Небезопасная десериализация в PHP: как создать собственный эксплойт
Сегодня мы познакомимся с уязвимостями небезопасной десериализации в PHP, научимся писать эксплойты для эксплуатации уязвимости в рамках тестирований на проникновение и попробуем себя в анализе кода.
Сегодня мы познакомимся с уязвимостями небезопасной десериализации в PHP, научимся писать эксплойты для эксплуатации уязвимости в рамках тестирований на проникновение и попробуем себя в анализе кода.
👍14🔥4
Ещё один монитор CO2 без датчика CO2
Там, где что-то стоит дорого и по определению не может стоить дешевле, ушлые производители обязательно предложат «полноразмерный макет» за полцены. Подобными «макетами» домашних мониторов CO2 много лет забиты все маркетплейсы.
Но тут история иная. Во-первых, цена как у реальных приборов. Во-вторых, это не абсолютный ноунейм. И в-третьих — производитель открыто заверяет, что установлен дорогой инфракрасный датчик. Так почему бы не попробовать?
Вот небольшой рассказ про все эти датчики и пара советов, как не промахнуться
Там, где что-то стоит дорого и по определению не может стоить дешевле, ушлые производители обязательно предложат «полноразмерный макет» за полцены. Подобными «макетами» домашних мониторов CO2 много лет забиты все маркетплейсы.
Но тут история иная. Во-первых, цена как у реальных приборов. Во-вторых, это не абсолютный ноунейм. И в-третьих — производитель открыто заверяет, что установлен дорогой инфракрасный датчик. Так почему бы не попробовать?
Вот небольшой рассказ про все эти датчики и пара советов, как не промахнуться
🔥39👍20
Конфеты врачам — это форма коррупции?
Возможно, вы знаете, что врачам-женщинам как-то традиционно принято дарить конфеты, а урологам и хирургам (обычно мужчинам) — коньяк. Но как конкретно работает эта система, какой там этикет, нужно ли приносить подарок до, после или во время лечения — непонятно.
Давайте разберём эту практику в российской системе здравоохранения
Возможно, вы знаете, что врачам-женщинам как-то традиционно принято дарить конфеты, а урологам и хирургам (обычно мужчинам) — коньяк. Но как конкретно работает эта система, какой там этикет, нужно ли приносить подарок до, после или во время лечения — непонятно.
Давайте разберём эту практику в российской системе здравоохранения
🤡99😁24💩11👍8😐4🤯3🤮3🥱1
[ХАБРААРХИВ]
«В декабре 2015 года я обнаружил критически опасную уязвимость в одном из сайтов PayPal для бизнеса, которая позволяла мне выполнять произвольные команды на веб-серверах внутри корпоративной сети. При отправке веб-формы на сайте manager.paypal.сom в одном из скрытых параметров передавались закодированные данные в виде сериализованного объекта Java. Данный параметр можно было подделать, изменив название класса и значения его свойств, что и привело к выполнению произвольного кода на серверах. Я немедленно сообщил об этой проблеме в PayPal, и она была быстро исправлена»
Взломать PayPal за 73 секунды
#хабраархив
«В декабре 2015 года я обнаружил критически опасную уязвимость в одном из сайтов PayPal для бизнеса, которая позволяла мне выполнять произвольные команды на веб-серверах внутри корпоративной сети. При отправке веб-формы на сайте manager.paypal.сom в одном из скрытых параметров передавались закодированные данные в виде сериализованного объекта Java. Данный параметр можно было подделать, изменив название класса и значения его свойств, что и привело к выполнению произвольного кода на серверах. Я немедленно сообщил об этой проблеме в PayPal, и она была быстро исправлена»
Взломать PayPal за 73 секунды
#хабраархив
👍33
Экономика хостера — не, она устроена не так, и зачем RUVDS действительно запускали спутник
Возможно, неожиданным для вас будет то, что лицензии на ПО стоят примерно столько же, сколько аренда места в ЦОДах по миру, и что айпишники вообще-то занимают существенную долю затрат хостера.
Возможно, неожиданным для вас будет то, что лицензии на ПО стоят примерно столько же, сколько аренда места в ЦОДах по миру, и что айпишники вообще-то занимают существенную долю затрат хостера.
