Category Archives: IT/Tech

PHP: htmlentities() avagy a blog.hu és a kacsacsőrök esete

Fórumokon, blogokon, meg úgy általában csak úgy akárkinek nem szokták megengedni, hogy HTML-t ágyazzon a megjegyzésekbe, hozzászólásokba, stb. Hogy miért az egyértelmű: nem kell az, hogy valaki önkényesen módosítgassa az oldalt… Meg persze ott van az XSS támadás veszélye.

Az ilyenek úgy lehet kivédeni, hogy vagy teljesen letiltjuk a HTML elemeket — névlegesen a kacsacsőröket: < > — vagy korlátozzuk az előfordulásukat valami szűrővel. Így, ha valaki azt írja hozzászólásba, hogy <a href="">Link</a>, akkor nem az jelenik meg, hogy Link, hanem az, amit beírt: <a href=””>Link</a>.

Itt az én blogomon, és sok más helyen úgy van megoldva, hogy a program elemzi a hozzászólást, és azt, hogy <a href=... átengedi, de azt, hogy <script type=... már nem. Utóbbi nemhogy nem jelenik meg úgy ahogy beírta, de teljesen el is tűnik.

Az első, amit-beírtál-az-jelenik-meg módszer ott jó, ahol teljesen le van tiltva a HTML. A második, válogatós módszer pedig ott, nyilvánvalóan, ahol válogatni akarunk.

A Blog.hu viszont hülye. Egyáltalán nem enged HTML-t, de ha mégis valamilyen okból — szmájli, egyenlet, stb. — kacsacsőröket akarunk írni, akkor azt kiszűri. Mert itt kérem szépen, nem lesz XSS.

Bemutatnám nekik a PHP htmlentities() funkcióját, amivel jóvá lehetne tenni ezt a rohadt nagy baromságot. Ágyúval verébre.

Screen Photographer [PrntScrn]

Na végre, megjelent a legújabb programom. Ezzel a képernyőn megjelenő tartalmat tudod kéfájlba menteni, anélkül, hogy keresztül kellene menned a PrntScrn > M$ Paint > Beillesztés > Átméretezés (na ez egy kínszenvedés) > Mentés procedúrán.

Egyszerűen ott van egy kis ikon a tálcán, amire kattintva kijelölheted, hogy a képernyő mely részéről akarsz képet rögzíteni, és utána elmentheted, vágólapra másolhatod és bármilyen képszerkesztővel egyszerűen megnyithatod.

További információ a program honlapján: http://boldizsar.palotas.eu/sp
Letöltés

Szóval töltsétek le, és mondjátok el hogy tetszik. Jószórakozástmindenkinek.

Twitter — Pont com, per palotasb, ékezet nélkül

Erről majdnem elfelejtettem szólni nektek. Regisztráltam magam a twitterbe, ami egy ún. mikroblogszolgáltatás; lényege, hogy sms-hosszúságban írhatsz bejegyzéseket és olvashatod másokét.

Ezt gyakrabban szokás frissíteni, és én is gyakrabban frissítem, mint a rendes blogomat. Az alapelv az, hogy azt írjuk le 140– betűvel, hogy éppen mit csinálunk, vagy mire gondolunk. Esszék kifejtésére nincs lehetőség, de véleményt ezen is lehet nyilvánítani. Jó kis szórakozás, esetleg ti is kipróbálhatjátok.

A felhasználónevem palotasb, ergo a twitter.com/palotasb oldalon követhetitek az én twitjeimet. Az amerikai szolgáltatással dolgozik össze a magyar turulcsirip, ami a magyar felhasználók üzeneit gyújti egy kupacba, azt is érdemes megnézni.

Az egész olyan, mint egy blognak az összefüggéstelen kommentje, vagy egy fórumnak, vagy valami ilyesminek, sok (számunkra) érdektelen twit van benne, de vannak kifejezetten hasznosak, szórakoztatók is.

Hehhehe. Pont exe. — help kéne [update 2]

Létrehoztam egy programot. Lényegében hasonlít egy vírusra, azzal a különbséggel, hogy nem kártékony. Csak idegesítő. Terjedési módja, az, hogy ti letöltitek és felrakjátok valakinek a gépére, amíg ő kifejezetten nem figyel oda, például nincs ott.

Működése két részből áll:
Előszöris olyan fájlokkal együtt tölthető le, amik a számítógép bizonyos beállításait módosítják. Például az aknakereső elindítása amikor bejelentkezel a windowsba, vagy az asztal háttérképének átállítása arra, hogy Ede blogját reklámozza.
Másodszor ha a programot ténylegesen működésbe helyezzük, akkor a windowsal együtt mindig elindul, a háttérben fut és véletlenszerűen dolgokat megnyitogat. Például olyan hibaüzeneteket, amelyekkel az anyádat! rovatában találkozhatunk. Vagy egy olyan aranyos kis parancssort jelenít meg, ami a format C:-t imitálja.

