תחומים - פורום חרדי מקצועי

רק מעדכן למקרה שעוד מישהו יחליט משום מה לצפות בקורס הזה מימות הקורונה.
קורס נחמד, מלמד על יסודות ההתקפה בצד הלקוח, או על חלק מהיסודות, ואיך ניתן להתגונן מהם,

ללמד את התחום? זה לא מלמד, אבל טוב בתור לפתוח את התיאבון לכל העולם של אבטחה, ושל פיתוח ווב באופן קצת יותר מאובטח, וכמובן צד שרת כדי שלא יזריקו לך sql, או js script ותשלח את זה הלאה למשתמש (xss)

למי שיש קצת חוש טכני, לחלוטין לא שווה את הכמה גיגות הורדה וזמן להתקנה של האתר שהובא כאן למעלה, זה סתם שורף זמן יקר. ובמקסימום להתקין מהגיטאב ש yossiz שלח פה למעלה, בענף 38, את הקוד פייתון לשרת http, ופשוט להריץ אותו (צריך להריץ גם db, אולי אפשר sqlite, לא בדקתי) במקום את הvm.

למי שאין וסתם יסתבך עם ההבנה של החומר מבלי לתרגל ממש באותו אתר שמלמדים בקורס, אולי שווה את ההתקנה המוזרה הזאת.

@yossiz כתב בבעיה בגישה לדומיין מקומי במכונה וירטואלית על MacBook M2:

@צבי-ש יש לי חדשות טובות בשבילך

אתה יכול להיפטר מהמכונה השמנה
באמת לא מובן מה חשבו. למה צריך פיירפוקס, ליברהאופיס, וכו' כדי להריץ אתר

היה קל מאוד להגיע לדסקטופ
צריך פשוט לתפוס אותו לפני שהוא ננעל
זה מוגדר לנעול אחרי שניה אחת של חוסר פעילות
אבל אפשר לפתוח טרמינל
אחרי שהיה לי טרמינל דיפדפתי בהיסטוריה בהיסטוריה (כן, יש שם הרבה דברים משעשעים ) וראיתי את הפקודה של gsettings שמגדיר את ה-idle timeout לנעילה, ופשוט הרצתי במקום זה gsettings reset ... כדי לחזור לברירת המחדל
משם היה קל מאוד להגיע לסיסמת המשתמש (cecadmin2020) לקבל sudo (אין שום צורך)
בדקתי את היסטורית הדפדפן והגעתי לריפו זה
https://github.com/DaniRubin/pizzaCyber
שם יש כל מה שצריך להריץ את האתר...

אאל"ט תוכל להריץ לוקלית על מק בלי להסתבך עם מכונה וירטואלית ענקית

אני קצת עצוב שלא בדקתי בעצמי את זה... אני אמור לאהוב את הסגנון הזה ואת הבדיקה בקבצים וכולי, אולי כי זה רץ איטי במחשב שלי ונתקע כל הזמן העדפתי לוותר, בכל מקרה תודה רבה, אעבור על הריפו הזה ואבדוק באמת.

עבר קצת זמן (עוד לא שלחתי את הפוסט הזה), עברתי קצת על הריפו הוא כתוב בשפה שאני לא מכיר, פייתון 2+ או משהו כזה, עם ענף כן מעודכן יותר ל3.8 לכאורה, בכל מקרה אם ארצה להריץ רק את זה אצטרך להריץ הנפרד db כלשהוא (לא בדקתי באיזה סוג db עדיין) וזה כבר להתחיל להיכנס לקודים, וכל באג שיהיה לי אני אצטרך ״להפיל״ את זה עליי ולא עליהם, אז אסתכל אולי אחרי הקורס, נטו לידע ולראות כמה הרסו....

@yossiz כתב בבעיה בגישה לדומיין מקומי במכונה וירטואלית על MacBook M2:

@צבי-ש
זה עבד לי:

qemu-system-x86_64 \
  -hda "ubuntuvm-disk001.qcow2" \
  -m 2048 \
  -smp 4 \
  -device e1000,netdev=net0 \
  -netdev user,id=net0,hostfwd=tcp::8080-:80 \
  -vga std \
  -usb -device usb-tablet \
  -cpu max \
  -rtc base=utc

ואז אפשר להיכנס ב-localhost:8080

שים לב שזה חושף רק פורט 8080 מהאורח, וייתכן שמתישהו בקורס תצטרך לגשת לעוד פורטים

תודה רבה רבה, זה אכן עבד לי, יישר כח.