👍13🤯5😁2💩2
«Совсем недавно мы начали новый виток развития Алисы: мы хотим поместить в самое сердце (точнее, в самый мозг) нашего диалогового движка большую языковую модель. В этом году мы уже добавили в Алису возможность отвечать с помощью LLM на любые вопросы, а теперь взялись за то, чтобы Алиса стала более универсальной и могла выполнять любые задачи пользователя»
Смарт-функции в Алисе: как LLM помогает понять, чего хочет пользователь
Смарт-функции в Алисе: как LLM помогает понять, чего хочет пользователь
👎81👍73🤮33🤡12
Магия простоты: как в 2ГИС улучшили отображение общественного транспорта на карте
Сейчас тема AI, машинного обучения у всех на слуху, и со стороны может показаться, что те, кто этим занимается — маги, которые берут нейросети, прикладывают их к правильным местам, и все проблемы решаются.
На самом деле применение сложных алгоритмов требует большой подготовительной работы по наведению порядка в процессе разработки, что занимает 90 процентов всего времени, если не больше. Более того, как только процесс налажен, может оказаться так, что никакой дополнительной магии машинного обучения уже и не нужно добавлять.
Под наведением порядка в процессе разработки подразумевается решение четырёх задач: выбор правильной метрики, подготовка данных, построение воспроизводимой системы экспериментов, перенос алгоритмов туда, где их проще всего развивать.
Узнаем, как решая эти задачи, в 2ГИС добились более точного отображения автобусов на карте, упростив существующую на тот момент сложную систему
Сейчас тема AI, машинного обучения у всех на слуху, и со стороны может показаться, что те, кто этим занимается — маги, которые берут нейросети, прикладывают их к правильным местам, и все проблемы решаются.
На самом деле применение сложных алгоритмов требует большой подготовительной работы по наведению порядка в процессе разработки, что занимает 90 процентов всего времени, если не больше. Более того, как только процесс налажен, может оказаться так, что никакой дополнительной магии машинного обучения уже и не нужно добавлять.
Под наведением порядка в процессе разработки подразумевается решение четырёх задач: выбор правильной метрики, подготовка данных, построение воспроизводимой системы экспериментов, перенос алгоритмов туда, где их проще всего развивать.
Узнаем, как решая эти задачи, в 2ГИС добились более точного отображения автобусов на карте, упростив существующую на тот момент сложную систему
👍35❤9👎3🤔3
«Привет, меня зовут Миша. Я инженер по качеству в компании ГРАН Груп. Мы производим печатные платы, в том числе для оборудования, где один сбой стоит жизни: для кардиостимуляторов, аппаратов ИВЛ, систем управления поездами, самолётов и ракет. В статье я рассказываю, какие ошибки клиента стоят больших денег и ваших жизней, про боль госпредприятий и как мы проверяем качество платы»
Если наша электроника откажет, то кто-то умрёт
Если наша электроника откажет, то кто-то умрёт
🫡61👍22🤡11🔥9❤4🤮3👏2🤬1
Дедупликация в OpenZFS теперь хороша, но использовать её не стоит
Посмотрим на свежую информацию об имплементации дедупа в OpenZFS, как он работал до улучшений, в чём была его проблема, что поменяли в fast dedup и почему это всё ещё не дефолт.
Посмотрим на свежую информацию об имплементации дедупа в OpenZFS, как он работал до улучшений, в чём была его проблема, что поменяли в fast dedup и почему это всё ещё не дефолт.
🤡13👍8
Альтернатива нэшвилловскому моду: телекастер с хамбакером в нековой позиции
Сегодня мы совершенствуем дешёвую электрогитару TERRIS TTL-039 YW. Чтобы она не фонила, потребовалось экранирование графитовым лаком, а для комфортной игры пришлось исправить угол установки грифа относительно корпуса. При совсем небольших дополнительных вложениях из китайского ширпотреба получилась играбельная электрогитара, обладающая высокой степенью универсальности для концертной и студийной работы.
Сегодня мы совершенствуем дешёвую электрогитару TERRIS TTL-039 YW. Чтобы она не фонила, потребовалось экранирование графитовым лаком, а для комфортной игры пришлось исправить угол установки грифа относительно корпуса. При совсем небольших дополнительных вложениях из китайского ширпотреба получилась играбельная электрогитара, обладающая высокой степенью универсальности для концертной и студийной работы.
