Messages posted by: lovestormknx

Bạn mua bản quyền của xenforo và contact với họ nhờ support + báo giá đi. Tool import của họ chạy rất tốt, mình mới convert xong 9GB data vbb4 sang xenforo

Hic, bác này cao thủ nhỉ, dùng wp để làm thành 1 mxh

Dùng lệnh source hoặc dùng tiện ích mysqldump như anh conmale nói đó

mysqldump -u vannghi -p kenhthugian_db < path/to/sql/file

Gõ lệnh trên nó đòi password, nhập password vô là nó chạy

Muốn xâm nhập thì phải có lỗi gì đó mới xâm nhập được chứ. Cho tới thời điểm hiện tại thì MyBB không có lỗi gì ở phần admin và upload file, vậy nên bạn cứ yên tâm mà xài đi. Còn tài khoản login admin bạn giữ cho chắc vào, MyBB không có lỗi nhưng bạn để lộ admin account thì cũng tiêu.

Bài này nói nhiều đến các anh em diễn đàn HVA nè smilie

. Hi vọng mọi người gọi HVA là diễn đàn bảo mật thay vì gọi là diễn đàn Hacker như họ vẫn quen gọi. Dẫu sao, sự đóng góp của thành viên diễn đàn chúng ta cũng được cộng đồng ghi nhận smilie

http://nhipsongso.tuoitre.vn/Nhip-song-so/480307/Bo-go-Unikey-bi-nhung-ma-doc%C2%A0lay-nhiem-lan-rong%C2%A0.html

Vậy bạn vào phpmyadmin chạy câu query này để reset password của bạn thành 123456 nhé:

Code:

update user set password = MD5(CONCAT(MD5('123456'),salt)) where userid = $userid

Thay $userid = id của user bạn muốn reset password

Bạn đang xài diễn đàn loại gì (VBB, IPB, MyBB, ...)

Mình up thêm 1 bản của Unikey, bản này không thấy trên trang chủ unikey, version 4.0.8 Final, lúc trước khi search bản Unikey tương thích WIN7 thì download được nó:

http://www.mediafire.com/?y438hf8fabb11g8

Check

https://www.virustotal.com/file/20b7db27d61f14e8bd31d66971e20737d0a9287308b69eeb6f04bab6970015c9/analysis/

Cũng rất nhiều người đang dùng bản này, anh em "xử" luôn rồi cho mọi người biết thông tin nhé!

Nếu xài hosting và dùng mã nguồn mở thì:

- Update các bản patch + version mới nhất của MyBB và các plugins (mods) đã cài
- Không cài lung tung plugin (mod)
- Backup db thường xuyên
- CHMOD file và thư mục theo hướng dẫn cài đặt

Ngoài ra không làm được gì khác vì server do bên nhà cung cấp dịch vụ nắm giữ và cài đặt

Ha ha, chỉ cái gì bây giờ!

Cái này khó chia sẻ vì có thể nó là miếng cơm của người ta!

NGHIENVT wrote:

Mình tìm được trên mạng file hướng dẫn tên: High Performance MySQL
Trong đó mình lọc được một số câu lệnh để dùng bằng shell, ví dụ như:

--Backup Table: x=lock all tables // -proot (password:root)
mysqldump -u root -proot -x myDatabaseLogin myTableShopItem > C:\backup.sql

--Restore Table:
mysql -u root -proot --database myDatabaseLogin < C:\backup.sql

Mình lúa về asp nên không biết bạn có dùng được không, nhất là dùng C#...
Chúc bạn sớm tìm ra cách giải quyết

Người ta đang hỏi về MSSQL, không phải MySQL

Đọc 7 thủ thuật chống sql injection của bạn thì thấy bạn cần tìm hiểu thêm về sql injection, một số thủ thuật nghe nó "kỳ quái" và ngôn từ không chuẩn quá:

