C, PHP, VB, .NET

Дневникът на Филип Петров


Категория ‘ОСУП’

* temp: ОСУП упр. 8

Публикувано на 08 април 2019 в раздел ОСУП.

htdocs <<< лекция за хеширане и key stretching

htdocs <<< лекция за SQL Injection

htdocs <<< автоматичен логин с cookie + добавени key stretching за сменящия се и перманентния token (което не беше направено по време на лекцията).

htdocs <<< stored, reflective и DOM XSS

htdocs <<< XSRF в POST и GET

Заявени теми за проект:

  1. Тодор Борисов – Web application firewall – защитен
  2. Радослав Павлов – Заобикаляне на двуфакторна автентификация – защитен
  3. Сияна Плачкова – DOM XSS атаки
  4. Яна Георгиева – ReDOS атаки – защитен
  5. Мартин Врачев – Security static code analysis tools – linters – защитен
  6. Александър Игнатов – XML External Entity Injection – защитен
  7. Георги Семков – OAuth 2 – защитен
  8. Станислав Жечев – Double Encoding
  9. Божидар Ангелов – Генератори на случайни числа
  10. Мартин Милчов – DoS атака в WordPress (CVE-2018-6389) – защитен
  11. Петър Тонев – Сигурност в Spring framework
  12. Габриела Данова – AES – защитен
  13. Георги Стойчев – Path Traversal атаки – представен
  14. Павлина Колева – File Upload Vulnerabilities – защитен
  15. Бетина Христова – Kerberos – защитен
  16. Биляна Добрева – Canvas Fingerprinting – защитен
  17. Роксана Янева – ARP Poisoning – защитен
  18. Симона Петрова – Scrypt
  19. Ивияна Стоянова – HTTP Parameter Pollution
  20. Христо Тодоров – Clickjacking атаки
  21. Йоана Димитрова – Karma атаки – представен
  22. Александър Дойков – Hash length extension attacks
  23. Елизабет Михайлова – Несигурна десериализация на обекти

.

 


* ПТСК резултати от ликвидационна сесия 2018 г.

Публикувано на 17 юни 2018 в раздел ОСУП.

Резултати от освобождаването по ПТСК 2018 г.

Осбободени от изпит с отличен 6: Прочети още…

.

 


* Блокови шифри – режими на работа

Публикувано на 31 март 2018 в раздел ОСУП.

Ще се спрем на един проблем свързан с криптирането на информация. Той е свързан с това, че ако използваме един и същи ключ за криптиране върху една и съща информация, при една и съща трансформация, винаги ще получаваме един и същи краен резултат – криптирана поредица от битове. Когато се извършва пренос на информация в интернет, ние имаме чести повторения на части от страници и дори цели страници. Това би могло да послужи като вид информация за това какво точно преглеждаме в даден момент от време. Прочети още…

.

 


* ОСУП temp 2018

Публикувано на 24 март 2018 в раздел ОСУП.

Това е архив от кода, който е разгледан по време на упражнения

Упражнение 4: htdocs.zip

Упражнение 5: htdocs.zip

Упражнение 6: htdocs.zip

Упражнение 7: htdocs.zip

Упражнение 8: htdocs.zip , newsite.zip и unserialize_dos_attack.zip

.

 


* Студентски проекти 2017

Публикувано на 09 декември 2017 в раздел ОСУП.

Бях обещал да публикувам част от докладите, които са оценени и защитени с отличен. Реших да селектирам общо пет. Приятно четене. Прочети още…

.

 


* PHP Opcache конфигурация

Публикувано на 24 юли 2017 в раздел ОСУП.

PHP е скриптов език, от което следва, че при всяко зареждане трябва да се извърши процес на компилация. Това, както може да се досетите, губи известно време, което може да се натрупа сериозно при по-натоварени сайтове. Още по-лошото е, че води и до дискови операции – файлът със сорс кода трябва да се прочете от диска, за да бъде компилиран. Тук на помощ идват кеширащите модули – OpCache, APC или Xcache. Идеята при всички е, че се заделя рам памет, в която се пазят готови компилирани скриптове. По този начин, ако някой желае да отвори даден скрипт, който вече е бил отварян и е кеширан, значително ще се ускори времето за изпълнение, защото напълно ще съкрати принципно бавния (от компютърна гледна точка) процес на компилиране. Най-популярният кеширащ механизъм за PHP е Zend Opcache и затова тук ще се спрем именно на неговата конфигурация. Прочети още…

.

 


* Clickjacking

Публикувано на 03 юни 2017 в раздел ОСУП.

Clickjacking е техника, с която ви карат да извършите собственоръчно действие, което не сте желали. Визуално на екрана виждате един обект, но с натискане на левия бутон на мишката върху него вие извършвате съвсем различно действие, а не това, което очаквате. Например отивате на някой уебсайт и виждате видеоклип. Искате да натиснете бутона Play и го правите. Но вместо да сте натиснали Play и клипчето да тръгне, се оказва че сте натиснали върху рекламен банер, който въобще не виждате, натиснали сте Like на някоя статия във Фейсбук, която въобще не сте виждали и т.н. Прочети още…

.

 


* Blind SQL Injection

Публикувано на 05 април 2017 в раздел ОСУП.

Когато се говори за blind sql injection се има предвид, че атаката се извършва без атакуваната страница да дава грешка. Вместо това хакерът вижда съвсем нормален отговор, но според него успява да определи дали заявката му е минала успешно или не.

Нека имаме база от данни със статии: Прочети още…

.

 


* Форми за качване на картинки с PHP

Публикувано на 30 ноември 2016 в раздел ОСУП.

В тази статия ще се запознаем с основните проблеми при качването на файлове чрез уеб форми. Ще покажем проста галерия, в която ще искаме да качваме снимки във формат jpg, png или gif.

Да разгледаме следния пример: Прочети още…

.

 


* SSLStrip атаки

Публикувано на 29 ноември 2016 в раздел ОСУП.

В редица предишни статии написах как винаги целия трафик трябва да минава през HTTPS с валиден сертификат от trusted authority, разбира се ако искаме да предотвратим MITM атаките. Това най-лесно се постигаше с .htaccess файл със следния код: Прочети още…

.