C, PHP, VB, .NET

Дневникът на Филип Петров


Категория ‘ОСУП’

* Offline bruteforce атаки – как да се справим с тях?

Публикувано на 12 март 2014 в раздел ОСУП.

Обновено 26.07.2019 г. с добавени примери за хеширане с Argon2id

Досега в статиите съм коментирал главно начини за справяне с атаки чрез rainbow таблици в допълнение с малко obscurity. Демонстрираната техника най-схематично изглеждаше така: Прочети още...

.

 


* Как така още не са хакнати?

Публикувано на 08 май 2013 в раздел ОСУП.

Мои познати имат уеб сайт, който е правен преди няколко години и от тогава не е пипан. Напоследък всякакви ботове им задръстват формата за коментари със спам. Помолиха ме да им сложа Captcha. Прочети още...

.

 


* PHP handlers

Публикувано на 19 януари 2013 в раздел ОСУП.

За да може да пуснете сайт на PHP, уеб сървъра ви трябва да може да компилира всичко, което е оградено с тагове . PHP handler е модул за HTTP сървъра, който зарежда библиотеките на PHP. Специално за Apache съществуват няколко различни PHP handlers. Изборът на един или друг предопределя различни аспекти като бързина, заета памет и сигурност. Нека разгледаме най-популярните. Прочети още...

.

 


* Уязвимост в PHP с mod_cgid за версии <= 5.4.2

Публикувано на 04 май 2012 в раздел ОСУП.



* Някои допълнителни препоръки за запазване на пароли

Публикувано на 25 март 2012 в раздел ОСУП.

За кода в предишната статия, в която се демонстрира "завършената" форма за автентикация с поддръжка на автоматично влизане с cookie, има допълнителни фактори, на които би трябвало да обърнем внимание при запазването на паролите. Нека припомним как записвахме паролите в базата данни: Прочети още...

.

 


* Най-големите софтуерни бъгове до сега

Публикувано на 20 март 2012 в раздел ОСУП.

"Бъговете" в написването на софтуерен код съпътстват всеки един програмист. Едва ли има безгрешен човек, в това число едва ли има и безгрешен програмист. Някои от програмистките грешки обаче са довеждали до особено големи щети. Ето някои от най-известните досега, подредени по години. Прочети още...

.

 


* Пример: login cookie с AES256-CBC криптиране в PHP

Публикувано на 18 март 2012 в раздел ОСУП.

От PHP версия 5.3.0 нататък в библиотеката на OpenSSL има включени две функции openssl_encrypt и openssl_decrypt, които ни позволяват да криптираме и декриптираме данни с различни алгоритми за симетрично криптиране. В този пример ще покажем как се използва AES256-CBC агоритъм, с който ще се криптират данни записани в потребителско cookie (по-конкретно името и паролата на потребителя). Целта ни е да защитим cookie по такъв начин, че дори да бъде откраднато, то хакерът няма да може нито да възстанови (декриптира) информацията от него, нито да го използва, за да се автентикира самия той. Ще използваме примерния скрипт за автентикация, който беше разглеждан в предишни статии (и на лабораторни упражнения), но модифициран да използва защитена директория "includes" за важните данни, които не искаме да бъдат достъпни за "външния свят". Примерът продължава да е с "ужасно зле форматиран код", за което молим читателя за извинение (или вижте пример как когато се тръгне по лош път в самото начало, то проблемите се мултиплицират до края) :) Прочети още...

.

 


* Доклади по ПТСК от 2011г.

Публикувано на 14 април 2011 в раздел ОСУП.

Курсът по ПТСК се провежда от две години, като още от самото начало започнахме инициатива студентите да пишат доклади по тяхно желание допълнително извън програмата на учебния предмет. Тази година реших да започна и инициатива за публикуване на трите най-добри доклада (според мен). Критерият за този избор е чисто субективен (мое лично мнение), а подреждането ще бъде по азбучен ред (без класация между първите трима). Преценката ми се базира на два критерия - докладът сам по себе си и представянето му по време на учебния час.

Ето и първите три доклада от 2011г.: Прочети още...

.

 


* Сравнения и типове данни в PHP

Публикувано на 22 март 2010 в раздел ОСУП.

PHP е един много популярен език за програмиране в днешно време. Може би това главно се дължи на липсата на строго типизиране на данните и автоматичното им превръщане от един тип в друг при нужда. Програмистите изглежда са мързеливи хора и за това PHP им харесва. Това обаче може да ви доведе до сериозни главоболия и купове непредвидени грешки. Нека демонстрираме с един примерен код: Прочети още...

.

 


* Няколко съвета за по-бързи програми на PHP

Публикувано на 22 март 2010 в раздел ОСУП.

Тази статия определено не е свързана със "сигурно програмиране", но реших, че може все пак да влезне в употреба. През годините съм слушал много съвети за това как да се оптимизира код така, че да отнема минимални ресурси. Естествено основната тежест в такава задача пада върху алгоритмите. Има обаче и други, по-дребни "трикчета", които отнемат някоя друга милисекунда от времето за изпълнение. Честно казано никога не съм бил привърженик на този род оптимизации, защото най-често правят кода нечетим. Въпреки това ще споделя някои неща, които съм запомнил през времето, като обръщам внимание на езика PHP: Прочети още...

.