[Ασφάλεια] Απορίες στις ασκήσεις 2015-2016

[Thmmy.gr portal]

  Thmmy.gr portal
   Forum
   Downloads
   Ενεργ. Λογαριασμού
   Επικοινωνία
  
  Χρήσιμα links
   Σελίδα τμήματος
   Βιβλιοθήκη Τμήματος
   Elearning
   Φοιτητικά fora
   Πρόγραμμα Λέσχης
   Πρακτική Άσκηση
   Ηλεκτρονική Εξυπηρέτηση Φοιτητών
   Διανομή Συγγραμμάτων
   Ψηφιακό Καταθετήριο Διπλωματικών
   Πληροφορίες Καθηγητών
   Instagram @thmmy.gr
   mTHMMY
  
  Φοιτητικές Ομάδες
   ACM
   Aristurtle
   ART
   ASAT
   BEAM
   BEST Thessaloniki
   EESTEC LC Thessaloniki
   EΜΒ Auth
   IAESTE Thessaloniki
   IEEE φοιτητικό παράρτημα ΑΠΘ
   SpaceDot
   VROOM
   Panther
  

THMMY.gr Web

Helios_MultiScribbles2SMF Default ThemeSMFone_Blue

[Ανεβάζετε τα θέματα των εξετάσεων στον τομέα Downloads]

Είσαι πρωτοετής;... Καλώς ήρθες! Μπορείς να βρεις πληροφορίες εδώ. Βοήθεια για τους καινούργιους μέσω χάρτη.

Κατεβάστε εδώ το Android Application για εύκολη πρόσβαση στο forum.

Ανεβάζετε τα θέματα των εξετάσεων στον τομέα Downloads με προσοχή στα ονόματα των αρχείων!

[12:00-13:30]

Η γραμματεία είναι ανοιχτή καθημερινά 12:00-13:30

[olgatsim]

Δεν παίζει να αναφέρεται σε κάποια από τις άλλες ΒΔ.

Δηλαδή τι? Πρέπει να εμφανίσουμε τα στοιχεία μια ΒΔ και θέλει της sql1. Τέτοια δεν φαίνεται να υπάρχει... Αλλά υπάρχουν οι mysql, sqlinjection και INFORMATION_SCHEMA και κάτι παρόμοιο... :/

[gmtms]

Οι information_schema. mysql, performance_schema είναι utility databases
Η sqlinjection είναι η μόνη που μένει και είναι αυτή που καλεί η 127.0.0.1/sql.php

[vlad]

Δεν παιζει να ανεβασει καποιος τα αρχεια ρε παιδια; Δεν ειναι το πιο ευχαριστο πραγμα να κατεβασω το VM.

[gmtms]

Δεν είναι τόσο απλό, πρέπει να τα hostάρεις κιόλας ως localhost και να τα συνδέσεις και με τις db που αναφέρουν..

[Conflict]

Η ακολουθη διευθυνση που αναφερει για να κατεβασουμε το VM που ειναι?

[xameno kormi]

Λίγο άσχετη ερώτηση, αλλά επειδή μου έχουν βγει τα μάτια στο virtual machine έψαξα πως να κάνω μεγιστοποίηση το παράθυρο στο internet και τίποτα από αυτά που λένε δε βοήθησε, έχει καταφέρει κανείς να το κάνει σε πλήρη οθόνη;

Το βρήκα σήμερα!   Το αλλάζεις από τα system settings των UBUNTU, όχι από τις ρυθμίσεις του Virtual Box. System Settings -> Displays και διαλέγεις ότι σε βολεύει...  

εμενα μ εχει την built-in display μονο στις επιλογες , δλδ 640 x 480 ..πειραξες κ τπτ αλλο  ?

[night.atk]

Για να μεγαλώσει η οθόνη στο VM πας στο μενου Devices --> Insert Guest Additions CD Image, κάνεις εγκατάσταση τα updates που σου λέει και μετά στο μενού View --> Virtual Screen 1 επιλέγεις το μέγεθος της οθόνης που θέλεις. Επισυνάπτω και δυο screenshots.

Για το VM έβγαλε ανακοίνωση αλλά ξεχασε να βάλει το λινκ, το οποίο είναι --> https://drive.google.com/folderview?id=0BzB7U5xx-HIDczNzWjlQQU5MU00&usp=sharing

Το πρώτο κομμάτι δεν ειναι δύσκολο, με μια σχετικά απλή αναζήτηση για SQL Injection μπορεις να το κανεις σχετικά γρήγορα. Το θέμα μου ειναι με το 2ο κομμάτι της εργασίας που ζητάει με script να διαβάσεις τα bookmarks του χρήστη, κάτι το οποίο δεν γίνεται με Javascript για λόγους ασφαλείας. Υπάρχει κάποιος που το έχει κάνει να δώσει κανα hint?      

