Знакомый пхпшник работает со Штатами на удалёнке. Соответственно работает ночью. Как-то зашёл к нему в гости, разумеется, с бухлом, кудаже без него :) И что-то мы с ним так засиделись хорошо, аж до будильника. А на будильнике у него время - 4.04 утра... Говорил, как-то по приколу поставил, да так и пошло.
О том, как написать Web GUI для HAProxy, мы уже говорили в двух статьях (1 и 2). С момента публикации последней статьи прошёл год; сейчас, по прошествии времени, очевидно, что о многих вещах (важных и полезных) мы так и не рассказали подробно. Сегодня мы возвращаемся на Пикабу - и постараемся публиковать статьи на более или менее регулярной основе. В этих статьях мы подробно расскажем о специфике работы c Roxy-WI, о возможностях и преимуществах нашего решения. Начнём с набора функций, о котором мы в предыдущих статьях упоминали, но мало. Речь идёт о работе с конфигурационными файлами.
С помощью Roxy-WI можно работать с конфигурационными файлами для трёх сервисов: HAProxy, Nginx и Keepalived. Через веб-интерфейс пользователи могут выполнять следующие операции:
1. редактировать конфигурационные файлы;
2. визуализировать структуру сети;
3. сравнивать текущую версию конфигурационного файла с предыдущей;
4. сохранять все предыдущие версии конфигурационных файлов и откатываться на старую версию в случае необходимости;
Рассмотрим каждую из этих функций подробнее.
Зачем вообще редактировать конфигурационные файлы через веб-интерфейс?
Такой вопрос может возникнуть у многих читателей. Действительно, многие из нас привыкли работать с конфигурационными файлами в текстовом редакторе, и никаких сложностей в этом на первый взгляд нет. Но есть нюансы. Начнём с того, что конфигурационный файл может иметь очень сложную структуру. Сориентироваться в нём бывает сложно, особенно начинающему пользователю. В графическом интерфейсе Roxy-WI всё просто и наглядно. Возьмём в качестве примера конфигурационный файл для HAProxy. Итак, выбираем в главном меню HAProxy => Configs, в выпадающем меню выбираем нужный сервер и нажимаем на кнопку Open. После этого видим такую картину (приводим небольшой фрагмент конфига, секции global и defaults):
Всё вполне понятно; если кликнуть по ссылке Edit, откроется форма для редактирования:
После внесения изменений можно нажать на кнопку Check config и проверить конфигурационный файл на наличие синтаксических ошибок.
Для начинающего пользователя HAProxy (а также Nginx и Keepalived) на таком интерфейсе очень хорошо учиться. Опытному пользователю графический интерфейс поможет не запутаться в сложных конфигах и тем самым снизить вероятность ошибок из-за человеческого фактора.
Ещё Roxy-WI может существенно упростить жизнь, если серверов много: все конфиги можно редактировать в одном месте. Если вы изменили конфиг на master-сервере и применили одно из указанных на кнопках со скриншота выше действий, аналогичные изменения произойдут и на slave-сервере.
Визуализация
Просто читая конфигурационный файл HAProxy, не всегда можно сразу представить, а как именно всё устроено. Именно для этого в Roxy-WI предусмотрена функция визуализации. Выбираем нужный сервер, нажимаем на кнопку Map и видим:
Такая возможность очень полезна для всех, кто только учится работать с HAProxy.
Кроме того, она может очень пригодится в ситуации, когда нужно что-то наглядно объяснить коллегам, которые с HAProxy вообще дела не имели или имели, но очень мало (менеджерам, тестировщикам. техническим писателям и многим другим — здесь возможны варианты).
Работа с версиями
Представьте себе такую гипотетическую ситуацию: вы что-то изменили в конфиге, и нужный вам сервис (тот же HAProxy или Nginx) не запускается. Для таких случаев в Roxy-WI предусмотрена возможность сравнения конфигурационных файлов.
Выбираем нужные версии, нажимаем на кнопку Compare — и на видим diff двух конфигов. Выглядит он так же, как дифф файлов на GitHub:
Функция сравнения также может пригодиться в случаях, когда доступ к конфигурационным файлам имеют несколько человек: можно довольно быстро установить, кто, когда и что изменил.