תוכל להרחיב קצת בהסבר מה בעצם שינת?
וכן אם אני רוצה בכל זאת להשתמש בדומיין http://pizzaluigi/ , אני אצטרך לעשות את זה ברמת הdns אצלי במחשב?

אני רוצה לעבור על הקורס הזה
https://courses.campus.gov.il/courses/course-v1:CS+GOV_CS_WebSec+1_2020/course/

יש שם חלק שמדבר על התקנה של מערכת וירטואלית של ubuntu (אני חושב) רזה שהם הכינו לבד שבעצם מדמה אתר להזמנת מגשי פיצה, שעליו לומדים במהלך הקורס את ה״התקפות״ וכיצד להגן עליהם וכולי.

כאן יש את ההוראות איך להתקין את האתר פיצה

יש לי מחשב macbook עם מעבד m2, והורדתי את התוכנה שהם מציעים שם virtualBox, ולא הצלחתי להפעיל את הקובץ שלהם, זה עושה לי שגיאה כזאת

זה אחרי שאני טוען את הקובץ שלהם

זה השגיאה כשאני מנסה להפעיל

באמצעות gpt התקנתי תוכנה על המחשב בשם qemu שזה בעצם גם מערכת וירטואלית,

ואז באמצעות

qemu-img convert -f vdi -O qcow2 ./ubuntuvm-disk001.vdi ./ubuntuvm-disk001.qcow2

המרתי את הקובץ שלהם, לקובץ QCOW2, ועכשיו אני יכול להריץ אותו עם

qqemu-system-x86_64 \
  -hda "/Users/zvi/Downloads/PizzaLuigi 2/ubuntuvm-disk001.qcow2" \
  -m 2048 \
  -smp 4 \
  -net nic \
  -netdev user,id=n1 \
  -device e1000,netdev=n1 \
  -vga std \
  -usb -device usb-tablet \
  -cpu max \
  -rtc base=utc

וככה המכונה נראית כשהיא רצה

הבעיה שבהדרכה של הקורס הם כותבים שאם אגש לוקאלית מהמחשב שלי (לא מהמכונה[היא נעולה עם סיסמה שאין לי מושג מה היא]) אל הכתובת http://pizzaluigi אני אגיע לאתר דמו שעליו הקורס מתבסס, הבעיה שזה לא קורה, כלומר המכונה רצה, אבל אני לא מצליח לראות את האתר המדובר במחשב,

אציין, כי בחלק מהשלבים שהמכונה עולה, אפשרי להיכנס לחשבון לינוקס (אולי לוקח לה זמן להינעל בחוץ , לא ברור לי) ואז כן יש גישה לטרמינל שם, רק בלי העתקה והדבקה, ויש שם התראה איפשהוא ענקית במרכז המסך להכניס סיסמה, קיצור, לא שימוש נורמלי עם המכונה כשהיא פתוחה.
מה שכן שמתי לב שהשם משתמש שלה הוא pizzaluigi , ניסתי להתחבר עם ssh למשתמש@לוקלהוסט ולא הצלחתי.

אשמח לעזרה:

1. איך אוכל לדעת על איזה כתובת ip פנימית המכונה רצה, אולי פשוט אפנה לשם ואחסוך את הדומיין http://pizzaluigi (אין לי את הסיסמה של המשתמש למכונה, אז אין לי גישה להקליד שם פקודות לכאורה ועל ידי זה לבדוק את הכתובת ip)
2. אולי יש הגדרות רשת שצריך להגדיר כשמעלים את המכונה, שיפעילו את זה תקין, והגדרות אלה נשמטו כש״המירו״ למעבד אחר?

תראה כאן
https://mitmachim.top/post/884205

וכאן
חוקי הפורום סעיף 15

@רובוט כתב בAPI זיהוי מתקשרים:

@Elhanan
שני הרפוזטורים כבר לא קיימים
יש קישור חדש או משהו אחר ?

המקורי קיבל מייל מ me עם דרישה להסיר את זה,
אולי תוכל למצוא ברשת גירסאות קודמות להורדה כzip וככה תתקין

@ek0583232948 כתב במערכת IVR מומלצת, לצורך בוט טלפוני:

@צדיק-תמים
עיקרון של לקוח
מבחינתי אם זה היה וויט לייבל של מישהו שלוקח מימות , זה גם טוב, העיקר שבחשבונית לא יהיה כתוב ימות (לא מבחינת לעבוד על לקוח אלא שהוא לא רוצה להיות לקוח של ימות )

cs@mgmivr.com
ריסיילר בימות המשיח.

המידע לא זולג דרך פרצות, הוא יוצא בפתחים יותר ראשיים... במצב התרבותי של המדינה המידע האישי די זמין בלי שום פרצות.
למה כ"כ מתנגדים למאגר ביומטרי? כי הם יודעים איך זה "שגרת העבודה" במדינת ישראל.