[gmtms]

κάτσε, κατάφερες να κάνεις και insert δεδομένα στη ΒΔ;

[Conflict]

Αυτα τα additions ειναι μόνο για Windows?
Γιατι σε Ubuntu που προσπαθώ δεν φαινεται να κάνουν τπτ...

[orestisf]

Λίγο άσχετη ερώτηση, αλλά επειδή μου έχουν βγει τα μάτια στο virtual machine έψαξα πως να κάνω μεγιστοποίηση το παράθυρο στο internet και τίποτα από αυτά που λένε δε βοήθησε, έχει καταφέρει κανείς να το κάνει σε πλήρη οθόνη;

Το βρήκα σήμερα!   Το αλλάζεις από τα system settings των UBUNTU, όχι από τις ρυθμίσεις του Virtual Box. System Settings -> Displays και διαλέγεις ότι σε βολεύει...  

εμενα μ εχει την built-in display μονο στις επιλογες , δλδ 640 x 480 ..πειραξες κ τπτ αλλο  ?

εγω το εφτιαξα ως εξης:

Code:

sudo apt-get install virtualbox-guest-dkms virtualbox-guest-x11
sudo apt-get remove libcheese-gtk23
sudo apt-get install xserver-xorg-core
sudo apt-get install -f virtualbox-guest-x11
sudo reboot

[xameno kormi]

τνξ και στους 2 , λυθηκε με τον απο πανω τροπο τελικα !

[night.atk]

κάτσε, κατάφερες να κάνεις και insert δεδομένα στη ΒΔ;

Ουτε καν, ετσι οπως ειναι δομεμενη η βαση δεν μπορεις να κανεις stacked queries για να κανεις insert δεδομενα. Σκεφτηκα με sqlmap, να κανεις upload shell στον υποτιθεμενεο server και να κανεις μετα insert apo mysql στο shell αλλα δεν με ψηνει να ασχοληθω παραπανω. Εχει κανει κανεις αλλος το 1ο ολοκληρο  κ το 2ο να μας πει πως? (Γενικα παντως τραγικος ο τυπος, καμια σχεση με περσυ το μαθημα)

[gmtms]

αυτό ακριβώς
είμαι 99% βέβαιος πως από όλη την εργασία, μόνο το πρώτο υποερώτημα του πρώτου ερωτήματος είναι υλοποίησιμο

πάντως, το να χρησιμοποιήσεις utility ή να αλλάξεις το script της σελίδας δουλεύουν αλλά δε συμφωνούν με την εκφώνηση, η οποία λέει αυστηρά να κάνουμε ότι κάνουμε με sql injection επί του δοθέντος site..

[olgatsim]

αυτό ακριβώς
είμαι 99% βέβαιος πως από όλη την εργασία, μόνο το πρώτο υποερώτημα του πρώτου ερωτήματος είναι υλοποίησιμο

πάντως, το να χρησιμοποιήσεις utility ή να αλλάξεις το script της σελίδας δουλεύουν αλλά δε συμφωνούν με την εκφώνηση, η οποία λέει αυστηρά να κάνουμε ότι κάνουμε με sql injection επί του δοθέντος site..

Η αλήθεια είναι ότι στις διευκρινήσεις λέει ότι μπορούμε να τροποποιήσουμε το php όπου είναι απαραίτητο.. Αλλά αυτό σε τι βαθμο; Γιατί το αλλάζω και ολόκληρο αν είναι και απλά κάνω αυτό που θέλω να κάνω χωρίς SQL injectiοn...  Δεν το έκανε κανείς να μας εξηγήσει... 

[night.atk]

αυτό ακριβώς
είμαι 99% βέβαιος πως από όλη την εργασία, μόνο το πρώτο υποερώτημα του πρώτου ερωτήματος είναι υλοποίησιμο

πάντως, το να χρησιμοποιήσεις utility ή να αλλάξεις το script της σελίδας δουλεύουν αλλά δε συμφωνούν με την εκφώνηση, η οποία λέει αυστηρά να κάνουμε ότι κάνουμε με sql injection επί του δοθέντος site..

Η αλήθεια είναι ότι στις διευκρινήσεις λέει ότι μπορούμε να τροποποιήσουμε το php όπου είναι απαραίτητο.. Αλλά αυτό σε τι βαθμο; Γιατί το αλλάζω και ολόκληρο αν είναι και απλά κάνω αυτό που θέλω να κάνω χωρίς SQL injectiοn...  Δεν το έκανε κανείς να μας εξηγήσει... 

Αντε ρε τον ηλίθιο, διευκρινήσεις 4 μέρες μετά. Πόσο δυσκολο είναι να ψαξεις λιγο μόνος σου και να φτιαξεις ενα σωστό php αρχείο για sql injection. Έχει ένα εκατομμύριο tutorials και sites, τι ειχε να κάνει δηλαδή? Τωρα θα το κανεις το php το αρχειο όπως θες και να τελειώνει, δεν μπορεί να σου πει κατι. Που μπλέξαμε δες