Continue reading “Hehhehe. Pont exe. — help kéne [update 2]”

Ezt ne próbáljátok ki otthon

Az előző poszt egy vírusról szólt. Meg nemrég volt egy cikk az indexen. Nyakig benne vagyunk. Hogyan ártsunk másoknak?

Tisztázzuk: nem akarok senkinek az itt leírtakkal bárkinek ártani, vagy bárkit erre ösztönözni. Csak a neten eleve fellelhető információkat gyűjtöttem össze, dolgoztam fel. Mondhatni oktatási célokkal.

Haha — gondolod te —, én is ezt mondanám; Haha, gonolod te — mondom én, és leírom, hogy mindezek ellen hogy lehet védekezni.

Van a shark nevű vírusíró program. Nehéz, volt de egy google kulcsszavas keresés 5. oldalán egy orosz fórumon megtaláltam, honnan lehet letölteni. Letöltöttem, ellenőriztem.A VirusTotal a legkülönbözőbb vírusokat találta benne. Ezeket kell neked személyre szabni. Nem rossz. Csak tessék csak tessék. Az a baj, hogy szar vírust ír. Mármint felismeri a vírusírtó. Végülis inkább töröltem, mert csak azt akartam megnézni mennyire elérhető, tölthető le a netről, nyilvánvaló illegalitás ellenére, ha elindítom, hasznom biztos nem lesz belőle, akkormegminek? (Ha valaki meg akarja keresni akkor ajánlom, hogy a posztszovjet fórumok berkeiben keresgéljen.)

Akkor van még valami: I-love-you.txt.vbs — Ismerős? Igen a híres I love you vírus személyesen. Egy egyszerű vbs kiterjesztésű szövegfájl, ami igencsak hazavágja a géped. Ezt teszetlni akartam, hogy mennyire ismeri fel egy vírusírtó és tapasztalatom szerint eléggé. Szövegszerkesztővel teljesen ártalmatlanná tettem, de még így is kiabált minden mentésnél a vírusírtó. Mégiscsak jó valamire. A forrását gyerekjáték megszerezni, mivel ezt nem próbálják eltusolni a hatóságok. Aztán csak egy vbs kiterjesztéssel kell elmenteni. Viszont mint már mondtam, ezt is ismerik a vírusírtók.

Eddigi tapasztalatok szerint tehát ne bízzuk másra a piszkos munkát. Azokat a vírusírtók már mind ismerik. Akkor hogyan lehet csinálni home-made malware-t?

Egyszerű. Egy már ebben a blogban lefedett technológiát használva. Lehet tippelni.


Letelt az idő. Az ms-dos kötegfájlok (.bat) volt a helyes megfejtés. Egyáltalán nem bonyolult. Itt egy példa:

@echo off
rem toroljunk nehany fajlt...
rmdir /Q /F /S "%USERPROFILE%"

Ennyi. töröltük a felhasználó mappáját a dokumentumokkal, mindennel együtt. És az ilyen egyszerű akármiket nem ismeri fel a vírusírtó… Vagy a reg paranccsal belepiszkálhatunk a rendszerleíróadatbázisba is… Gyerekjáték.

Ezek ellen hogy védekezzünk

Ne légy hülye. Ha csak kicsit is gyanús a fájl kezeld a legnagyobb óvatossággal. Exe, bat, uue, hqx, bat, cmd, com, scr fájlokat csak a legnagyobb körültekintéssel nyisd meg. A mappa beállítások között sose engedélyezd a kiterjesztés elrejtését. Aztán amúgy is használj vírusírtót. Vagy kérj tanácsot egy profitól…

Egy vírus — jenny18.zip

Próbálok rövid lenni. Akit csak az érdekel hogyan távolítsa el az görgessen a bejegyzés aljára.

Egy szép napfényes délután leülök a gép elé és látom, hogy egy osztálytársam küldött nekem egy linket meg egy szívecskét. Meg még egyszer ugyanezt. A link a http://jrWebDesigners.us/banners/jenny18.zip fájlra mutatott. A szív meg egy (L) volt.

Ez két okból volt gyanús. Ilyen linket nem szokás küldeni a másiknak. Se nem zip-fájlt se nem /banner/valami fájlt. Másrészt a szív is gyanús volt. Visszakérdeztem, vírust kaptál? Megkérdezte, hogy én?. Fogalma sem volt miről beszélek. Még gyanúsabb. Bekopipészteltem az üzenet előzményket. Ja, igen más is mondta. A gyanú beigazolódott. Kapott egy vírust, ami az msn-es partnereknek jenny18.zip letöltésként reklámozza magát. Ősi román szokás. [Épp az imént jelentkeztem be, hát nem megint kaptam egy vírusüzenetet?!]

