Authoradmin

Software and Tutorial Links

IPTables
Linux firewall with packet string-matching support
http://www.securityfocus.com/infocus/1531
Firewall scripts
http://linuxfirewall.start.bg/
http://www.puschitz.com/FirewallAndRouters.shtml
Debian Kernel how-to
http://myfreesoft.net/phpBB2/viewtopic.php?t=52 * in Bulgarian *
Source: http://www.howtoforge.com/forums/showthread.php?t=21
http://www.howtoforge.com/kernel_compilation_debian
Active Ports (Windows)
http://www.microsoft.com/technet/sysinternals/Networking/TcpView.mspx
Security and Audits Checks & updates
http://sourceforge.net/projects/advchk
RedHat – http://www.redhat.com/spacewalk/

Avoid common mistake in web programming

WebGoat

WebGoat is a deliberately insecure J2EE web application designed to teach web application security concepts

WebGoat is java web application which can show you a lot of the web attacks that can be performed on your website. It is a must have for all web developers.

You can download it from sourceforge or from google

The package contains a tomcat server and you can run it from the distribution. But in my case there was only windows configuration files so I have to take the war file and put in the standalone tomcat installation. Also move the permissions for the roles/users to my tomcat installation.

After manage to run it you will need some sniffer/proxy to monitor the requests. I have tried it with WebScarab but there is another one here and this one here

  • Run WebGoat in tomcat
  • Run you proxy/sniffer/pluging or what ever monitoring tool.
  • Start your browser
  • Setup your browser to use the proxy in case you choose to use proxy
  • Redirect your browser to WebGoat application (http://127.0.0.1:8080/WebGoat/attack )

You are ready to pass all the tests. Here are the options extracted from the lates WebGoat version:

  • Admin Functions
  • General
  • Code Quality
  • Concurrency
  • Unvalidated Parameters
  • Access Control Flaws
  • Authentication Flaws
  • Session Management Flaws
  • Cross-Site Scripting (XSS)
    • Phishing with XSS
    • LAB: Cross Site Scripting
    • Stage 1: Stored XSS
    • Stage 2: Block Stored XSS using Input Validation
    • Stage 3: Stored XSS Revisited
    • Stage 4: Block Stored XSS using Output Encoding
    • Stage 5: Reflected XSS
    • Stage 6: Block Reflected XSS
    • Stored XSS Attacks
    • Cross Site Request Forgery (CSRF)
    • Reflected XSS Attacks
    • HTTPOnly Test
    • Cross Site Tracing (XST) Attacks
  • Buffer Overflows
  • Injection Flaws
    • Command Injection
    • Blind SQL Injection
    • Numeric SQL Injection
    • Log Spoofing
    • XPATH Injection
    • LAB: SQL Injection
    • Stage 1: String SQL Injection
    • Stage 2: Parameterized Query #1
    • Stage 3: Numeric SQL Injection
    • Stage 4: Parameterized Query #2
    • String SQL Injection
    • Database Backdoors
  • Improper Error Handling
  • Insecure Storage
  • Denial of Service
  • Insecure Configuration
  • Web Services
  • AJAX Security
  • Challenge

Prevent DOS attacks with apache2

The apache module that will do the job is called mod_dosevasive. The installation is easy.

Configure the apache2

Edit your httpd.conf (usually located in /usr/local/apache/conf/httpd.conf):
Add:

<IfModule mod_dosevasive20.c>
  DOSHashTableSize 3097
  DOSPageCount 2
  DOSSiteCount 50
  DOSPageInterval 1
  DOSSiteInterval 1
  DOSBlockingPeriod 10
  DOSEmailNotify someuser@somedomain.com
  DOSSystemCommand "/dir/command  %s"
</IfModule>