אבל כרגע, לא דלף המידע, ויש כמה מתכנתים שמשתמשים איתו, וכל עוד זה פתוח, מחר יכולים פורצים להשתמש איתו,
אז אני לא עושה צייד נגד ה״טובים״ אלא נגד הרעים.

זאת אומרת שעכשיו יש לאנשים רשימה של כל מי שבאופן אקטיבי הפריע לו הצינתוקים - ושאפשר להתקשר לעניין אותו בהצעת למינהם?

@WWW כתב בAPI נדרים פלוס, נחסם?:

@צבי-ש כתב בAPI נדרים פלוס, נחסם?:

לא מכיר חברת אשראי שנותנת סליקה לא באמצעות ifream (עריכה, יש כאלה, בהמשך הפוסטים)

מעניין...
הספק של נדרים פלוס (פלאקרד) נותן חופשי.
האחריות היא עליך.
מבחינה חוקית אני לא יודע אם יש בעיה, אם אתה לא מאחסן פרטי אשראי רק מחייב עם טוקן.
בכל מקרה גם אם יש בעיה חוקית, זה רק אם קורה ויש זליגת מידע, אז האחריות עליך (ואם יש לך PCI אתה מוגן מתביעה), כל זמן שאין מקרה של זליגת מידע אין שום בעיה.

בכלל לא כ"כ מובן מה קורה במכשירים של נדרים פלוס וכדו' עצמם, אין תקן PCI על המכשיר.

א, לכן ערכתי את הפוסט המקורי,
ב היה פה נידון לא מזמן, עם האקסס ואימות ריקאפצה שהם עושים, ואז בדקתי את הנושא, ויצא לי באמת שמותר לקחת, רק אסור לאחסן וכולי, ואז אמרתי לעצמי שבטח לכן ימות המשיח לוקחים מספרי אשראי
אבל מכייון שלא הייתי בטוח שזכרתי טוב כתבתי את מה שכתבתי.

אני עדיין לא בטוח שמותר לנדרים לתת api כזה חוקית, אולי רק לחברה שמעליהם, כי הם בהכרח מעבירים הלאה את המידע, ואני לא יכול להיות בטוח שהוא לא נשמר בדרך

@איש-נחמד כתב בAPI נדרים פלוס, נחסם?:

@צבי-ש כתב בAPI נדרים פלוס, נחסם?:

@איש-ימיני כתב בAPI נדרים פלוס, נחסם?:

@אביי כתב בAPI נדרים פלוס, נחסם?:

@צבי-ש כתב בAPI נדרים פלוס, נחסם?:

@Nedarim יש חדש?

מעדכן שעלה תיעוד מסודר, כאן:
https://matara.pro/nedarimplus/ApiDocumentation.html

זה תיעוד של API רק של ממשק הניהול.
אין שם API לסליקה,
הם לא נותנים אפשרות סליקה ב API כמו כולם, רק באייפרם.

לא מכיר חברת אשראי שנותנת סליקה. לא באמצעות ifream
אני לא בטוח שמותר להם חוקית בכלל

איך ימות המשיח מאפשרים את זה מול רוב חברות הסליקה?

אולי יש להם אישור pci לסליקה, אולי לא,
אולי הם ״ממלאים טופס של נדרים פלוס״ בכל סליקה? מי אמר שהביאו להם api לזה?

@איש-ימיני כתב בAPI נדרים פלוס, נחסם?:

@אביי כתב בAPI נדרים פלוס, נחסם?:

@צבי-ש כתב בAPI נדרים פלוס, נחסם?:

@Nedarim יש חדש?

מעדכן שעלה תיעוד מסודר, כאן:
https://matara.pro/nedarimplus/ApiDocumentation.html

זה תיעוד של API רק של ממשק הניהול.
אין שם API לסליקה,
הם לא נותנים אפשרות סליקה ב API כמו כולם, רק באייפרם.

לא מכיר חברת אשראי שנותנת סליקה לא באמצעות ifream (עריכה, יש כאלה, בהמשך הפוסטים)
אני לא בטוח שמותר להם חוקית בכלל

@ששא כתב בשרת איטי ללא ניצול משאבים כלל:

יש לי שרת בהצנר, השרת די איטי, גם בזמן התגובה ב VScode - בשמירת שינויים והצגת שגיאות (הוא מציג לי שיש שגיאה בקוד הרבה אחרי שתיקנתי אותה), וגם בדפדפן - האתר מיד מגיב אבל לא עולה למעשה רק אחרי כמה וכמה שניות
הנה מדד המשאבים שלו בזמן אמת

אלו התוספים המותקנים ב VScode

יצויין שבהתחברות לשרתים אחרים החיבור כן מהיר כך שהבעיה היא לא בחיבור האינטרנט שלי

נ.ב. זה עם מעבד שיתופי

תודה רבה לעוזרים והמסייעים

כמה זיכרון בדיסק נשאר לו?