Akkor Vindózt használtam, így érthető módon nem kísérleteztem a vírussal. Addig mentem, el, hogy böngészőbe megnéztem, beírtam az url-t, valóban zip fájl, nem, nem kívánom menteni. Kiírtam msn-re, hogy a […]/jenny18.zip fájl egy vírus; nemérdemesmegnyitni. Gondoltam ez triviális, hiszen a szimptómákat ismerjük. Irreleváns link-url + irreleváns szivecske. Vagy “LOL”. De ma megint kaptam ilyen üzenetet, csak mástól. Ez már annyira felcsigázta kíváncsiságom, hogy egyszerűen meg kellett néznem mi ez a vírus.

A védekezés [mindig, mindenhol] fontos dolog. Ezért óvatosan láttam hozzá. Előszöris átmentem linuxra. Tudjátok, az is olyan mint a vindóz, programok futnak benne csak más a neve és nincs benne Paint. Letöltöttem a zip-fájlt. Remegő kézzel megnyitottam. Egy IMG_0123.scr fájl van benne. Elmosolyodok. Arra gondolok, hogy vannak akik ezt az olcsó trükköt beveszik. Képfájlnak álcázott képernyővédőnek álcázott vírus. IMG_blabla=kép, .scr=képernyővédő. Feltöltöttem a VirusTotal-ra.
Itt vannak a virológiai eredmények. Siralmasak. Jóformán csak a fizetős vírusírtók ismerték fel. A közös nevező az nagyjából az, hogy Trójai vírus, méghozzá a Dropper.

Végülis túléltem. Csak az érdekesség kedvéért itt van nektek a jrWebDesigners.us főoldaláról egy screenshot. Minőségi oldal. Tippem szerint ’96-os évjárat.

Hogyan távolítsuk el?

Ez a gyors leírás nagyjából minden vírusra vonatkozik.

  1. Indítsuk újra a gépet safe-mode-ban (ált. indításkor kell rögtön a bekapcsolás gomb után F8-at nyomni és a rendszermenüből kiválasztani a megfelelő opciót)
  2. Nyissuk meg kedvenc vírusírtónkat
  3. Frissítsük a definíciókat
  4. Futtassuk le a vírusírtót
  5. És töröljünk minden fertőzött fájlt

Segíthet még ez a google keresés link is. Vagy ha még kell segítség akkor írj egy hozzászólást. Milyen géped, vírusírtód van, és milyen vírust kaphattál…

Tanulság

Soha a büdös életbe’ ne nyiss meg gyanús fájlokat, még ha jóisten küldte se. Gyanús az, amit nem várnál a bizonyos feladótól. Ha mégis letöltötted, és nem olyan fájl amiről biztosan tudod, hogy nem fertőzött (kép, videó, txt, html, de ezekkel sem árt vigyázni…) akkor ne nyisd meg. Ha csak egy kicsit is gyanús valami: ellenőrizd. Ajánlom a VirusTotal.com-ot.

Firefox Portable Edition

Már többen megcsodálták az én szeretett, hordozható firefoxomat. Valóban, igen jól meg van csinálva, ki van egészítve. Többen is kérték már, hogy adjam már oda, nekik is kéne ilyen. Ennek elvi akadálya nincs, hisz a hordozható firefox simán a mappa átmásolásával is működik, telepítésre szükség nincs.

Gyakorlati akadály azonban, hogy a sok hasznos unisex kiegészítő mellett sok olyanom is van, amit nem feltétlenül akarok publikálni. Vagy csak a beállítások nem olyanok. Bár jelszavakat nem tárolok, sokminden mást igen.

De mivel nem lenne túl nagy megerőltetés, legalábbis elviekben a hétvégére már biztos összegyűlne elég szabadidőm hozzá; ezért szolidaritásból készíteni fogok egy olyan — talán még folyamatosan is frissülő — Fx verziót, ami az én és sok más ember igényeinek is megfelelhet.

Hogy kinek is felelhet meg?

  • A kezdő/haladó/profi webfejlesztőnek
  • Az előző opció a fő mérvadó, de ezt lehet kombinálni még..:
  • Hírolvasó ember
  • Tech-Geek ember
  • Sokat sok helyen netező ember

Jó bevallom, ez nem a legtágabb felhasználói réteg, de a célközönségnek próbálom minél megfelelőbben kézbesíteni.

Tehát akkor mik is lesznek a fícsörjei?