Then you can restart

  • /etc/init.d/apache2 restart

Be carefull because the options are extremly important. For example if your web application use one file as a controller all the requests will go to this file you will got very often such errors:

client denied by server configuration

Here is a short help on the configuration options

- DOSHashTableSize: is the size of the table of URL and IP combined
- DOSPageCount: is the number of same page requests from the same IP during an interval that will cause that IP to be added to the block list.
- DOSSiteCount: is the number of pages requested of a site by the same IP during an interval which will cause the IP to be added to the block list.
- DOSPageInterval: is the interval that the hash table for IPs and URLs is erased (in seconds)
- DOSSiteInterval: is the intervale that the hash table of IPs is erased (in seconds)
- DOSBlockingPeriod: is the time the IP is blacked (in seconds)
- DOSEmailNotify: can be used to notify by sending an email everytime an IP is blocked
- DOSSystemCommand: is the command used to execute a command when an IP is blocked. It can be used to add a block the user from a firewall or router.
- DOSWhiteList: can be used to whitelist IPs such as 127.0.0.1

Актуална карта за IGO на България

ВСИЧКИ GPS устройства, които се продават в България трябва да вървят с включена в цената карта на България – уви това в момента не е така.

Освен това би било редно при покупката на ново устройство да можеш да започнеш да го ползваш с актуални карти от момента на закупуването му или да можеш да ги обновиш до датата на закупуване на устройството.

И тъй като аз не можах да се размина от това да стана “специалист” по PNA устройства ще се опитам в този пост да помогна на ощетените потребители на IGO в България.

Така, че като купувайте гледайте версията на картата!

Малко бележки по качването на IGO 8 в/у Prestigio 350

  • Първо си намирате IGO8 PNA
  • Карта поне 2гигабайта
  • Копирате го иго-то там.
  • слагате Autorun.inf файл на SD картата и вътре в него
  • navigation=\MMC_Storage\igo\igopna.exe
  • Евентуално да смените резолюцията от sys.txt

В никакъв случай не patch-вайте или пипайте IGO-то на самото устройство, следват псувни…

sys.txt

ако е екрана не е 480х272 трябва да стане на 320х240;
също така ако е казано, че е за друго PNA може да се наложи да си изкопираш настройките за гпс-а boud rate и разните му там други от оригиналният ти sys.txt

За 350 prestigio e:
[gps]
port=5
baud=9600
Ако имаш проблеми със звука в SYS.txt слагаш тези редове:
[sound]
queue_length=200

[rawdisplay]
class=”portrait”
обръща екрана, но с хоризонталните картинки и става мазало Smile
трябва да намерим съответните файлове от data.zip\ui_igo8\240_320\*.*

В SYS.txt файла му укажи в коя директория ти е ексето в ред:
[folders]
app=”%SDCARD%/iGO8″
app=”%FLASH_STORAGE%/IGO8″
Преди да я стартираш наново , ако имаш папка “save”я изтрий.

Карти

Линкове за актуални карти за целият свят включително и за България можете да си намерите от форумите на 4pda.ru и по специално от:

менюта

Самата програма

За HTC Diamond инсталация (браво момчета).

И темата която ме шашна с това че и в България може да е като в Русия:

http://forum.pocketbulgaria.com/viewtopic.php?t=15468

Описание на файловете

3dc – 3D cities
3dl – 3D landmarks
DEM – digital elevatiom model


УПЪТВАНЕ ЗА КОНВЕРТИРАНЕ НА ЛИЧНИТЕ СИ POI КОИТО СМЕ
ЗАПАМЕТИЛИ В НАШЕТО PDA, PNA

взето от http://forum.pocketbulgaria.com/viewtopic.php?t=21244


1. Файла който ни трябва от нашето устройство е user.upoi, който си го създава програмата сама, когато по картата създадеш собствен POI. Намира се в

\iGO8\save

Тя е различна по структура от kml файловете и за това неможе да се преименува и да се използва като готов KML фаил.

2. Зареждате тази страничка и след много кратка първоначална регистрация вече може от лявата страна да избирате необходимите ви опции.

