долю заказов они по телефону принимают, а телефон(ы) легко можно погасить наглухо каким-нибудь call-флудом и тем самым проучить этих хитро-траханных комерсантов, выезжающих на эксплуатации простаков-студентов и домохозяек.
И еще, по-моему, перед тем как браться за непосредственно кодинг стоит проштудировать труды Таненбаума, ну как минимум его «Архитектура компьютера».
Кому в тягость академический стиль изложения Таненбаума рекоммендую просто отличну книгу Чарльза Петцольда — «Код».
Вот тогда можно будет с уверенностью самому себе сказать, что уж если не в деталях, то как минимум в общих чертах, имеешь представление о том, как работает машина.
Интересно, а какое количество таких вот неофитов, вдохновленных историей одного байта в конечном итоге хоть как-то связывают свою жизнь с низкоуровневым програмированием?
По теме:
1) А где же Абель, классика как-никак? Абель — Ассемблер. Язык и программирование для IBM PC.
2) Так же в комплекте с masm32 идет просто отличная подборка хелпов, туторов и примеров — \masm32\{help,tutorial,examples}.
3) Уроки Iczelion'а
4) Введение в крэкинг с нуля, используя OllyDbg (by Рикардо Нарваха)
5) gdb manual / gdb HOW-TO
6) На сайте securitytube.net есть 2 неплохих видеокурса:
securitytube — Windows Assembly Language Megaprimer
securitytube — Assembly Language Megaprimer for Linux
Автор, уж простите, но Вы — велосипедист, открывший людям Америку. Описанное распространено повсеместно и, по-моему, всем кому не лень известно. 90% домашних сетей этим точно страдают, в корпоративной среде — чуть меньше.
Вы бы лучше тему дальше развили, а потом стоящую статью выкатывали. Ну вот например идейка сходу — спуфинг DNS сервера, тупо подменять его в настройках роутеров на свой, настроить днс-рекорды для популярных ресурсов вроде vkontakte, google, yandex, mail.ru и тд и проксировать этот траффик через свой mitm сервер (в случае с http все понятно, в случае с ssl — поднять sslstrip). Можно пароли поснифать, можно просто just for fun какой-нибудь веселый контент инжектить, вообщем действительно повеселиться.
Было бы очень неплохо, если бы автор дополнил статью информацией о процентном соотношении включенных/выключенных:
— register_globals
— safe_mode
— allow_url_fopen
— allow_url_include
— magic_quotes_gpc
— display_errors, error_reporting
— file_uploads
— upload_tmp_dir (дефолтная или специфическая)
Вам про Фому, а Вы всё про Ерёму. Причем здесь бинарники то вообще? Я говорю про криптографические аспекты протокола взаимодействия между ботом и оператором и утверждаю, что в случае продуманного подхода со стороны плохих парней взять под контроль ботнет не выйдет, затушить, обрезав каналы связи — да, контролировать — нет.
Кстати, в спасении не нуждаюсь, ибо к киберкриминальным кругам отношения никакого не имею, чту УК — это моя слабость.
И что Вы злой такой в самом деле, резкий, совсем чтоль у Вас там в вирлабах условия плохие?
Да это глупости какие-то, простите. Расскажите пожалуйсто, какие ошибки Вы находили в реализациях с использованием того или иного DSA (ну хотябы на уровне общей логики). Все управляющие команды банально подписываются и все. Нет закрытого ключа — нет контроля.
Justin Clarke — SQL Injection Attacks and Defense (2009)
David Litchfield — The Database Hacker's Handbook Defending Database Servers (2005)
Откроете для себя еще больше нового.
Я б на Вашем месте контору эту наказал. Сдается мне львиную долю заказов они по телефону принимают, а телефон(ы) легко можно погасить наглухо каким-нибудь call-флудом и тем самым проучить этих хитро-траханных комерсантов, выезжающих на эксплуатации простаков-студентов и домохозяек.
Вообщем повезло им, что им попался добрый Вы.
Кому в тягость академический стиль изложения Таненбаума рекоммендую просто отличну книгу Чарльза Петцольда — «Код».
Вот тогда можно будет с уверенностью самому себе сказать, что уж если не в деталях, то как минимум в общих чертах, имеешь представление о том, как работает машина.
По теме:
1) А где же Абель, классика как-никак? Абель — Ассемблер. Язык и программирование для IBM PC.
2) Так же в комплекте с masm32 идет просто отличная подборка хелпов, туторов и примеров — \masm32\{help,tutorial,examples}.
3) Уроки Iczelion'а
4) Введение в крэкинг с нуля, используя OllyDbg (by Рикардо Нарваха)
5) gdb manual / gdb HOW-TO
6) На сайте securitytube.net есть 2 неплохих видеокурса:
securitytube — Windows Assembly Language Megaprimer
securitytube — Assembly Language Megaprimer for Linux
Вы бы лучше тему дальше развили, а потом стоящую статью выкатывали. Ну вот например идейка сходу — спуфинг DNS сервера, тупо подменять его в настройках роутеров на свой, настроить днс-рекорды для популярных ресурсов вроде vkontakte, google, yandex, mail.ru и тд и проксировать этот траффик через свой mitm сервер (в случае с http все понятно, в случае с ssl — поднять sslstrip). Можно пароли поснифать, можно просто just for fun какой-нибудь веселый контент инжектить, вообщем действительно повеселиться.
— register_globals
— safe_mode
— allow_url_fopen
— allow_url_include
— magic_quotes_gpc
— display_errors, error_reporting
— file_uploads
— upload_tmp_dir (дефолтная или специфическая)
Кстати, в спасении не нуждаюсь, ибо к киберкриминальным кругам отношения никакого не имею, чту УК — это моя слабость.
И что Вы злой такой в самом деле, резкий, совсем чтоль у Вас там в вирлабах условия плохие?