Messages posted by "K4i"

Lỗi cài đặt thư viện libgcc cho Oracle

K4i — GMT

Lần sau bạn cài đặt có thể sử dụng repo của Oracle Linux (tương thích với CentOS/RHEL) cài gói duy nhất là oracle-validated là xong phần yêu cầu bắt buộc để cài đặt, khỏi phải nghĩ nhiều. Cái này thì rất tiện vì cài phát là xong. Tuy nhiên sở thích cá nhân của mình là không dùng gói này :D

Lỗi cài đặt thư viện libgcc cho Oracle

K4i — GMT

Đây là các gói cài đặt cần thiết để cài đặt Oracle trên RHEL 6 1.) binutils-2.20.51.0.2-5.11.el6 (x86_64) 2.) compat-libstdc++-33-3.2.3-69.el6 (x86_64) 3.) glibc-2.12-1.7.el6 (x86_64) 4.) ksh-*.el6 (x86_64) <== any version of ksh is acceptable 5.) libaio-0.3.107-10.el6 (x86_64) 6.) libgcc-4.4.4-13.el6 (x86_64) 7.) libstdc++-4.4.4-13.el6 (x86_64) 8.) make-3.81-19.el6 (x86_64) c.) The remaining Install Guide requirements will have to be installed: 1.) compat-libcap1-1.10-1 (x86_64) 2.) gcc-4.4.4-13.el6 (x86_64) 3.) gcc-c++-4.4.4-13.el6 (x86_64) 4.) glibc-devel-2.12-1.7.el6 (x86_64) 5.) libaio-devel-0.3.107-10.el6 (x86_64) 6.) libstdc++-devel-4.4.4-13.el6 (x86_64) 7.) sysstat-9.0.4-11.el6 (x86_64) d.) Customers wishing to install the 11.2.0.3 32-bit Client software should also install these packages: 1.) compat-libstdc++-33-3.2.3-69.el6 (i686) 2.) glibc-2.12-1.7.el6 (i686) 3.) glibc-devel-2.12-1.7.el6 (i686) 4.) libaio-0.3.107-10.el6 (i686) 5.) libaio-devel-0.3.107-10.el6 (i686) 6.) libgcc-4.4.4-13.el6 (i686) 7.) libstdc++-4.4.4-13.el6 (i686) 8.) libstdc++-devel-4.4.4-13.el6 (i686) 5. Additional Required OS Components (per this NOTE) a.) Please do not rush, skip, or minimize this critical step. This list is based upon a "default-RPMs" installation of 64-bit (x86_64) RHEL 6. Additional RPMs (beyond anything known to Oracle) may be needed if a "less-than-default-RPMs" installation of 64-bit (x86_64) RHEL Server 6 is performed. For more information, please refer to Note 376183.1, "Defining a "default RPMs" installation of the RHEL OS" or Note 401167.1, "Defining a "default RPMs" installation of the Oracle Enterprise Linux (OEL) OS". b.) intentionally blank - Lưu ý cho bạn một điểm nữa là nếu cài chơi thì làm --nodeps thì được chứ nếu cài chạy thật thì nên cẩn thận và hạn chế dùng các gói của bên Fedora (fc20, etc) hoặc nodeps và cực kì hạn chế việc cập nhật hay gỡ bỏ các thư viện liên quan của gcc vì có thể chữa lợn lành thành lợn què. - Thông thường thì các distro như RHEL hay OEL đều có các gói compat-*** để giúp tương thích cho các phần mềm sử dụng phiên bản cũ hơn, đặc biệt là gcc và libgcc. - Hiện tại thì Oracle đã hỗ trợ việc cài đặt Oracle database trên các hệ thống RHEL / OEL 6 rồi nên bạn chỉ cần cài bản cài đặt mới nhất (11.2.0.3 nếu mình nhớ không nhầm) về là có thể chạy mà không cần phải work-around nhiều. Nếu bản cài đặt của bạn là 11.2.0.1 thì phải có work-around

MAC, Encrypt và Compress. Sử dụng thế nào cho đúng

K4i — GMT

Những ai quan tâm đến mật mã đều biết đến những cặp khái niệm sau: - MAC and Encrypt: Encrypt first, MAC the ciphertext -1 [1]http://www.daemonology.net/blog/2009-06-24-encrypt-then-mac.html - Compress and Encrypt: Compress first, then Encrypt Vậy nếu kết hợp 3 cái này với nhau thì thứ tự thế nào? Liệu sẽ là: Compress > Encrypt > MAC. Đây đã phải là ý tưởng hợp lý hay chưa? Mời mọi người thảo luận nhân dịp nghỉ lễ ;) PS: Ghi chú một chút MAC - Message Authentication Code. Quá trình tạo một thông điệp xác thực cho thông tin, bảo vệ tính toàn vẹn của thông tin Encrypt - Quá trình mã hoá thông tin Compress - Quá trình nén thông tin

Khi xảy ra MD5 collision thì mã hash nào khác không bị collision ?

