slide trình bày tại EKOPARTY: http://netifera.com/research/poet//PaddingOraclesEverywhereEkoparty2010.pdf

-m  

Vậy thì ai đó chỉ bảo thêm về bản chất vấn đề với. Mấy bài viết này làm mình loạn cả lên giữa Session và Cookie. Không hiểu khái niệm Session ở đây muốn nói đến là cái gì? Và tại sao nó lại là vấn đề? Có vẻ rất nhiều site cũng gặp vấn đề tương tự. Lỗi này được đánh giá là High nên có vẻ rất nguy hiểm. 

Phải nói ở HVA bắt bẻ ghê thật.

Nhưng xét lại HVA là forum về kĩ thuật thì tốt hơn là phần lớn bắt bẻ thuộc về vấn đề kĩ thuật [khách quan]

Nhưng đa phần [60-70%] là bắt bẻ ngôn từ [sẽ là thiếu nếu không nói các bắt bẻ có phần duy tâm + Vô bổ].

Xét ra không được phù hợp cho lắm.

 

Nếu đội ngũ member của HVA ngày xưa đam mê và nhiệt huyết đúng cách, có lẽ CNTT Việt Nam không đứng ở vị trí như hiện nay. Ngay những người hiện nay đang thành công và ngày xưa đam mê, nhiệt huyết cũng phải hối tiếc một phần về sự phí phạm thời gian trong những năm trai trẻ.
 

WinDak wrote:

Học C nếu bạn muốn tìm hiểu hoặc làm những thứ "low-level" như memory, pointer
Học C++ nếu muốn tìm hiểu về "hướng đối tượng".
đấy là đi theo level dễ đến khó, nếu là học cho biết thì bạn có thể nhảy vượt cấp học "C++" cũng được
Nhưng mình khuyên nên có 1 mục đích cụ thể, sẽ giúp học nhanh hơn và không bị chán. Ví dụ : mục đích là để viết 1 simple program client-server -> C, học để tìm hiểu linux kernel -> C++ v.. 

Theo mình biết là C++ bao gồm C. nên C có pointer thì C++ cũng có, trong 1 đoạn code C++ bạn có thể vừa dùng cin, vừa dùng scanf vẫn được cơ mà mấy cái loop như for, while, do while thì cũng giống hệt nhau, nên C có cái gì thì C++ có cái đấy chứ ,
 

học để tìm hiểu linux kernel -> C++ v..
kernel của linux viết bằng C smilie
 

@ FaL and WinDak: Mục đích có nói rồi còn gì

nếu là người mới bắt đầu và không phải là dân lập trình chuyên nghiệp thì nên học C hay C++ trước, và nên quan tâm vào cái nào nhiều hơn? 

@ DLKC: Tớ học C trước, nhưng tò mò muốn biết ý kiến của các bạn về vấn đề này để sau này lỡ có ai nhờ tớ tư vấn thì tớ trả lời cho dễ  

Theo mình thì còn cách nữa là sniff luồng dữ liệu trao đổi với mạng bên ngoài của cái SWF đang chạy coi coi từ cái SWF đó dữ liệu gì đi ra và đi vào. Qua đó phân tích được nó hoạt động ra sao. 

Hay quá anh xnohat !

Ở trên kia em cũng đang định nói đến việc thử sniff gói tin của công cụ X-DDOS trên và 1 số công cụ X-DDOS khác để phân tích các gói dữ liệu mà SWF kia làm chủ.

Không biết có phải đối với dạng X-flash này nếu dùng chung 1 tool thì các gói packet (request) đến server của các Client đều giống nhau không.
 

Ý của tác giả ở đây là Webserver là máy chủ chứ không phải ám chỉ IIS hay Apache.

Thế nên người hứng chịu đầu tiên dòng DDoS sẽ là php.

Em chỉ [thông dịch] lại lời của tác giả, [quá trình thông dịch có thể sai]

Thân.
 

Handlers, Modules, and Requests
Apache breaks down request handling into a series of steps, more or less the same way the Netscape Server API does (although this API has a few more stages than NetSite does, as hooks for stuff I thought might be useful in the future). These are:

* URI -> Filename translation
* Auth ID checking [is the user who they say they are?]
* Auth access checking [is the user authorized here?]
* Access checking other than auth
* Determining MIME type of the object requested
* "Fixups" --- there aren't any of these yet, but the phase is intended as a hook for possible extensions like SetEnv, which don't really fit well elsewhere.
* Actually sending a response back to the client.
* Logging the request

These phases are handled by looking at each of a succession of modules, looking to see if each of them has a handler for the phase, and attempting invoking it if so. The handler can typically do one of three things:

* Handle the request, and indicate that it has done so by returning the magic constant OK.
* Decline to handle the request, by returning the magic integer constant DECLINED. In this case, the server behaves in all respects as if the handler simply hadn't been there.
* Signal an error, by returning one of the HTTP error codes. This terminates normal handling of the request, although an ErrorDocument may be invoked to try to mop up, and it will be logged in any case.

Most phases are terminated by the first module that handles them; however, for logging, "fixups", and non-access authentication checking, all handlers always run (barring an error). Also, the response phase is unique in that modules may declare multiple handlers for it, via a dispatch table keyed on the MIME type of the requested object. Modules may declare a response-phase handler which can handle any request, by giving it the key */* (i.e., a wildcard MIME type specification). However, wildcard handlers are only invoked if the server has already tried and failed to find a more specific response handler for the MIME type of the requested object (either none existed, or they all declined).
 

Vừa vào Diễn đàn đã gặp ngay cảnh cậu Quanta Delete bài vào thùng rác (tuổi chắc tầm cô út nhà mình), làm thành viên mới tham gia như mình cảm thấy không được tôn trọng
...
...
Trong Diễn đàn này khi mình đọc các bài của anh Conmale và PXMMRF mới cảm nhận được sắc thái điềm đạm và đúng mực, từ ngôn từ đến cách xử sự của người hiểu biết, có lẽ là tấm gương sáng cho cậu Quanta này.