Так как Roxy-WI сохраняет все версии конфигурационных файлов, то в случае возникновения неисправностей всегда можно откатиться на предыдущую версию. Например, если после изменения конфига возникли ошибки, вы можете откатиться на старую (рабочую) версию, и сервисы будут доступны, пока вы ищете и исправляете ошибки в новой.
Набор функций по работе с версиями мы планируем расширять. В Roxy-WI серверы могут получать статус protected. Для этих серверов мы планируем сделать следующее:, полноценное редактирование будет доступно только администраторам, а остальные пользователи смогут только предагать изменения. После проверки админом эти изменения могут быть или приняты, или отклонены — принцип такой же, как при работе с мердж-реквестами на GitHub.
Заключение
В этой статье мы рассказали о возможностях работы с конфигурационными файлами через Roxy-WI. Приглашаем всех попробовать и приводим полезные ссылки:
https://roxy-wi.org/ - официальный сайт проекта (здесь же документация);
https://github.com/hap-wi/roxy-wi - официальный репозиторий проекта.
Любые пожелания по улучшению работы с конфигурами приветствуются - добро пожаловать в комментарии.
Привет, вот настала и моя очередь благодарить @prodigal.son :)
В программировании у меня ббыл опыт, но очень нерелевантный, писал для себя на питоен разные задачки, с друзьями-школьниками делали разные проекты
На пост об обучении руби наткнулся случайно - дело в том, что я уже давно забил на пикабу, но в обсуждении к курсам по питону на другом сайте кто-то скинул ссылку - и так я познакоммился с руби)
В чате в телеграме хорошая атмосфера, там же прикреплен и план обучения, по которому я и шел, но справелвости ради - это только старт, начало. В интернете полно более углубленного материала, который неободимо будет изучить.
Самым главным плюсом были пожалуй созвоны с Димой - у нас их было штук 5-6, но за эти звонки узнаешь просто тонну информации, лучших практик, ибо некоторые вопросы просто нереально загуглить, а некоторые сложные термины с википедии Диме удавалось объяснять максимально простым, человеческим языком
Ооо, еще у же были репетиции собеседований где я плавал, но в итоге смог добиться более менее успехов в ответах и многие вопросы мне в будущем задали и на реальном интервью. Сейчас прохожу стажировку, надеюсь все будет в порядке и пройду на джуна, ибо конкуренция конечно огромна, время терять никак нельзя, как говорится "движение - это жизнь"
Автору огромное спасибо, до сих пор иногда удивляюсь, как случайности могут повлиять на жизнь.
Вы там как, готовы к осенним распродажам? Чтобы не пропустить самые интересные и выгодные предложения, подпишитесь на полезный телеграм-канал Пикабу со скидками. Да, Пикабу не только для отдыха и мемов, но и для экономных покупок!
В «Пикабу Скидки» вы найдете актуальные предложения:
• доставки еды (KFC, Delivery Club, «Папа Джонс»);
• книги («Читай-город», «Литрес», Storytel);
• услуги и сервисы («Делимобиль», Boxberry, «Достависта»);
• маркетплейсы и гипермаркеты (Ozon, «Ашан», «Яндекс.Маркет»);
• одежда и обувь (Adidas, ASOS, Tom Tailor)
• бытовая техника и электроника («М.Видео», «Связной», re:Store);
• товары для дома (IKEA, «Леруа Мерлен», Askona);
• косметика и парфюмерия («Л’Этуаль», «Иль де Ботэ», Krasotka Pro);
• товары для детей («Детский мир», MyToys, Mothercare);
• образование («Нетология», GeekBrains, SkillFactory);
• аптеки и здоровье (Linzi.ru, iHerb, интернет-аптека 36,6);
• и еще куча-куча всего.
Этот пост является продолжением цикла записей, где я помогаю пикабушникам учить программирование.
Поскольку мои некоторые подписчики уже доучились до уровня стажера/младшего разработчика то самое время рассказать про плохих работодателей. Все нижеописанное будет с позиции личного опыта работы удаленно.
Важно понимать, что испытательный срок работает как в сторону работодателя так и в сторону разработчика. Компания оценивает вашу способность справляться с задачами вы оцениваете все то, что происходит внутри. Крепостное право давно отменили, по другому никак =) Поэтому уволиться после окончания испытательного срока или стажировки это совершенно нормальная практика.