3.Отивате от ляво в Import след което бутона Browse… и му показвате пътя до необходимия ви файл. Може да се импортват:

Google Earth (*.KML)
iGO POI Explorer CSV (*.CSV)
iGO 8 user edited (*.UPOI)
iGO 8.3 user edited (*.UPOI)

След като натиснете Upload се зареждат и долу в ляво browse by groups се появява директория с името на Вашите POI. След като щракнете на тях те се отварят и може да ги видите, редактирате (бутона за редактиране е в най-ляво на екрана и при мен едва се вижда), добавяте нови.

4.След като приключите работа с тях, пак горе в ляво избирате Export който може да е в:

Google Earth (*.KML)
iGO POI Explorer CSV (*.CSV)
iGO 8 user edited (*.UPOI)
iGO 8.3 user edited (*.UPOI)

и натискате Download записвате го на компютъра си и след което го споделяте с нас Very Happy

Първи впечатления от GPS

Щастлив собственик съм на Prestigio. Въпреки, че вообще не ми се занимаваше успях да кача най-новата карта за България на IGO в PNA-то и потеглих с колата към Чепеларе през междинен пункт POI-то Беленташ.

Навигацията беше безупречна. В Асеновград пътя, по който трябваше да минем беше затворен за ремонт, но бързо се оправихме по обходен маршрут благодарение на IGO.

С изкачването на баирите и отдалечаване от населените места картата ставаше все по-неточна. В един момент пътя изчезва и започваш да се движиш в празното пространство. Този ефект го получих при Беленташ-а, при Кръстова гора и вообще във всичките ми крайни точки, които разбира се бяха доста отдалечени от населени места.

Това, че пътя просто свършваше вообще не ми попречи, защото за мой късмет пътищата не се разклоняваха и водеха до едно и също място.

Единственото място където картата (от 2008-01) се издъни много гадно беше като се опита да ме прекара през един много черен път от Смолян към Могилица. Въпреки, че му бях задал да не използва черни пътища, така ни оплете че видяхме не една а три Могилици на куп в махалите на с. Турян, който между другото местните го наричат Турен.

С GPS-а не мисля къде съм и кога трябва да завия. Горещо препоръчвам на всички да ползват GPS. Кефиш се като знаеш кога ще пристигнеш и винаги знаеш колко още остава.

Registering in DMOZ/Bulgaria

Update

Nor dmoz is alive nor my site up anymore…

I am curious to see how much time will take to register my website in DMOZ. My website is old and has thousands of visits per day.

Till now I don’t have site included in DMOZ just because all my requests were silently ignored.

Now I will keep track on this registration with the help of my blog.

I have registered the website in all the categories that are suitable for it, here and here

I have heard that google likes DMOZ but I never suppose that google like DMOZ so much that it uses information from there check this google page.

  • Date of the registration: May 4th, 2008
    • I am optimistic! Finaly I think that I have point the right categories.
  • Checkpoint: 8 June, 2008
    • No results….Getting nervous and pesimistic
    • I have read here that one of the editors has waiting second registration for an entry to publish it. lets do it

I will give one more month for the Bulgarian editors before I say something bad against them.

Please help me to NOT curse the Bulgaria Internet.

www.cenite.com is the biggest price monitoring website in Bulgaria.

It is online from 4 years and STILL is no-one has included it in DMOZ even I have write sevaral times.

The Bulgarian version of DMOZ in my opinion is compromized!

Another try in this category here, I hope that this time the editor will not accept only friends.

Another finger for the DMOZ/bulgaria editors. Today I found this nice URL

http://report-abuse.dmoz.org/

I will use it.  Here is the FAQ

GENIUS!

Save your eyes, the planet, and …funds for a new monitor

http://blackle.com/

vino server password fix

Gnome has easy to use remote desktop feature provided by the vino server.

It was time taking for me to find why the password authentication doesn’t work, and aways rejects my passwords.

