Aktywne Wpisy
włączając się do ruchu wpuściła mnie policja, podziękowałem im awaryjnymi z przyzwyczajenia i dostałem mandat za używanie świateł niezgodnie z ich przeznaczeniem xD
#policja #polskiedrogi #stopcham #polscykierowcy #prawojazdy
#policja #polskiedrogi #stopcham #polscykierowcy #prawojazdy
źródło: 1000029617
Pobierz
MechanicznaPitaja +153
#chwalesie
wymieniłam sobie sama linki hamulcowe w rowerze i łańcuch :D
co roku po zimie za przegląd i wymianę takich głupot, i regulacje mnie kasowali 500 zł w serwisach rowerowych. a że teraz odkładam każdy grosz, to stwierdziłam, że spróbuję sama. kosztowało mnie to 50 zł za części i trochę czasu (jakieś 2,5h, jak na 1 raz to chyba spoko, następny raz będę już wiedzieć co i jak). W serwisach
wymieniłam sobie sama linki hamulcowe w rowerze i łańcuch :D
co roku po zimie za przegląd i wymianę takich głupot, i regulacje mnie kasowali 500 zł w serwisach rowerowych. a że teraz odkładam każdy grosz, to stwierdziłam, że spróbuję sama. kosztowało mnie to 50 zł za części i trochę czasu (jakieś 2,5h, jak na 1 raz to chyba spoko, następny raz będę już wiedzieć co i jak). W serwisach
Jest sobie urządzenie sieciowe, zarządzane zarówno przez SSH, jak i przez WEB GUI. Jeden z klientów mojego pracodawcy (IT/Telecom) postanowił zrobić coś z bezpieczeństwem sieci i zamiast jak wszyscy inni używać jednego hasła dla wszystkich takich urządzeń, albo wręcz zostawić domyślne hasło "password" (szokujące, jak wielu naszych klientów tak robi, poważne firmy telekomunikacyjne), zaczęli generować losowe hasła dla każdego urządzenia osobno. No i znaleźli nam buga :)
Bug polega na tym, że istnieją hasła, które znakomicie działają po SSH, jednak gdy się je ustawi przez GUI, traci się dostęp do urządzenia. Moje pierwsze podejrzenie, to że udało się im trafić w zestaw znaków, który zawiera w sobie jakiś kod sterujący HTML czy cóś i wysyłany ze strony www dochodzi do urządzenia w zmienionej formie.
Przykład takiego źle działającego hasła: P6Kr5RK&A)esV* - czy ktoś z was drodzy specjaliści od HTML widzi w tym stringu coś, co może tu być problemem?
no tak, bo wcale nie dziala na linuxie i innym oprogramowaniu open source
@Jarek_P: dramat, wolaj dalej specjalistow od htmla xD
@brakloginuf: kurna, skup się: tak, działa na linuksie, ja jednak operuję na urządzeniu wyłącznie przez nakładkę. Logi też widzę tylko takie, które zbiera owa nakładka, nie mam dostępu do innych.
@brakloginuf: tak, dzięki za pomoc. Tylko może już nie pomagaj, jeśli masz pomagać w ten sposób.
Ustalcie zestaw znaków jakie mogą być wykorzystywane jako hasło i napiszcie w końcu testy. Skoro teraz system nie ogarnia losowych danych, to pomyśl co można zrobić preparując złośliwe dane.
W prawdziwym świecie każdy ze znaków specjalnych może w jakiś sposób na jakimś etapie rozwalać najróżniejsze elementy systemu w których zapomniano o sanityzacji danych.
źródło: comment_1602529390TPDrmUPPess3YzwNL737yg
Pobierz@MilionoweMultikonto: właśnie sęk w tym, że testy skupiają się raczej na zasadniczych dla tych urządzeń sprawach, czyli samym ich działaniu, nikt nie testuje takich pierdół, bo zwyczajnie nie ma na to czasu, management wychodzi z założenia, że najwyżej wyjdzie w praniu. Znamienne jest też to, że urządzenia istnieją w ciężkich tysiącach sztuk na świecie od lat
@Jarek_P: Jeśli to jest obsługiwane jak zwykły html to & oddziela kolejną zmienną
Twój case jest gorszy - hasło przyjmie, ale już go nie użyjesz...
@testuser: no właśnie stąd całe jaja, bo średniej wielkości ISP z UK mi takie zgłoszenie przysłał: po implementacji losowo generowanych haseł w całej sieci stracili dostęp do niektórych obiektów. My jako producent mam swojego backdoora, więc dostęp im przywróciłem piorunem, sposoby na obejście problemu są dwa (nie używać &, zmieniać hasło przez CLI), ale trochę wstyd, że takie
my swego czasu dostaliśmy CPE od pewnego producenta które wyświetlało hasło admina webgui w kodzie strony, wystarczyło kliknąć Pokaż źródło strony ( ͡º ͜ʖ͡º)
@tajek: na polskim rynku właściwie w ogóle nieznany: Adtran.
@Jarek_P: dla niektórych mógłby yo być krytyczny problem ( ͡° ͜ʖ ͡°)
widziałem przypadek gdzie formularz zgłoszeniowy nie wysyłał wiadomości - wystarczyło odpowiednią kombinację krzaczków zaznaczyć i cyk zgłoszenie nie dochodziło ( ͡º ͜ʖ͡º)
był tu fajny tag o testach, strasznie życiowy XD