• Техподдержка уязвимостей: CMS. Часть 1



      1С-Битрикс — одна их самых популярных систем CMS. Включает в себя много интересных решений, начиная от сайта визитки, заканчивая высоконагруженными системами. Мы часто встречаем во время пентестов данный продукт и отмечаем, что большинство обнаруживаемых проблем безопасности можно увидеть в самописных модулях, а не в самом ядре Битрикса. Однажды, анализируя защищенность одной системы, построенной на основе коробочного решения, мы задетектили ряд любопытных уязвимостей. Жаль, но про все рассказывать нельзя, а вот про удаленное выполнение кода и повышение привилегий на сервере — уже можно.

      Кстати, разработчики RCE исправлять отказались.
      Читать дальше →
    • Тестирование формы заказа в интернет магазине

        Эта статья будет о моем интересном опыте А/В тестирования формы оформления заказа.

        Вход:
        • интернет магазин техники, Украина. Базируемся в Киеве, доставляем по всей стране;
        • А/В тестирование проходило только для трафика с прайс агрегаторов;
        • срок тестирования 3 недели.

        Утверждение: хороша форма оформления заказа — это форма с двумя полями: имя и телефон.
        И это утверждение верно лишь частично.
        Читать дальше →
      • Пример использования Google AdWords API


          Многие рекламодатели знают о преимуществах использования API в контекстной рекламе. Допустим, вам нужно запустить рекламную кампанию с большим количеством однотипных объявлений, но для разных товаров. В этом случае и приходит на помощь API-интерфейс. Вы легко и быстро переносите данные из базы MySQL в рекламную кампанию. И все! Дело сделано. Можно немного подредактировать и запускать. Именно такой схемой мы неоднократно пользовались для рекламы нашего книжного магазина в Яндекс.Директе.

          А вот с Google Adwords все оказалось далеко не так просто. Мы долго пытались использовать эту схему в Adwords, переворошили кучу информации в Интернете, пока не узнали следующее от службы поддержки Google:
          Читать дальше →
        • Бюджетные петабайты: Как построить дешевое облачное хранилище. ч. 2

          • Translation
          Продолжение. Начало см. здесь

          Соединяя провода: Как собрать контейнер хранения Backblaze


          Диаграмма разводки питания контейнера хранения Backblaze приведена ниже. Блоки питания (БП) предоставляют бОльшую часть своей мощности по 2-м разным напряжениям: 5V и 12V. Мы используем 2 БП в контейнере, поскольку 45 дисков требуют много 5V-мощности, в то время как мощные ATX БП отдают бОльшую часть своей мощности по шине 12V. Это не случайность: 1500W и более мощные ATX БП спроектированы для мощных 3D-видеоплат, которым нужна дополнительная мощность по шине 12V. Мы могли бы предпочесть 1 серверный БП, но 2 ATX БП дешевле.

          Диаграмма разводки питания сервера
          Читать дальше →
        • Бюджетные петабайты: Как построить дешевое облачное хранилище

          • Translation
          Познакомьтесь с Backblaze Pod: 67 терабайт за $7867

          Мы в Backblaze предлагаем нашим клиентам неограниченное хранилище всего за $5 в месяц, поэтому нам пришлось выяснить, как хранить сотни петабайт клиентских данных надёжным масштабируемым образом, при этом сохраняя цены низкими. Посмотрев на несколько коммерческих решений с неоправданно высокими ценами, мы решили строить наши собственные нестандартные контейнеры хранилища Backblaze (Backblaze Storage Pods): 67-терабайтные 4U-серверы за $7867.

          В этом постинге мы расскажем, как создать такой контейнер хранилища, и будем рады, если вы используете подобный дизайн сами. Мы надеемся, что от совместного использования этой идеи выиграют все: как вы, так и мы, поскольку вы можете усовершенствовать этот дизайн и прислать нам улучшения. Эволюция и снижение затрат являются критичными для продолжения успеха Backblaze.
          Читать дальше →
        • RE: Аутсорсинговое системное администрирование: как с нами бороться

          Интересную и поучительную историю все мы прочли в топике гнева. В первую очередь хочется пожелать автору прислушаться к комментариям и своему сердцу – как никак нервные клетки нужно беречь.