  • I have used the screen System => Preferences => Remote Desktop to change the password.
  • I have tried  also to change/hash it directly in ~/.gconf/desktop/gnome/remote_access/%gconf.xml

But it doesn’t work because I have another version of VNC server installed on my Ubunto box. When I have removed the ~/.vnc directory vino-server manage to login with the passwords

Database migration from cp1251 -> utf8

It was time to migrate http://www.cenite.com database from cp1251 -> utf8, I have prepared one nice script which will show you step by step the commands that you should run in order to migrate your database.

Copy the content to cp1251toUTF8.sh or use the commands manually

The script is making echo instead of running the commands because this will give you a chance to fix an error if occurs.

#!/bin/bash
echo "Set the params in the script and you will get the commands that you must run in order to get your database converted"

SOURCE_DATABASE=source_database_name
TARGET_DATABASE=new_database_name

USER=router
HOST=mysql.spider.bg

# ----------------------------------- No need to touch bellow
echo -e  "\n\n# Lets export the source database"
echo "mysqldump -u $USER -p -h $HOST --default-character-set=cp1251 --max_allowed_packet=64M $SOURCE_DATABASE > db1.sql"

# recode latin1..utf8 or what ever...
echo -e "\n\n# Lets convert it"
echo "recode -v -f windows-1251..UTF-8 < db1.sql > db2.sql"

echo -e "\n\n# Lets replace some sql creation statements. maybe you will want to do it manually"
echo perl -pi -e "s/cp1251/utf8/g" db2.sql
echo perl -pi -e "s/utf8_bulgarian_ci/utf8_general_ci/g" db2.sql

echo -e "\n\n# Lets create the target database"
echo mysql -u $USER -p -h $HOST mysql -e \"drop database $TARGET_DATABASE\; CREATE DATABASE $TARGET_DATABASE CHARACTER SET utf8 COLLATE utf8_general_ci\";

echo -e "\n\n# Lets do the initial import"
echo "mysql -u $USER -p -h $HOST $TARGET_DATABASE --max_allowed_packet=64M --default-character-set=utf8 < db2.sql"

As a bonus here is a command with which you can convert an all your html pages to utf8 also

find . -name '*.html' -exec recode -v -f windows-1251..UTF-8 \{\} +

This would recursively find all htmls in the current directory.

How to detect character sets

http://linux.die.net/man/1/enca

Migrating Latin1 -> UTF8

We have the mistake to enter all the data in the database (utf8) without setting the right connection encoding (set names utf8). In this case our content is stored as latin1 characters in the utf8 database.

Here is the magic that fixes the encoding found by my bright colleague bl8cki

alter table articles convert to character set latin1;
alter table articles change content content blob;
alter table articles change title title blob;
alter table articles change author author blob;
alter table articles change content content text character set utf8;
alter table articles change title title text character set utf8;
alter table articles change author author text character set utf8;

here is an example

mysql> CREATE TABLE `articles` (`id` int(11) NOT NULL auto_increment,   `title` mediumtext, PRIMARY KEY  (`id`) ) ENGINE=MyISAM AUTO_INCREMENT=10313630 DEFAULT CHARSET=utf8;
Query OK, 0 rows affected (0.00 sec)

mysql> set names latin1;
Query OK, 0 rows affected (0.00 sec)

mysql>  insert into articles (title) values('закъсал');
Query OK, 1 row affected (0.00 sec)

mysql> alter table articles convert to character set latin1;
Query OK, 1 row affected (0.01 sec)
Records: 1  Duplicates: 0  Warnings: 0

mysql> alter table articles change title title blob;
Query OK, 1 row affected (0.01 sec)
Records: 1  Duplicates: 0  Warnings: 0

mysql> alter table articles change title title text character set utf8;
Query OK, 1 row affected (0.00 sec)
Records: 1  Duplicates: 0  Warnings: 0

mysql> set names utf8;
Query OK, 0 rows affected (0.00 sec)

mysql> select * from articles;
+----------+----------------+
| id       | title          |
+----------+----------------+
| 10313630 | закъсал        |
+----------+----------------+
1 row in set (0.00 sec)

As the example shows it works with cyrilic (pasted in utf8) !

© 2024 Gudasoft

Theme by Anders NorénUp ↑