О чем пойдет речь: забавный и экстравагантный способ «взлома» веб-сайта, у которого «всего-лишь» не экранируются кавычки одного из параметров. При этом пропустим рассуждения о том, почему все не экранируется на стороне самого языка программирования или ORM.
Вводная: веб-сайт, у которого не экранируется один из параметров в простом SELECT запросе. При этом все ошибки перехватываются, обрабатываются и выводится скромное «Нет данных» или «Произошла ошибка».
Казалось бы: не велика беда. Обновление или изменение данных в него втереть, данные наружу не открываются, все сводится к «Извините, нет данных» — черный ящик.
Но, что на самом деле можно сделать в данной ситуации?
Я веб-разработчик. Но я люблю фотографировать и смотреть чужие фото. Есть отличный ресурс photosight.ru, на котором есть много отличных фото.
Но вот незадача — каждый день просматривать данный сайт у меня не хватало времени, да и временами он страшно тормозил. В плюс к этому мне хотелось вести архив фотографий которые мне понравились, что бы потом их иногда пересматривать.
Именно по этому 3 года назад я написал парсер, который вытаскивал с фотосайта фото которые могли бы мне понравится (анализируя комментарии, рейтинги, etc..) и складывал их мне в папочку, которую я раз в неделю просматривал. Несколько моих друзей захотели ко мне присоединиться, и я открыл к этому веб-интерфейс. Так и случился мой первый стартап.
Начиная с версии 5.1 mySQL поддерживает горизонтальное партицирование таблиц. Что это такое? Партиционирование (partitioning) — это разбиение больших таблиц на логические части по выбранным критериям.. На нижнем уровне для myISAM таблиц, это физически разные файлы, по 3 на каждую партицию (описание таблицы, файл индексов, файл данных). Для innoDB таблиц в конфигурации по умолчанию – разные пространства таблиц в файлах innoDB (не забываем, что innoDB позволяет настраивать индивидуальные хранилища на уровне баз данных или даже конкретных таблиц).
Все началось с того, что на одном из серверов возникла необходимость в дополнительном жестком диске. Стоит заметить, что датацентр в котором он находится – западный, а именно Штаты, причем далеко не самый дешевый, а даже один из топовых. Процедура заказа дополнительно диска проста до невозможности – нажимаешь на кнопочку, оплачиваешь счет, подтверждаешь свое согласие на снятие/остановку сервера.
Обрадовавшись новому железу, черт меня дернул сразу же попробовать его смонтировать (сервер под управлением FreeBSD). И о чудо… мне явилась чужая файловая система!
Я полагаю, каждый из нас просматривая результаты поиска натыкался на форумы, которые были доступны только для авторизованных участников. Возникал вопрос — а как же Google/Yahoo/etc… смог их проиндексировать? Типичный ответ на этот вопрос был: «Нет никакой мистики, он сначала проиндексировал, а потом они уже ограничили просмотр».
Но сегодня, копаясь в недрах IPB я нашел нечто иное. А именно: Настройку «Treat spider/bot as part of which group?», которая по умолчанию стоит как «Member». Смотрим ниже, и видим «Spider Bot User-Agent», что однозначно указывает на идентификацию ботов по заголовку User-Agent.
Проводим эксперимент. Заходим на IPB, будучи не авторизованными, и получаем статус guest. Логично. Теперь (я использую LiveHeaders для FF) дописываем ключевое слово googlebot в свой User-Agent. И вуаля, получаем статус member!
Note: проверено только для Invision Power Board.
В последнее время как-то уж больно популярно стало обсуждать тему «Работать на дядю плохо. Надо делать свой бизнес». Но фокус в том, что «дядя» будет всегда, от него не возможно убежать. Дядя — это тот кто платит деньги. Вы ведь не будете их печатать сами, но при этом хотите их получать. Значит вам нужен дядя.
Если вы фрилансер — то у вас много дядь. И вы должны любить и терпеть хотя бы некоторых из них. Да, есть видимость выбора — этот дядя хороший, я буду его любить, а этого нет. Но это тоже всего лишь видимость: всех дядь не опознаешь правильно. И более того, чем меньше дядь, тем хуже выбор.
Если вы супер-владелец бизнеса, у вас тоже есть дядя: инвесторы, рекламодатели. Опять же, те кто платят вам деньги.
Если у вас супер портал и вы зарабатываете на AdSense — у вас тоже есть дядя: Google. Он платит вам деньги. Вы стараетесь ему угодить.
Что делать? Принять жизнь такой, какая она есть. И просто выбирать хороших дядь, вместо того что бы бить себя пяткой в грудь и убегать от них.
По долгу службы я являюсь владельцем несколько довольно популярных сайтов, на движке WordPress. И в последнее время столкнулся с массовым и очень изощренным взломом WordPress. К сожалению, я пока не нашел какие именно дыры/баги используются для взлома и какие версии подвержены взлому (есть мнение, что последняя версия WP также уязвима). Но я могу рассказать, что можно проверить, что бы спать спокойно:
— проверить таблицу wp_options атрибут active_plugins на наличие хитрых файлов, типа ../../../../tmp/XODHG/… Которые мистическим обзаом кладуться в tmpfiles и прописываются в плагины