@WeRedEvils כתב בשאלה / מערכת הודעות התגוננות מטעם פיקוד העורף בטכנולוגית CB:

כידוע פיקוד העורף התחיל להשתמש לאחרונה במערכת מסר אישי,
מערכת ז פועלת בטכנולוגיית Cell Broadcast
בעת הפעלת טכנולוגית "Cell Broadcast", כל מחזיקי הטלפונים הניידים באזור המאוים, יקבלו התרעה באמצעות הודעת טקסט שתשלח ישירות למכשיר הנייד כשהיא מלווה בצליל התרעה.
מה שקרה הוא, שבליל המתקפה האיראנית האחרונה קיבלתי מסר אישי
למכשיר הנוקיה 225 שברשותי, יצוין שלמכשיר אין סים כלל ובגדול הוא לא תומך ב CB.
ואילו למכשיר השני שברשותי (Nokia 800 Tough) לא קיבלתי התרעה כלל, המכשיר תומך בטכנולוגיה זו. והוא עם סים ולא קיבל התרעה, מישהו יודע מה הסיבה והאם עם חיבור לאינטרנט זה כן יעבוד? @A-I-V

עד כמה שהבנתי זה לא קשור לסים, אלא לתקשורת מול האנטנות, (יכול להיות גם פלאפון בלי סים שמחובר לצורך שיחות חירום וכו)
אני אישית לא קיבלתי את ההתראות, גם כשחברים לידי קיבלו,

ב geektime כתבו על זה

לכך השיב סא"ל זמיר כי יכולים להיות מקרים שבהם מכשירים לא יקבלו את ההתראות, בין אם בגלל קליטה סלולרית או מגבלות של רשת הסלולר. "זו בדיוק הסיבה שהגישה שלנו היא להשתמש במגוון רחב של פלטפורמות, ולכן לא הפצנו את ההתראות רק ב-Cell Broadcast

עוד מהכתבה

בנוסף, הוא חשף כי מעל ל-30 אלף תאי סלולר קיבלו את ההתרעות, אך לא ציין את מספר המכשירים שקיבלו את ההודעות.

@יעקב-מ-פינס כתב במתקשה בהתקנת NodeBB על שרת Vps (הוסטינגר):

הצלחתי להתקין ע"י דוקר

מכיוון שההתקנה הייתה עם gpt, ואני לא יודע מה הוא מדריך ומה לא, הייתי ממליץ לך לשמור את המסד נתונים עם volume לתיקייה מקומית, כדי שאם יקרוס השרת, או סתם ריסטארט לדוקר, הנתונים יישמרו, ולא יתאפס הפורום כל פעם מחדש.

@הרי כתב בסירטון ביוטיוב לא עובד רק בחשבון מסוים:

אם מישהו יודע לעזור לי אשמח מאד
יש לי בעיה שרק בחשבון שלי אני לא יכול לצפות ביוטיוב וכשאני מחליף חשבון אחר זה עובד רגיל...
קשור לנטפרי? לגוגל?
אם יש פה ניסיון למישהו בנושא הזה אשמח מאד
תודה רבה!

חשבון אתה מתכוון לחשבון גוגל?
האם שניהם חשבונות רגילים או אחד מהם עסקי וכדומה?
האם שניהם נפתחו מאותו ארץ? האם על שניהם מעודכן אותו גיל בגוגל?

@dovid כתב בסליקת אשראי נדרים פלוס ב API:

@צבי-ש איך שרת ישראלי יספק ערך תקף לריקאפצה?
(אלא אם כן חלילה וחס נדרים עשו כמו מפתחים חמודים שלא מתקפים את הערך בצד שרת, לא נראה לי).