- Dùng hàm post thay cho hàm get trong form (vậy các website nếu không muốn bị sql injection thì chuyển hết form sang phương thức post chăng? Post, Get là phương thức của form, không phải hàm)
- Tạo trang bảo vệ dùng code php (bảo vệ cái gì?)
- Tạo class database chống sql injection (đi tạo cái class này rồi sẽ bị dẫn về lại câu hỏi "làm cách nào chống sql injection?")
- Đặt biến id (biến gì?)
- Đặt biến cho câu query (dấu @ đặt trước hàm là để che lỗi nếu hàm xảy ra lỗi)

Mấu chống của việc chống sql injection là kiểm tra và loại bỏ dữ liệu nguy hiểm mà user có thể input vào. Muốn chống hiệu quả thì phải tìm hiểu coi người ta inject sql như thế nào.

Đã từng bị dính lỗi này, khai báo trong .ini không cho, phài dùng command

Bạn thường xuyên theo dõi tin tức trên trang joomla.org để nắm bắt các bản vá lỗi và update là an tâm rồi!

Đó là code của cái MulCiShell v0.2, đã bị encode. Cái này mà echo trên máy có Kaspersky là nó "chửi" liền!

Chắc chắn là bạn phải lên danh sách các chức năng mà bạn cần, send cho bạn của bạn, còn việc thiết kế CSDL thì phải do bạn của bạn làm rồi!

Mình chỉ thấy phần Automatically synchronize with an internet time server, phần này đã bỏ check!

Các bạn còn giải pháp nào giúp mình việc này không?

Không biết các bạn đã gặp vấn đề này chưa, mình đang gặp rắc rối với nó và mong mọi người trợ giúp.

Mình có 1 ứng dụng web viết trên nền PHP và MySQL, trong CSDL mình có 1 table và có 1 cột kiểu int(11) để lưu ngày dạng unix. Webserver apache cài trên win2003

Khi đưa dữ liệu vào, mình dùng hàm strtotime của PHP, giả sử mình đưa giá trị:

2009-04-13 10:00:00 --> giá trị lưu vào CSDL sẽ là: 1239588000

Bây giờ nếu lấy ra và dùng hàm date() để format thì sẽ ra:
2009-04-13 10:00:00

Vấn đề ở chỗ, nếu dùng hàm from_unixtime(1239588000) sẽ cho ra 2009-04-13 09:00:00. Như vậy nó đã bị lùi mất 1h. Mình đã thử, trong năm 2009 (chỉnh thời gian của đồng hồ windows), vấn đề này sẽ xảy ra ở các tháng từ tháng 3 cho tới tháng 9, các tháng còn lại ko vấn đề gì. Nếu test trên năm 2008 thì sẽ rơi vào các tháng khác năm 2009...

Vì mình cần dùng hàm from_unixtime trong câu truy vấn nên đang bị vướng vấn đề này, ứng dụng của mình thì đặc biết quan trọng thời gian từng giây, mong mọi người đưa ra hướng khắc phục!

Cám ơn conmale đã trả lời mình, thực ra thì đề tài này chỉ là giả lập thôi, nghĩa là mặc nhiên có tất cả nhưng điều kiện mà conmale đưa ra. Vấn đề là mình không biết nên bắt đầu mọi thứ từ đâu và như thế nào.

Chào các bạn,

Hiện tại mình đang thực hiện 1 đồ án: làm chức năng cung cấp SSL Certificates như của trang verisign.com

Mình có tìm hiểu qui trình thực hiện của trang này bằng việc đăng ký xài thử dịch vụ này của nó. Tuy nhiên, mình không thể hiểu được cơ chế làm việc của website này trên server để mỗi khi website nào xài SSL truy cập thì thanh address nó xanh hoặc bị gạch đỏ.

Các bạn giúp mình vụ này với nhé!