K4i — GMT

invalid-password wrote:

Tôi định dùng hash MD5 để kiểm tra sự giống nhau và khác nhau của các string. Nếu MD5(str) khác nhau và len(str) khác nhau thì string khác nhau. Về lý thuyết khi số lượng string rất lớn thì vẫn có thể xảy ra collision. Không biết người ta đã chứng minh được là trong tất cả những chuỗi có cùng độ dài thì không bao giờ xảy ra MD5 collision ? Ngoài ra tôi còn thấy người ta dùng kết hợp kiểm tra MD5 lẫn SHA1. Như vậy người ta đã chứng minh được khi xảy ra MD5 collision thì không thể xảy ra SHA1 collision ? Ngoài ra xin hỏi có những phương pháp đảm bảo nào khác để tránh collision trong bài toán này ?

Các hàm băm (cryptographic nay non-cryptographic) đều có mục tiêu là biến đổi một data-set lớn về một giá trị nhỏ hơn, có độ dài không đổi. Chính vì điều này thì kiểu gì hàm băm cũng sẽ có collision. Không rõ tập dữ liệu của bạn lớn đến mức nào. Theo hiệu ứng Birthday Paradox thì với MD5 (128 bit) thì điều kiện tối thiểu để có thể xảy ra collision là tập giá trị phải có 2^64 giá trị. Nên tôi nghĩ chỉ cần so sánh giá trị md5 là đủ. Nếu tập dữ liệu của bạn cực lớn thì có thể sử dụng SHA (160bit) hoặc SHA-2 (256bit) hoặc SHA-3

HVA News Lỗi bảo mật mới của skype

K4i — GMT

Lỗi bảo mật của Skype cho phép bất kì ai cũng có thể đổi mật khẩu tài khoản của bạn. Vào đầu giờ sáng nay (giờ Việt Nam), tác giả của blog pixus-ru.blogspot.ru đã đưa lên một cách đổi mật khẩu của bất kỳ một tài khoản Skype nào chỉ trong vòng 6 bước. Lợi dụng việc Skype cho phép một email có thể đăng kí nhiều tài khoản email, tác giả đã trình bày cách thức để đổi mật khẩu của bất kỳ một tài khoản Skype nào thông qua tính năng Forgot Password của chính ứng dụng Skype. Các bước thực hiện bao gồm 1- Đăng kí một tài khoản Skype mới, sử dụng tài khoản email có sẵn của tài khoản cần tấn công. 2- Login vào tài ứng dụng Skype với tài khoản mới. 3- Bỏ qua các bước ban đầu của Skype 4- Sử dụng tính năng forgot password trên website Skype với mật khẩu mới. 5- Chờ Skype gửi lại Password Token và ứng dụng Skype sẽ thông báo về việc Token được gửi tới. Sử dụng ứng dụng Skype để lấy được link reset mật khẩu. 6- Ấn vào link reset mật khẩu lấy được, điều kì diệu sẽ xảy ra :mrgreen: Các bước chi tiết và hình minh hoạ được mô tả tại http://pixus-ru.blogspot.ru/2012/11/hack-any-skype-account-in-6-easy-steps.html Cập nhật:: 1. Sau khi lỗi được thông báo, Skype đã tạm thời tắt tính năng forgot password của ứng dụng. 2. Tính đến thời điểm hiện tại, tính năng forgot password đã được bật lại. Tuy nhiên, Password Token không còn được gửi đến ứng dụng Skype nữa. Đây là một lỗi bảo mật xảy ra khá "ngớ ngẩn" của ứng dụng Skype. Tính năng forgot password đã không được tính toán và xử lý đầy đủ.