תשובה קצת ארוכה..
קראתי את השאלה של ששא,
ניסתי להבין איך נדרים פלוס יכולים לדרוש קאפצה של גוגל בבתי כנסיות מכל תורם, זה נשמע פרויקט מורכב ממש, במיוחד שמי יודע איזה תמונות גוגל יביא באימות,
אמרתי לעצמי שבטח יש משהו מאחורי זה,
שלחתי תרומה לנדרים פלוס מהמחשב בבית, מישראל , נשלח הערך CaptchaResponse כשהוא ריק,

אמרתי אולי ששא מנסה ממיקום לא ישראלי, ואז גם בבתי כנסיות לא יצטרכו כלום, וגם זה יכול להיות הבאג שלו, וגם לכן ממני לא ביקש אימות שאני לא רובוט
התחברתי עם VPN לא ישראלי לנדרים,
הטופס נראה כרגיל לגמרי, רק אחרי אישור הסליקה, קובץ שגיאה של " נא לסמן אני לא רובוט"
ורק אז נשלח בקשה לגוגל לקבל קאפצה,

ואם כן לכאורה בצד שרת אם בודקים בתרומה האם הIP ישראלי, ואם לא, מחייבים לקבל קאפצה

ככה נראה לי שזה הולך.

@ששא תוכל או לשכור שרת ישראלי, אבל אני לא בטוח שזה יעצור שם, יכול להיות שאם הם יזהו התנהגות חשודה, זה ידרוש אימות גם בארץ.

עשית את הבקשה מהמחשב? או משרת?
כי אני רואה שהם הוסיפו פרמטר של CaptchaResponse, אבל הוא נשלח ריק בתרומה רגילה, אולי אם זה ip לא ישראלי זה אחרת.

עריכה:
בדקתי עם vpn מארצות הברית (נראה לי) והוא באמת מעלה קאפצה של גוגל, ומבקש לסמן.

תוכל להקים אוטומציה שלמה לזה, אבל זה אכן נהיה מסובך יותר לסלוק

@chagold כתב בהתייעצות איך לשמור תיעוד מי למד מה בתוכן מאוד דינמי, אבל מאוד מקובע:

@צבי-ש כתב בהתייעצות איך לשמור תיעוד מי למד מה בתוכן מאוד דינמי, אבל מאוד מקובע:

@chagold כתב בהתייעצות איך לשמור תיעוד מי למד מה בתוכן מאוד דינמי, אבל מאוד מקובע:

א. ברור שד"ב. כדי שהנתונים ישמרו. בטבלה יהיה שדות עבור מזהה התלמיד, תאריך לועזי, ואת יחידת הלימוד (שנת הלימוד כלול כבר בתאריך).

תודה, עברתי על דבריך בעיון, עדיין נשארו לי מספר שאלות.

1 בצד שרת איך אני שומר את ה״מערך״ עם חומרי הלימוד, ובתוכו יחידות הלימוד, האם לזה אוכל גם להשתמש בsql? או שאצטרך מסד נתונים אחר? (זה צריך להיות עם אופציה להוסיף ולמחוק חומר לימודי מידי פעם בפעם)
2 שוב בצד שרת, באיזה מבנה אני שומר את הנתונים של כל תלמיד? בשורה עם כל הנתונים של התלמיד, אני מוסיף שדה "data" ושם מניח את הגייסון המלא?

או שכוונתך היא בכל לימוד ליצור רשומה חדשה בטבלת ״לימודים״ וכשאני מייצא את הנתונים לקליינט, לאסוף משם את כל השורות?

1. בהתחלה לא הבנתי שאתה צריך להציג משניות / גמרות וכו'. אבל בכל מקרה התשובה היא כן. באותה טבלה של יחידות הלימוד, תעשה גם עמודה של סמסטר (שנה / עונה / + קבוצה ), שתוכל לסנן לפי זה, ובנוסף תעשה עוד עמודה שבה יהיה את התוכן שאתה צריך להציג. (נ.ב. איך שהצעתי עכשיו, ככל וחומר לימוד יחזור על עצמו בכיתות שונות, יצטרכו להעתיק אותו שוב בד"ב. אם אתה רוצה להימנע מזה יצטרכו לעשות קצת שונה ממה שהצעתי).
2. כמו האופציה השניה. כי כיון שיש בטבלה של הלימוד גם עמודת מזהה התלמיד, א"כ כדי לקבל מידע על תלמיד מסויים עושים שאילתא שתסנן את הנתונים שבטבלת הלימוד לאותו תלמיד. משהו כזה

select * from learn WHERE id_pupil = 1234567;

רק שאת התוצאות אתה מחזיר לצד הקליינט בjson. כנ"ל.

תודה על התשובה,
כלומר, אני לא שומר לצד התלמיד את הלימודים שלו,
אלא יש טבלת תלמידים,
ויש טבלת לימודים , שבה נרשם שתלמיד עם ID מסויים, למד יחידת לימוד 8 מחומר לימוד 2 בסמסטר 1 ?
ואז אני אוסף את המידע הזה לפי היחידות לימוד שאני צריך, לפי התלמיד שאני צריך?