          Я же хочу немного развеять часть мифов о сисадминском аутсорсинге, если позволите так его называть. Сам я являюсь работником такой же фирмы на протяжении 3х с хвостиком лет. Единственная оговорка – находимся мы не в Столице РФ, а в крупном по местным меркам городе N, являющимся столицей области. Конкуренция тут не такая сильная, но ответственность, как ни парадоксально, выше. Ну и ещё чуть-чуть о компании – сисадминский аутсорсинг (далее – сис. аутсорсинг, с позволения Читателя), это не основной профиль деятельности компании. Компания воюет на нескольких фронтах, вполне успешно надо отметить. А аутсорсинг вырос как побочная услуга, поддерживающая одно из основных направлений деятельности.

          Итак. Этот пост добра я пишу для того, чтобы поправить представление людей о сис. аутсорсинге, в т.ч. и мысли топикстартера изначального поста.
          Откровений достаточно, но в большинстве случаев описываются достаточно банальные вещи об организации работы и о клиентах, любимых и неповторимых. Постараюсь пролить свет на работу аутсорсеров и охарактеризовать автора целевой статьи как клиента.

          Предупреждение. Данный текст пользы для, а не холивара ради

          Читать дальше →
        • Поисковые технологии или в чем загвоздка написать свой поисковик

            Когда-то давно взбрела мне в голову идея: написать свой собственный поисковик. Было это очень давно, тогда я еще учился в ВУЗе, мало чего знал про технологии разработки больших проектов, зато отлично владел парой десятков языков программирования и протоколов, да и сайтов своих к тому времени было понаделано много.

            Ну есть у меня тяга к монструозным проектам, да…

            В то время про то, как они работают было известно мало. Статьи на английском и очень скудные. Некоторые мои знакомые, которые были тогда в курсе моих поисков, на основе нарытых и мной и ими документов и идей, в том числе тех, которые родились в процессе наших споров, сейчас делают неплохие курсы, придумывают новые технологии поиска, в общем, эта тема дала развитие довольно интересным работам. Эти работы привели в том числе к новым разработкам разных крупных компаний, в том числе Google, но я лично прямого отношения к этому не имею.

            На данный момент у меня есть собственный, обучающийся поисковик от и до, со многими нюансами – подсчетом PR, сбором статистик-тематик, обучающейся функцией ранжирования, ноу хау в виде отрезания несущественного контента страницы типа меню и рекламы. Скорость индексации примерно полмиллиона страниц в сутки. Все это крутится на двух моих домашних серверах, и в данный момент я занимаюсь масштабированием системы на примерно 5 свободных серверов, к которым у меня есть доступ.
            Читать дальше →
          • Верстка рассылок — что мы имеем?

            • Tutorial
            Доброго дня.

            Изображение честно позаимствовано с Dribbble.com

            Прошло немногим менее два года с момента публикации моего первого топика по теме. Что за это время произошло? Mail.ru, Rambler, Yahoo и Яндекс дружно перелопатили свои почтовые интерфейсы, и как следствие — парсеры писем, что доставило приятных эмоций, т.к. было исправлено много противных багов. Gmail стал поддерживать фоновые изображения. Ну а благодаря развитию рынка мобильных платформ к нам на помощь приходят media queries.

            Смысл поста — подытожить методику верстки писем под сегодняшние реалии, при этом не забывая про ископаемые клиенты.

            И да, в посте картинок почти нет. За картинками прошу в обзоры css3 фич.