Tool dịch ngược shellcode

K4i — GMT

gamma95 wrote:

mềnh chơi thủ công mỹ nghề đồ miễn phí thôi python -c 'print "shellcode nhét vô đây"' | ndisasm -

Không có vote với lại like nhỉ :mrgreen:

Hỏi cách Backup dữ liệu Oracle 9i, 10i

K4i — GMT

phuchau89 wrote:

Chào các anh chị HVA, hiện em mới vào làm việc trong công ty cũng khá lớn, nhưng kinh nghiệm em chưa nhiều, hiện em đang gặp chút khó khăn sau: Em đang quản trị cơ sở dữ liệu SQL Server 2000, 2005,2008 và Oracle Server khoảng 5 con Server 9i và 10i. Giờ em muốn tạo lịch để backup dữ liệu hằng ngày cho các Server này vào 1 ổ cứng di động 1 tetra của em. Backup dữ liệu SQL Server thì em đã rành rồi. Còn backup Oracle server thì chưa: Vậy các anh chị cho em hỏi như sau: - Backup Oracle database và restore nó như thế nào (backup từ Server về máy tính em đang ngồi nơi có gắn ổ cứng di động, cùng lớp mạng chung hệ thống) - Phương pháp nào là tốt nhất cho sao lưu và phục hồi, em nghe nói backup bằng Datapump và nhiều thứ khác, mình nên sài thứ nào - Các bước Backup and Restore nó.......... Em cảm ơn!

Chào em, Việc backup database Oracle có mấy loại: - Cold backup: tắt database, backup mọi thứ (spfile, control file, datafile) - Hot backup: backup trong khi database vẫn đang chạy. - MySQL style: dump (expdp, impdp) Việc quyết định cách thức thực hiện là do yêu cầu nghiệp vụ của ứng dụng và tổ chức qui định. Em tham khảo tài liệu về Oracle RMAN để biết thêm. Lần đầu tiên anh được biết công ty cho phép backup dữ liệu công ty vào ổ cứng di động của nhân viên. Nói chung là rất "bá đạo". Em nên nói chuyện lại với cấp trên để có phương án backup hợp lý (đặc biệt là Oracle database).

Chủ đề: DDoS đi về đâu?

K4i — GMT

Mình thêm đoạn này của từ blog của Anton Chuvankin

So, at the very least your DoS defense responsibility is shared with your Internet Service Provider (ISP). In other cases, it is shared with your cloud provider. Or, it can me shared with a Content Delivery Network (CDN) or other entity. In essence, these are the scenarios of DoS protection sharing: Your organization + your ISP (they can mitigate the attack when a network pipe from you to them is full; in most cases you’d need to detect it first though) Your organization + your cloud provider (do you realize that if you use SaaS to achieve a particular business function, such function can be denied by a) DoS’ing your network, b) DoS’ing your provider [or: DoS’ing them enough so that they drop you as a customer…] or c)DoS’ing your link to them) Your organization + your CDN (if you accelerate your web presence by using a CDN, they become an inherent part of your DoS defense arsenal) Your organization + specialty anti-DoS provider (and, yes, if your anti-DoS provider is itself DoS’d, you are ..ahem…”denied your anti-DoS service” … ironic,isn’t it?) Thus, DoS defense requires sharing. As I pointed out, it is likely that we will be sharing more than just bandwidth for doing many security things in the coming years…

Tại sao HVA ko tổ chức 1 lớp về bảo mật cho mọi người

K4i — GMT

Các bạn vẫn lẫn giữa học bảo mật và học hack thế nhỉ :mrgreen:

Chủ đề: DDoS đi về đâu?

K4i — GMT

Với mức phát triển hiện nay của Cloud Computing với những nhà cung cấp dịch vụ IaaS như Amazon (sắp tới là Google) hay các dịch vụ CDN như Amakai và Cloudflare thì liệu chúng ta có thêm giải pháp hay không? Mình có quote lại đây ý tưởng của anh conmale trên FB

Mình chỉ cần tạo 1 nhóm VPS, không cần nhiều CPU, RAM, chỉ cần nhiều băng thông và mỗi cái làm một reverse proxy. Reverse proxy này được iptables bảo vệ ở tầng IP và chính nó được áp dụng mod_security để giới hạn inbound requests. Cái chính là để chẻ nhỏ các requests đi vào (nhằm tránh quá nhiều traffic dồn vào một server).

Để đưa ra một kịch bản như sau: Khi luồng traffic DDoS đi vào foo.com đạt đến ngưỡng của hệ thống (sau khi iptables, caching tá lả không còn ăn thua nữa) thì ngay lập tức một hệ thống giám sát (nôm na gọi tên như vậy) sẽ tự động tạo một loạt các máy ảo trên cloud của amazon tại các vùng DC khác nhau, apply các cấu hình định trước để thành các máy chủ reverse proxy bổ sung cho foo.com. Lượng máy ảo tắt bật sẽ lần lượt được thêm giảm tuỳ thuộc vào luồng traffic đi vào.[1] Liệu đây có phải là một giải pháp tốt về mặt kĩ thuật? PS: vấn đề duy nhất là về tài chính (cái bill thanh toán thì cực kì khủng khiếp) :mrgreen:. [1]: giải pháp này về mặt kĩ thuật là hoàn toàn khả thi với những công cụ sẵn có hiện tại như Puppet/Fabric/Capistriano), Amazon AWS API, DNS Round Robin, Varnish/HAProxy,...