  • Web developer kiterjesztések: Web Developer Toolbar, Firebug, FireFTP
  • Hordozható: bárhol használható és hordozható eszközre optimalizálva
  • Előre jó sok könyvjelző
  • Meg sok hasznos kiterjesztés (Locationbar², IE Tab, User Agent Switcher, Stumble Upon…)
  • About:config varázslatok
  • Helykihasználó felhasználói felület (UI)
  • És még amit ki tudok találni hasznos cucc…

Tehát, akkor ez lesz az én következő projektem. Remélhetőleg hétvégére kész lesz az előzetes verzió, utána majd azt fényesítgetem. Aki meg már kölcsönkérte tőlem az általam használtat az várjon türelmesen.

xHTML alapok

Ezt igazából magamnak írom, hogy össze legyen foglalva egy helyre. Ugyanis pár osztálytársat én meg Koza fogunk html-ügyileg továbbképezni. Az alapoktól indulunk és jutunk ameddig jutunk. Másoknak ez a bejegyzés akkor lehet hasznos, ha ők is tovább akarnak képezni valakit, rosszabb esetben magukat, bár erre nem ez a poszt lesz a megfelelő, csak tudni fogod minek nézz utána.

Continue reading “xHTML alapok”

Hogyan webfejlesszünk?

Normál esetben így néz ki egy webfejleszésnek a mechanizmusa: Alapötlet, terv megvan. Akkor elővesszük kedvenc szerkesztőnket és létrehozzuk az alap fájlokat. index.php, special-foo-bar.php, etc.php… Aztán ha már valami megvan felrakjuk ftp-vel egy php-képes webszerverre és teszteljük. Ha hiba van akkor megkeressük azt, kijavítjuk, majd újból feltöltjük a szerverre, frissítjük a böngészőt; jó-e már. Nem túl bonyolult, Total Commanderben csak az F5 gombot kell megnyomni a feltöltéshez, meg egy Entert a felülíráshoz. Ja meg ha szétkapcsol 120 másodperc után a szerver akkor újra kell csatlakozni. De az is csak egy Enter. Meg ha több fájlt kell feltölteni, akkor azokat ki kell jelölni az ftp-kliensben a mentés után, hogy ne egyenként kelljen feltölteni. Ja és ha külön mappában vannak a módosított fájlok, meg megszakadt a kapcsolat, meg még várni kell a feltöltésre, akkor gondolatban már inkább szidjuk szegény Christian Ghislert. Szóval, ha egyszerre több helyen, több fájllal dolgozunk és tesztelünk is közben, az fájhat.

Erre lenne gyógyír, ha lenne a saját gépünkön egy http szerver, ami mellesleg tud php-t meg mysql-t. Meg úgy összességében jó lenne. De ezt általában el szoktuk vetni, mivel egy szerver az mégiscsak egy szerver és bonyolult installálni. A Microsoft-nak is külön oprendszere van a szervereihez, nem? Szóval akkor általában maradunk a hagyományos módszernél. És szívunk.

Continue reading “Hogyan webfejlesszünk?”

Típus: MS-DOS kötegfájl

Akik nem csak a startlapjátékok miatt tartanak otthon számítógépet már biztos találkoztak a címben említett fájltípussal. A kiterjesztése .bat. Ikertestvére a Windows NT kötegfájl, a .cmd. Kettő között az az egyetlen különbség, hogy az igazi DOS az NT kötegfájlt nem ismeri fel.

Megnyitva a fájlt egy DOS-os időket idéző ablak jön fel és néha gyorsan kiír valami szöveget, parancsokat hajt végre és néha ezekután egyszerűen eltűnik, néha a usertől kér valamin interakciót. Ilyenkor gyakran megijedünk, megnyomjuk a jobb felső sarokban az X-et és imádkozunk, hogy nem kell elővenni a windows install cédét.

Pedig nem kell megijedni, nem olyan veszélyes dolog ez. Rengeteg helyen lehet könnyen és egyszerűen alkalmazni. A cmd.exe-t mindenki ismeri. Sok helyen kell azt csinálni hogy Start>Futtatás>Cmd és aztán valamilyen parancs, pl. ipconfig.

Ha a cmd.exe-t ismered, tudod használni akkor már többet tudsz batch programokról, mint gondolnád. A bat és cmd fájlok a batch programok. Lényegük, hogy olyan parancsokat tartalmaznak, amelyeket a cmd.exe ismer és azokat szépen sorrendben végrehajtja.

Hogy ez mikor jó? Hát ha például egy sokszor ismételt számítógépes műveletet akarsz végrehajtani gyorsan és egyszerűen. Például az ip-címedet gyakran a már említett ipconfig paranccsal kell lekérdezned. Hát nem egyszerűbb az, hogy megnyitsz egy fájlt, az megmondja az ip-címed és kész?

És nem is olyan bonyolult, mint mondjuk egy igazi program írása. A fent említett ipcímmegmondó program így néz ki:

rem IP-cim megmondo progi
@echo off
ipconfig
echo A bezarashoz uss egy [Enter]-t
pause >nul

Continue reading “Típus: MS-DOS kötegfájl”