И так ниже я опишу самые очевидные признаки показывающие что с компанией явно что-то не так и пора заняться обновлением своего резюме.
1. Ярко выраженная авторитарность.
Эта тема достойна отдельного поста. Давить авторитетом или "локальными корпоративными лычками" это не нормально. Хороший руководитель будет превосходить в технических/управленческих навыках настолько, что не останется сомнений что он, действительно, знает лучше как нужно делать и как делать не нужно.
2. Негативные отзывы сотрудников.
Тут важно учитывать мнение как работающих в этой компании людей так уже и уволившихся. Пообщайтесь с работниками этой компании в промежутках между собеседований. Узнайте их мнение, попросите совета как эффективнее пройти собеседования. Это очень хорошая практика, которая сэкономит много времени.
3. Нежелание представителей компании отвечать на вопросы о внутреннем устройстве во время собеседования.
Когда представитель отдела кадров интервьюирует вас, то, в конце диалога может спросить "У вас есть ко мне какие-то вопросы?". Не стесняйтесь их задавать. Это совершенно нормально. Чаще всего, на младших позициях, у вас будет испытательный срок 1-3 месяца. Обязательно уточните условия прохождения и провала испытательного срока. Как минимум вы будете знать что нужно делать а чего опасаться. Как максимум: если на этот вопрос вам не ответят - это звоночек, что испытательный срок - это просто опция платить поменьше за ту же работу.
4. Откровенное вранье.
У нас перспективная команда и проекты с узнаваемым именем, поэтому мы платим на n процентов ниже рынка
Такой подход - это путь в никуда. Если услышите что-то в таком духе, сразу уходите. Если проект действительно интересный и внутри много технологий, которые быстро прокачают вас - то об этом вы сразу узнаете при собеседовании с тимлидом. Его вопросы к вам, да и в целом уровень компетенции не оставит сомнений что тут можно чему-то научиться.
5. Наличие менеджера-попугая который раз в несколько часов спрашивает вас о состоянии задачи.
Сюда же, чаще всего, можно отвести и наличия тайм-трекера. Это звоночек, что руководство просто не понимает что происходит внутри, не собирается это исправлять и не умеет контролировать сотрудников. Хороший тимлид за несколько минут по истории коммитов определит кто работает а кто бездельничает. Так что, если из этого что-то есть, то это жирный минус для компании.
P.S. Завтра будет 15 месяцев, с момента как я этим занимаюсь. Все идет очень хорошо. Чатик канала живой, добавил в модераторы несколько опытных разработчиков. Теперь мы вместе помогаем новичкам расти.
Добро пожаловать всем желающим: https://t.me/LearnRubyForPikabu
Как вы думаете, что самое популярное в киберпространстве? Верно, это веб-приложения.
В этой статье будут приведены примеры, того как и с помощью каких инструментов можно вмешаться в работу практически любого веб-приложения.
Пока не наступит день, когда безопасность станет высшим приоритетом, мы будем продолжать обнаруживать SQL инъекции в веб-приложениях, и не останемся без работы.
Веб-приложения становятся все более популярны и заменяют традиционные компьютерные программы ускоренными темпами, в связи с чем возникают новые проблемы, связанные с безопасностью, когда любой желающий в интернете, даже не будучи технически подкованными, может реализовать эксплуатацию простейших уязвимостей. Один из наиболее распространенных и в то же время легко эксплуатируемых типов брешей в современных веб-приложениях – SQL инъекции.
Обычно веб-приложение хранит информацию не внутри себя, а в базе данных бэкэнда, когда запросы передаются в виде SQL кода, а затем запрашиваемые данные передаются обратно в приложение.
Что такое SQL инъекция?
SQL инъекция представляет собой технику для атаки на приложения, использующие базы данных, посредством отсылки вредоносного кода с целью доступа или модификации конфиденциальной информации в базе. Есть множество причин, почему эта уязвимость существует и так популярна, включая некорректную фильтрацию и обработку входных данных.
Подобный тип атаки позволяет получить конфиденциальную информацию, модифицировать существующие данные или даже полностью вывести из строя базу данных. Наиболее распространенный вектор – через входные данные (формы авторизации, текстовые поля, загрузку файлов и так далее).