PostgreSQL vs Oracle

K4i — GMT

Nếu gọi là so sánh chung chung thì bạn tìm trên mạng sẽ ra rất nhiều nhưng nếu bạn đọc kĩ thì thông tin cũng sẽ rất chung chung hoặc lệnh hẳn về 1 sản phẩm nào đó. Nếu muốn có thảo luận sâu hơn thì bạn nên đưa ra một trường hợp cụ thể. Ví dụ như chạy database cho banking hay chạy database cho ứng dụng GIS chẳng hạn. Chẳng hạn như trong link của bạn đưa ra, thực chất tiêu đề của nó là "Migrate from MySQL or PostgreSQL to DB2 Express-C". Như vậy toàn bộ nội dung của nó là các khác biệt cần lưu tâm để phục vụ cho việc migrate từ MySQL/Postgre sang DB2. Những thông tin đó đưa ra khá mơ hồ và không bao quát.

PostgreSQL vs Oracle

K4i — GMT

vuleqng wrote:

Hiện nay mình đang cần một vài so sánh về PostgreSQL và Oracle. Các tiêu chí so sánh gồm có : - Các công nghệ riêng (một vài nổi bật). - Triển khai trong thực tiễn (nơi thường được triển khai, việc triển khai khó dễ thế nào, việc bảo trì, vận hành, tiền dịch vụ, ... etc). - Độ ổn định trong thời gian dài. - Tính dễ mở rộng. - Sự thích ứng và hỗ trợ các application. ... etc, còn vài tiêu chí nào nữa thì các bạn có thể bổ sung vào. Rất cám ơn các bạn đã tham gia vào đọc topic.

So sánh để làm gì? Bạn định lựa chọn cho ứng dụng nào?

(HVA News) Lỗi bảo mật nghiêm trọng của MySQL - CVE-2012-2122

K4i — GMT

Vào hôm thứ bảy (ngày 9/06) Sergei Golubchik đã gửi một thông báo về lỗi bảo mật cực kì nghiêm trọng mới được phát hiện của MySQL / MariaDB lên mailling-list OSS. Lỗi bảo mật này (với định danh CVE-2012-2122) cho phép kẻ tấn công có thể đăng nhập vào hệ quản trị cơ sở dữ liệu MySQL/MariaDB với một tài khoản bất kỳ tồn tại trên hệ thống mà không cần biết mật khẩu cuả user đó. Tuy nhiên, rất may mắn là lỗi này chỉ xuất hiện trên một số nền tảng nhất định với xác suất vào khoảng 1/256. Trong đó, các phiên bản MySQL/MariaDB được phân phối theo các Linux distro sau đã được xác nhận có lỗi này: Ubuntu Linux 64-bit ( 10.04, 10.10, 11.04, 11.10, 12.04 ) ( via many including @michealc ) OpenSuSE 12.1 64-bit MySQL 5.5.23-log ( via @michealc ) Fedora 16 64-bit ( via hexed ) Arch Linux (unspecified version) Cũng theo Sergei, phiên bản binary chính thức được phân phối trên trang chủ của MySQL/MariaDB không bị ảnh hưởng bởi lỗi này. Tính đến thời điểm hiện tại, lỗi trên đã được khắc phục trong mã nguồn của MySQL và sẽ sớm có các bản vá cho từng distro. Đề nghị từ phía HVA 1- Hãy kiểm tra lại MySQL/MariaDB của mình đang chạy. Hãy đảm bảo là service của MySQL/MariaDB không được "phơi mặt" ra ngoài Internet. Hoặc chỉ cho phép các IP đáng tin cậy được truy cập vào hệ thống (nhanh nhất là sử dụng iptables hoặc tcpwrapper) 2- Kiểm tra lại các bản vá bảo mật mới nhất của distro mà mình đang sử dụng. Hãy vá nhanh nhất ngay khi có thể. Lời cuối: Đây là một lỗi bảo mật được HD Moore mô tả là "Bi kịch" và cực kì "Hài hước". Bản thân tôi khi nhìn xong PoC cũng đã phải phì cười. Còn bạn, nếu muốn hãy thử (và tự chịu trách nhiệm về hành vi của mình) Code:

$ for i in `seq 1 1000`; do mysql -u root --password=bad -h 127.0.0.1 2>/dev/null; done

K4i - HVA News Biên tập: nlfb