            На данный момент занимаюсь версткой писем, скорей как хобби, поэтому времени на тестирование opera mail, sparrow и прочих «вроде как популярных» клиентов не было. Речь пойдет о следующих:

            — Все версии MS Outlook
            — Mail.ru
            — Rambler почта (в новом интерфейсе не исключены баги)
            — Яндекс почта
            — Gmail
            — Yahoo!
            — Thunderbird начиная с версии 2.0
            — Hotmail
            — Windows Live Mail
            — Apple Mail начиная с третьей версии
            — AOL Mail
            — Lotus Notes 8-8.5.
            — theBat! дотошно не тестировал, но и нареканий особенно не было
            Читать дальше →
          • Gearman — сервер очередей: использование в проектах на PHP

              Не так давно была замечательная статья, описывающая общие принципы работы с сервером очередей Gearman. Мне бы хотелось продолжить материал, дополнив его некоторыми деталями практического применения, а именно:
              — установка и управление сервером
              — управление очередью — что возможно и как
              — PECL и PEAR php-расширения для работы с Gearman
              — мониторинг сервера
              — примеры кода
              — передача данных порциями
              — организация параллельных вычислений в PHP

              Интересно? Прошу под кат
              Читать дальше →
            • История интернет-магазина, ставшего мировым монополистом за $5 000

              Прочитав много литературы по истории бизнеса и наблюдая рост популярности Интернет-торговли, автору этих строк хотелось реализовать свои знания на практике. Искали подходящую тему для проекта. Необходимыми условиями были:

              1) Вложение не более $10 000
              2) Прибыль не менее $1 000 в месяц
              3) Минимальная рутина

              По первым двум пунктам все понятно. А вот по третьему пункту поясню. К тому моменту я уже работал в собственной компании (сфера финансов). Это был 2009 год. Последствия кризиса еще сильно влияли на основной бизнес и работы было непочатый край. Много времени отвлекать на сторонний бизнес автор не мог.
              Подходящий случай подвернулся в октябре 2009 года.
              Читать дальше →
            • Объединение сетевых интерфейсов в linux

                Так уже получилось что писал статью для howtoforge. И естественно тут же все это оказалось в русском варианте на других сайтах. Только вот незадача: в статье были допущены неточности, и публицисты с других «сайтов» вставили as-is.
                Хочу попробовать исправить это оплошность.
                Для чего это надо?
                Объясню на примере: был у меня фтп с 2мя сетевыми картами, но использовалась одна. Со временем весь 1Гб/с начал забиваться по вечерам — и людям плохо, и у меня iowait растет. Но есть вторая сетевая карта. Так вот такое объединение позволит использовать 2 (3, 4, 5...) как одну с 2Гб/с.
                Читать дальше →
              • Атака на отказ в обслуживании методом slow HTTP POST

                Доброго времени суток, уважаемые хабровчане!
                Я хочу рассказать вам об относительно новом и интересном, на мой взгляд, механизме атаки на отказ в обслуживании — Slow HTTP POST.
                Поиск показал отсутствие на хабре информации по теме, что несколько удивило меня, и я решил восполнить это досадное упущение. Тема не нова, но, как показали мои небольшие исследования, более чем актуальна. Забегая вперед, скажу, что полученные мной результаты позволяют говорить о существовании широко доступной технологии, позволяющей с одного компьютера с небольшим каналом «укладывать» небольшие и средние сайты, а при использовании нескольких машин с повсеместно распространенным сейчас скоростным доступом в Интернет причинить немало проблем и более серьезным проектам. Всех заинтересовавшихся покорнейше прошу пожаловать под хабракат.
                Читать дальше →
              • «Мое дело» — подготовка документов для регистрации ИП

                  Регистрация ИП - бесплатно
                  Привет!

                  Представляем хабрасообществу новый сервис от онлайн-бухгалтерии "Мое дело".

                  Теперь все документы, необходимые для регистрации ИП, можно подготовить за 10 минут на условиях DonationWare. То есть абсолютно бесплатно, но если если все очень понравилось, то можно сказать спасибо.

                  Подробности и скриншоты под катом.
                  Читать дальше →