🔥14🤮10👍4❤3😁3🥱3
Без компьютеров: как вычислители водили корабли и выигрывали войны
В первой части мы рассмотрели два вычислительных проекта, предпринятых в XVIII веке: предсказание времени возвращения кометы Галлея и создание логарифмических таблиц для десятичного деления угла. За обоими проектами стояла идея разделения труда между несколькими вычислителями, работающими по заранее составленной программе. Однако их цели были разными: первый проект был чисто научным, второй, напротив, чисто прикладным.
Сегодня Антон Басов, исследователь истории науки и техники, автор Центра непрерывного образования факультета компьютерных наук ВШЭ, расскажет о двух прикладных задачах, которые также решались при помощи вычислений — нахождение долготы и определение пути артиллерийского снаряда.
В первой части мы рассмотрели два вычислительных проекта, предпринятых в XVIII веке: предсказание времени возвращения кометы Галлея и создание логарифмических таблиц для десятичного деления угла. За обоими проектами стояла идея разделения труда между несколькими вычислителями, работающими по заранее составленной программе. Однако их цели были разными: первый проект был чисто научным, второй, напротив, чисто прикладным.
Сегодня Антон Басов, исследователь истории науки и техники, автор Центра непрерывного образования факультета компьютерных наук ВШЭ, расскажет о двух прикладных задачах, которые также решались при помощи вычислений — нахождение долготы и определение пути артиллерийского снаряда.
👍65🤡7❤2🔥1🤔1
На прошедшей неделе мы писали грязный код, собирали систему мониторинга фильтра воды, поступали на факультет пиратов в МГУ и использовали копеечную советскую микросхему для оживления часов.
Лучшие публикации недели (9-15 декабря 2024)
Лучшие публикации недели (9-15 декабря 2024)
👍15👎6❤1🤯1
Реквием по мечте: как был сделан Wi-Fi на музыкальном фестивале Alfa Future People
Это длинная история, как несколько человек за три недели шесть лет подряд строили в чистом поле операторскую беспроводную сеть из пары сотен точек доступа на фестивале мечты, а потом за сутки её разбирали. В тексте описываются технические решения, сложности и приключения участников, представлено много фотографий и немного статистики. Из уважения к выжившим все имена сохранены, а всё произошедшее рассказано так, как было на самом деле.
Это длинная история, как несколько человек за три недели шесть лет подряд строили в чистом поле операторскую беспроводную сеть из пары сотен точек доступа на фестивале мечты, а потом за сутки её разбирали. В тексте описываются технические решения, сложности и приключения участников, представлено много фотографий и немного статистики. Из уважения к выжившим все имена сохранены, а всё произошедшее рассказано так, как было на самом деле.
🔥62👍11❤7🤡5👎1
С нами в эфире:
— Александр Чепайкин, Senior Python Developer, ЕДИНЫЙ ЦУПИС
— Сергей Шалыгин, middle frontend-разработчик в Лаборатории Касперского
— Александра Фадеева, QA release manager, gamedev
— Вугар Дамиров, ИТ-лидер команды, финтех
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Разбор тестовых заданий | Вызов от Хекслета и Хабр Карьеры
В этом декабре Хабр Карьера и Хекслет приготовили двенадцать тестовых заданий, чтобы проверить навыки бэкендеров на Python, фронтендеров на JavaScript, ручных тестировщиков и аналитиков данных.
В понедельник, 16 декабря, в 17:00 МСК вместе с наставниками…
В понедельник, 16 декабря, в 17:00 МСК вместе с наставниками…
👍12❤2
Малинка в деле: пять креативных проектов на базе Raspberry Pi
Одноплатные компьютеры от Raspberry Pi Foundation и других производителей стали незаменимым инструментом как для любительских экспериментов, так и для профессиональной разработки и промышленного использования. За годы их существования энтузиасты и инженеры воплотили в жизнь тысячи уникальных идей. Поговорим о свежих проектах, которые заслуживают внимания.
Одноплатные компьютеры от Raspberry Pi Foundation и других производителей стали незаменимым инструментом как для любительских экспериментов, так и для профессиональной разработки и промышленного использования. За годы их существования энтузиасты и инженеры воплотили в жизнь тысячи уникальных идей. Поговорим о свежих проектах, которые заслуживают внимания.