Hay quá, đây là cái mình đang cần, cám ơn bạn nhiều lắm

Mấy huynh cho em hỏi, em dùng CSDL MySQL làm web thì tiếng Việt hiển thị ok (mặc dù set charset cho các field là utf8-generl-ci nhưng khi đưa dữ liệu từ form vào thì trong CSDL nó hiện tiếng dạng: Cty PhÆ°Æ¡ng Nam = Công ty Phương Nam)

Em dùng C#, kết nối cũng CSDL MySQL này nhưng lên form thì nó lỗi font (nó hiện luôn Cty PhÆ°Æ¡ng Nam chứ không phải Công ty Phương Nam như web), vậy có cách nào để hiển thị dữ liệu MySQL lên form mà không bị lỗi font hay không? Giúp em với nhé!

Ok, hôm qua thử với CURL thì mình send được gói tin đi rồi nhưng IP send đi thì chỉ đánh lừa được hàm PHP lấy IP qua biến $_SERVER['HTTP_x_x'] thôi, còn $_SERVER['REMOTE_ADDR'] thì nói vẫn lấy đúng IP của mình smilie

Thanks mọi người! Có mấy host nó không hỗ trợ CURL, không biết dùng socket có thay thế được CURL không nhỉ?

Cho mình hỏi cách gởi 1 gói tin có chứa IP (do mình tự gõ) tới 1 webserver (apache chẳng hạn) bằng PHP? Mình đã thử search nhiều rồi nhưng chỉ thấy gởi nội dung header dạng như:

Code:

$data = "abc";
$header = "POST abc.php HTTP/1.0\r\n";
$header .= "Host: example.com\r\n"; // Host on Shared IP
$header .= "Content-Type: application/x-www-form-urlencoded\r\n";
$header .= "Content-Length: " . strlen ($data) . "\r\n\r\n";

Thông qua socket thì có thể gởi đi được nhưng mình không biết cách đưa IP vào header, giúp mình với nhé!

Vậy Injection với MySQL như thế nào đây?

Mình có câu query:

Code:

$sql = "select * from customers where id =".$_GET['id'];

Mình chạy link sau tới trang test

http://localhost:8080/test/test1.php?id=134

Rõ ràng là có lỗi Sql Injection ở đây, mình sửa lại link trên thành:

http://localhost:8080/test/test1.php?id=134; delete from customers where id=134--

Lỗi:

Can't use foo : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '; delete from customers where id = 134--' at line 1

Xuất câu truy vấn ra:

select * from customers where id =134; delete from customers where id = 134--

Copy vào phpMyadmin thì chạy được!

Mình tìm hiểu thì biết MySQL nó chống SQL Injection nên không cho thực thi câu query kép như trên. Vấn đề của mình là thế, vậy Injection với MySQL như thế nào đây?

Mình giả lập 1 lỗi SQL injection đơn giản nhất trên website của mình để thử khai thác lỗi này (viết bằng PHP, dùng MySQL) nhưng hình như MySQL không cho truy vấn >1 câu query? Mình xuất câu truy vấn sau khi đã chèn mã tấn công vào, copy vào phpMyadmin thì chạy được nhưng chạy trên trình duyệt thì không.

Vậy mình không thể khai thác lỗi SQL injection trên CSDL dùng MySQL?

Có thể file backup có vấn đề rồi! Khi restore thì nên chia nhỏ data ra, chứ không nó chạy không nổi đâu.

Mấu chốt của vấn đề nằm ở đây:

Code:

dir c:\ >> c:\listfile.txt

Đoạn lệnh này có tác dụng list file của ổ C ra (đương nhiên là ổ C của bạn rùi) sau đó ghi nó thành tập tin listfile.txt. Cho dù không có file này trước thì lệnh trên nó cũng tạo ra file.

Thế nên tất cả các dòng lệnh ở trên đoạn

Code:

dir c:\ >> c:\listfile.txt

là để tung hỏa mù, hi hi. Không ngờ bác này có trò vui quá! Hi vọng anh em tới đây đã hiểu vấn đề và đừng thắc mắc tại sao nó lại list file của ổ C máy bạn ra nhé!