Нашей целью будет Mutillidae, намеренно уязвимое веб-приложение, являющееся частью проекта Metasploitable 2 (уязвимая виртуальная линуксовая машина, используемая для тестирования и других практических целей). Мы будем подключаться к Metasploitable 2 из изолированной сети. В качестве рабочей системы будет использоваться Kali Linux.
Шаг 1. Установка виртуальной машины Metasploitable 2
Burp Suit – популярный инструмент, который можно использовать для автоматизации тестирования веб-приложений на предмет наличия разного рода уязвимостей. В Kali Linux присутствует по умолчанию. Но сначала нужно настроить целевую систему.
В качестве примера в этом руководстве будет использоваться виртуальная машина Metasploitable 2, которую можно скачать с сайта компании Rapid7. Также подойдет и любая другая уязвимая виртуальная машина. Установка ничем не отличается от установки обычных виртуальных машин в вашей системе.
При использовании уязвимых систем следует учитывать риски со стороны внешних сетей. Соответственно, если вы полностью не отключены от интернета, следует использовать трансляцию сетевых адресов (NAT) или режим host-only.
После того как всё настроено, авторизуйтесь в Metasploitable 2 (имя пользователя и пароль одинаковые msfadmin) и выясните IP адрес при помощи утилиты ifconfig (параметр inet addr у интерфейса eth0), который будет использоваться во время тестирования.
Шаг 2. Настройка приложения Mutillidae
После выяснения IP адреса виртуальной подключитесь к веб-серверу при помощи браузера. Я использую Firefox в Kali Linux.
Кликните на ссылку Mutillidae для входа в веб-приложение и зайдите в раздел OWASP Top 10. Выберите Injection (SQL), затем Extract Data, затем User Info. Появится форма авторизации.
Шаг 3: Настройка браузера для работы с Burp Suite
Теперь нужно настроить браузер для работы с Burp Suite, функционирующего в качестве прокси-сервера для перехвата и модификации запросов. Опять же я буду использовать Firefox, но для других браузеров весь процесс будет аналогичным.
В браузере зайдите в раздел Preferences, кликните на Advanced и зайдите во вкладку Network. Убедитесь, что в настройках соединения стоит «Manual proxy configuration» и введите адрес 127.0.0.1 в параметре HTTP Proxy и 8080 в параметре Port. Затем отметьте флажок Use this proxy server for all protocols и убедитесь, что ничего не указано в поле No Proxy for. Кликните на OK. Переходим к настройке Burp Suite.
Шаг 4. Перехват запросов при помощи Burp Suite
Откройте Burp Suite в Kali Linux, начните новый проект, а затем зайдите во вкладку Proxy и убедитесь, что нажата кнопка Intercept is on, чтобы мы могли изменять запросы, исходящие от веб-страницы и вставлять различные значения для тестирования SQL инъекции. На странице авторизации я ввел произвольное имя пользователя. Вы можете наблюдать чистый запрос, параметры, заголовки и даже информацию в шестнадцатеричной форме.
Нас интересует поле имени пользователя, которое мы будем изменять для тестирования SQL инъекции. Нажмите на кнопку Action, а затем на Send to Intruder. Альтернативный вариант: кликнуть правой кнопкой мыши в области запроса и выполнить те же самые операции.
Шаг 5. Настройка позиций и полезных нагрузок в Burp Suite
Далее зайдите во вкладку Intruder и кликните на Positions. Burp Suite автоматически конфигурирует позиции, куда вставляются полезные нагрузки во время отсылки запроса, однако поскольку нас интересует только поле username, нужно очистить все позиции, нажав кнопку Clear справа. Выделите значение, введенное в качестве имени пользователя, и нажмите на кнопку Add. Мы будем реализовывать атаку Sniper, когда в полезной нагрузке используется список значений (каждое – однократно).
После настройки позиции переходим к конфигурированию полезной нагрузки. Для работы с базой данных в SQL запросах могут использоваться различные операторы. Например, оператор SELECT предназначен для извлечения информации, и наш запрос, отсылаемый во время авторизации, выглядел бы примерно так:
SELECT username, password FROM users WHERE username='myname' AND password='mypassword';
Рассмотрим классическую команду в SQL инъекции 1=1--. Ниже показан запрос, формируемый после заполнения поля login.