👎15👍13🥱6❤1🔥1
#новости
Please open Telegram to view this post
VIEW IN TELEGRAM
👍21❤3🥱3
Знакомство со слоем абстракции Netflix для хранения временных рядов
В Netflix разработали слой абстракции для хранения данных, представленных временными рядами (TimeSeries Abstraction). Это универсальное и хорошо масштабируемое решение, спроектированное в расчёте на эффективную работу с большими объёмами временных данных, описывающих жизненные циклы различных событий. Задержки доступа к данным в этой системе крайне малы и измеряются миллисекундами. Она отличается экономической эффективностью и может использоваться в самых разных сценариях, предполагающих работу с временными рядами.
В этом материале мы поговорим об архитектуре, принципах проектирования и реальных способах применения TimeSeries Abstraction, а также посмотрим, как эта система расширила возможности платформы по управлению темпоральными данными в масштабах Netflix.
В Netflix разработали слой абстракции для хранения данных, представленных временными рядами (TimeSeries Abstraction). Это универсальное и хорошо масштабируемое решение, спроектированное в расчёте на эффективную работу с большими объёмами временных данных, описывающих жизненные циклы различных событий. Задержки доступа к данным в этой системе крайне малы и измеряются миллисекундами. Она отличается экономической эффективностью и может использоваться в самых разных сценариях, предполагающих работу с временными рядами.
В этом материале мы поговорим об архитектуре, принципах проектирования и реальных способах применения TimeSeries Abstraction, а также посмотрим, как эта система расширила возможности платформы по управлению темпоральными данными в масштабах Netflix.
1👍8🔥7❤2🤓2🤔1💩1
Карбонизация Polaroid SX-70: тюнинг полувековой фотокамеры
Это один из самых необычных проектов по кастомизации Polaroid. Полувековая камера, изменившая мир фототехники, углепластик, кожа и много сочных фото. Трогаемся!
Это один из самых необычных проектов по кастомизации Polaroid. Полувековая камера, изменившая мир фототехники, углепластик, кожа и много сочных фото. Трогаемся!
👍13👎7
Практика использования парсер-комбинаторов peco и оператора match для создания простых DSL на языке Python
Задачи разработки компиляторов и интерпретаторов конфигурационных языков или даже полноценных Тьюринг-полных языков программирования время от времени встают перед разработчиками программного обеспечения. На практике, как правило, речь идёт о разработке предметно-ориентированных языков (англ. Domain Specific Language, DSL), проектируемых специально для решения узкого класса прикладных задач.
Рассмотрим один из способов реализации DSL-компиляторов на примере разработки системы символьного дифференцирования, как в SymPy, с использованием парсер-комбинаторов peco и структурного сопоставления с образцом по PEP 636. Материал рассчитан на прикладных разработчиков, уже знакомых с Python, но также может быть полезен и продолжающим компиляторщикам.
Задачи разработки компиляторов и интерпретаторов конфигурационных языков или даже полноценных Тьюринг-полных языков программирования время от времени встают перед разработчиками программного обеспечения. На практике, как правило, речь идёт о разработке предметно-ориентированных языков (англ. Domain Specific Language, DSL), проектируемых специально для решения узкого класса прикладных задач.
Рассмотрим один из способов реализации DSL-компиляторов на примере разработки системы символьного дифференцирования, как в SymPy, с использованием парсер-комбинаторов peco и структурного сопоставления с образцом по PEP 636. Материал рассчитан на прикладных разработчиков, уже знакомых с Python, но также может быть полезен и продолжающим компиляторщикам.
👍11❤6💩2😎2
8 шагов к успешному найму в ИТ: как хантить качественнее, быстрее и с меньшим количеством отказов
На августовском Хабрасеминаре коммерческий директор Хабра Любовь Соболева сказала, что айтишников в стране всего два миллиона человек. Эта статья для тех, кто охотится за лучшими из этих двух миллионов, — для нанимающих менеджеров, рекрутеров и HR, руководителей проектов. Давайте узнаем, как выстраивать процесс поиска, отбора и найма кандидатов так, чтобы тратить меньше времени и получать меньше отказов.
На августовском Хабрасеминаре коммерческий директор Хабра Любовь Соболева сказала, что айтишников в стране всего два миллиона человек. Эта статья для тех, кто охотится за лучшими из этих двух миллионов, — для нанимающих менеджеров, рекрутеров и HR, руководителей проектов. Давайте узнаем, как выстраивать процесс поиска, отбора и найма кандидатов так, чтобы тратить меньше времени и получать меньше отказов.
🤮60🤡14🤔6👍4❤1🔥1🤣1