Rozpędziłem się z tym wpisem dot. Blind SQL injection i nie wspomniałem o innych bazach. LOCATE() to oczywiście funkcja MySQL. PostgreSQL ma swoją POSITION(substing in string), a MS SQL – CHARINDEX(substring, string[, position]). Jest jeszcze INSTR(string, substring [,position [,occurrence]]) dla Oracle.
Innych nie znam, bo nie używałem. No, ale co tam z PHP może jeszcze być? SQLite? Ten akurat ma ograniczoną w ogóle liczbę funkcji (w dokumentacji nie znalazłem żadnego odpowiednika).
Od wczoraj przeglądam blog Michała Ławickiego i w komentarzach uzupełniam artykuły dot. baz danych (vide Analiza struktury bazy danych czy Obsługa plików, a SQL Injection). Dziś przyjrzałem się jego podejściu do Blind SQL injection czyli ataku na stronę, która nie wyświetla błędów.
Metoda na odgadywanie hasła znak po znaku jest rzeczywiście toporna. Biorąc pod uwagę 95 dostępnych znaków i hasło o długości 16, możliwych kombinacji jest dość sporo. Wysyłanie 1k5 zapytań zajmie trochę czasu. Dlatego można to zmodyfikować wstawiając pomiędzy LENGTH(passwd), a SUBSTRING(passwd, x, y) funkcję LOCATE(char, passwd), która pokaże jakie znaki mamy w ogóle dostępne (jak w teleturnieju – stąd temat wiadomości).
(więcej…)
Świeżo wyremontowany budynek MOSiR w Mikołowie (oprócz tego siedziba kilku organizacji społecznych jak klub abstynenta „Powrót”, świetlica MOPS oraz siłownia TKKF Hades). Z jednej strony widać przyjaźń pomiędzy pseudokibicami Ruchu Chorzów i Widzewa Łódź…
Przeszło rok temu testowałem ‘cienkiego klienta’ – urządzenie LTC-600B firmy BOSaNOVA. Teraz ‘na tapecie’ mam RBT472v tej samej firmy (ale ze zmienioną nazwą – na 10ZiG). Tak naprawdę 10ZiG instaluje tam system i oprogramowanie, a samo urządzenie produkuje Clientron pod nazwą U700. No, chyba jeszcze wsadzają pamięci (operacyjną i CF pod dane).
Dostarczonego systemu nie miałem czasu sprawdzać, wierzę, że inżynierowie wykonali niezłą robotę i działa. Od razu wrzuciłem tam Gentoo Linux na µClibc (experimental/x86/embedded). Już ktoś pomyślał o projekcie mediaserver? Słusznie!
(więcej…)
Jak doświadczyłem, czytniki RSS wymagają konkretnej struktury i nie przyjmą niczego wychodzącego poza standard. Z jednej strony to dobrze, z drugiej – nie mogę nigdzie podłączyć sobie jako źródła cknotes.com (Chilkat Tech News). Pierwsza próba to Lotus Notes (tak, czytam w pracy, ale nie 750 źródeł jak ktoś, kogo imienia wymieniać nie mogę :>) – nic z tego, potem Internet Explorer 8 – również porażka. Thunderbird 3.0 nie dał rady. Firefox 3.5.6 i 3.5.8 też nie. Poprawnie zadziałał jedynie ten ostatni w wersji 3.6.
A! Jeszcze testowałem Google Reader, ale nie używam tego w normalnych warunkach, więc tylko tak dla sprawdzenia. Dał radę.
(więcej…)
Można już składać zamówienia na OpenBSD 4.7! Tym razem okładkę zdobi superryba.
Informacje o nowościach można znaleźć na stronie: OpenBSD 4.7 What’s new (jakby ktoś nie śledził list i zmian w stosunku do poprzedniego wydania).
Oficjanie wersja 4.7 ukaże się zgodnie z planem wydawniczym – w maju. W drugiej połowie maja. Dokładnie 19 maja ;-)