SELECT username, password FROM users WHERE username='' or 1=1-- AND password='';
Фактически одиночные кавычки превращают первую часть в пустую строку, а выражение 1=1 всегда равно истине. Таким образом, условие для имени пользователя должно быть «пустым» или «истинным». Двойной дефис комментирует остальную часть запроса, и поле password игнорируется. Поскольку выражение «пустота» или «истина» всегда равно истине, а поле password игнорируется, база данных вернет информацию об учетной записи.
Кликните на вкладку Payloads и зайдите в раздел Payload Options. Пока будем использовать стандартные настройки. Здесь мы можем указать полезные нагрузки в виде простого списка, добавляя по одной или загрузив уже существующий список. В Kali есть несколько словарей, включая специально для тестирования SQL инъекций. Нажмите на кнопку Load и загрузите файл /usr/share/wordlists/wfuzz/injection/SQL.txt. Теперь всё готово для реализации нашего сценария.
Реализация атаки при помощи Burp Suite
Кликните на кнопку Start attack, после чего появится новое окно с отображением всего процесса. Здесь вы можете видеть состояние запросов, полезные нагрузки и статус. Будьте терпеливы, поскольку на отработку большого списка может потребоваться много времени.
После того как intruder завершит работу, можно посмотреть более подробную информацию, кликнув на нужный запрос.
Шаг 7. Анализ результатов работы Burp Suite
Нас интересуют ответы, полученные на определенные запросы. Каждый сделанный запрос возвращает код статуса 200, но зачастую, когда полезная нагрузка сработала успешно, вы увидите другой код. Обычно у успешного запроса длина ответа очень отличается от других ответов. Я выбрал запрос, содержащий SQL с выражение ' or 1=1 or "=', поскольку ранее уже тестировал эту инъекцию в ручном режиме и знаю, что эта уязвимость сработает.
Burp Suite полезен в том числе и потому, что вы можете отобразить веб-страницу, возвращаемую ответом, если зайдете во вкладку Response и кликните на Render. На рисунке ниже видно, что наша SQL инъекция выполнилась успешно, и теперь у нас есть перечень имен пользователей и паролей. Если бы мы работали с административной панелью, то получили бы учетную запись администратора со всеми вытекающими последствиями.
SQL инъекция в дикой природе
Хотя SQL инъекция уже давно известна как серьезная угроза, но продолжает оставаться как один из наиболее распространенных методов эксплуатации уязвимостей. Отчасти подобная ситуация происходит потому, что любой может собрать полуфункциональное веб-приложение и разместить в интернете. Даже профессиональные разработчики часто не придерживаются практик по написанию безопасного кода. В итоге мы и наблюдаем подобную ситуацию, когда Джимми собрал на коленке и выложил на всеобщее обозрение небезопасное приложение.
Чтобы лучше понимать SQL инъекции, вероятно, нужно выучить сам язык SQL. В конце концов, наилучший способ сломать что-либо – знать, как оно работает, и использовать эти знания в своих целях. При проведении тестов, как только вы найдете уязвимость и подберете рабочую полезную нагрузку, то можете настроить SQL для запуска собственных команд. Эта возможность позволяет выяснить структуру таблиц, модифицировать данные и даже обнаружить другие таблицы в базе данных. Как только вы действительно разберетесь с SQL, фактически, ваши возможности становятся безграничными.
Пока не наступит день, когда безопасность станет высшим приоритетом, мы будем продолжать обнаруживать SQL инъекции в веб-приложениях, и не останемся без работы.
P.S. Данная статья не является прямым руководством к действиям носящим вредоносный характер, все материалы предоставлены исключительно в ознакомительных целях. Любой взлом не принадлежащего вам веб-приложения и без прямых договоренностей с владельцем веб-приложения, является преступлением и преследуется по закону.
Нашел крутой, а главное бесплатный пак иконок для твоих проектов.) Архив прикрепил. Внутри все нужные файлы их можно перетащить в программу, которой ты пользуешься.
Форматы: Sketch, adobe xd, figma, ai, svg
Скачать: https://disk.yandex.ru/d/oFE1j-JU0CqjgQ
