فرود :)) پیشنهاد ارائه بهتر رو خودت بده لطفا الان یه ساله ارائه ندادی On Apr 14, 2014 9:00 AM, "F0ruD A" <[email protected]> wrote:
> خوب این اگه بشه بحث آزاد منطقی تره :) اینکه خود این باگ چی بوده خیلی > پیچیده نیست، چیز عجیب غریبی هم نداره، به نظرم یه برنامه ارایه دیگه پیشنهاد > داده بشه و این بمونه برای بحث آزاد :)) > > > 2014-04-14 7:30 GMT+04:30 Reza Alizadeh Majd <[email protected]>: > >> من هم با مطرح شدن این بحث موافقم، بحث جالبی میتونه باشه. >> >> Best Regards >> >> Reza Alizadeh Majd >> Http://ramajd.github.io >> Http://Edu.MediaPortal.Ir >> >> >> >> 2014-04-14 0:26 GMT+04:30 hamzeh khosravi <[email protected]>: >> >> من با محمدرضا موافقم، حرف ایشون صحیح و کاملا درسته. >>> >>> >>> 2014-04-13 18:03 GMT+04:30 Mohammad Reza Kamalifard < >>> [email protected]>: >>> >>> بهنام گفت که این فقط یه باگ بوده و نمیشه در موردش ۳۰ دقیقه حرف زد! >>>> >>>> خوب در موردش میشه حرف زد همین نیست که بگی خوب یه باگ بوده >>>> ابعاد خیلی گسترده ای داشته و هر کسی که فک میکنه خوب من یه مطلب خودندم >>>> تو یه سایت پس همچی رو میدونم نیست >>>> قضیه گسترده ای داره و بیشتر از این که به امنیت ربط داشته باشه قضیه اوپن >>>> سورس و قضیه کامیونیتی هست که چرا همچین چیزی وجود داره و این سوال که حالا که >>>> کد های همچین چیز مهمی دیده نمیشده آیا بقیه چیزهای اوپن سورس رو هم برنامه >>>> نویس ها میبینن یا نه ! و کلا اوپن سورس چه کمکی به امنیت بیشتر کرده و نقش >>>> کامیونیتی چیه! >>>> لازمه که همه بدونن که چقدر باید بهش اعتماد کنن الان هر سایتی که فکر >>>> میکردی امنه امن نبوده! >>>> اینو دیدی !؟ https://www.cloudflarechallenge.com/heartbleed وقتی یه >>>> برنامه نویس تو خونش میتونه پرایوت کی یه سایت رو با همین روش در بیاره یعنی >>>> در مدت این چند سال همه چیز در اختیار کسایی بوده که میخواستن ما امن نباشیم! >>>> همه باید بدونن که چقدر پسورد هاشون و چیزایی که فکر میکردن امنه الان >>>> امن هستن >>>> >>>> >>>> اگر به نظر شما هم یه باگ بوده و ارائه مفید نیست بگید >>>> >>>> >>>> 2014-04-13 17:53 GMT+04:30 Behnam Tavakkoli <[email protected]>: >>>> >>>>> :) >>>>> >>>>> راجع به چیش میخواهی صحبت کنی؟ خوب یه باگ در مورد openssl بود که باعث >>>>> میشد این... >>>>> گفتنش که یک دقیقه است، این سی الی چهل دقیقه را با چه موضوعاتی در مورد >>>>> این باگ میخواهی پر کنی؟ >>>>> >>>>> >>>>> 2014-04-13 17:47 GMT+04:30 Mohammad Reza Kamalifard < >>>>> [email protected]>: >>>>> >>>>> لازم نیست بزنی @ این به میلینگ لیست نیست بین خودمونه >>>>>> من که بالا گفتم میخوام ارائه بدم چند تا ایمیل بری بالاتر میبینی >>>>>> خوب : >>>>>> >>>>>> پیشنهاد ارائه در مورد Heartbleed باگ در مورد OpenSSL توسط من و مهندس >>>>>> شجاری رو می دم. >>>>>> >>>>>> >>>>>> >>>>>> 2014-04-13 17:44 GMT+04:30 Behnam Tavakkoli <[email protected]>: >>>>>> >>>>>> @محمدرضا >>>>>>> >>>>>>> در مورد خونریزی قلبی میخوای صحبت کنی؟ یک تاپیک وار بگو در مورد چی >>>>>>> این موضوع مثلا میخواهی صحبت کنی که دوستان بدونند برای چی دارند >>>>>>> میآیند... >>>>>>> >>>>>>> >>>>>>> 2014-04-13 17:36 GMT+04:30 Mohammad Reza Kamalifard < >>>>>>> [email protected]>: >>>>>>> >>>>>>> سلام >>>>>>>> بهنام >>>>>>>> من گفتم که میخوام ارائه فنی بدم این جلسه و کی اوکی اش میکنی که ما >>>>>>>> بتونیم روش کار کنیم؟ >>>>>>>> >>>>>>>> >>>>>>>> >>>>>>>> 2014-04-13 17:21 GMT+04:30 Behnam Tavakkoli <[email protected]> >>>>>>>> : >>>>>>>> >>>>>>>> چرا ایمیل هماهنگی جلسه را با بحث و جواب دادن به همدیگر شلوغ >>>>>>>>> میکنید؟! >>>>>>>>> >>>>>>>>> *یک کلام،* کسی میخواهد بحث فنی پرزنت کنه یا مدیریت بحث آزاد جلسه >>>>>>>>> در مورد موضوع پیشنهادیش را بر عهده بگیره؟ اگر بله صریحا اعلام کند٪ >>>>>>>>> >>>>>>>>> >>>>>>>>> 2014-04-13 17:14 GMT+04:30 Mohammad Reza Kamalifard < >>>>>>>>> [email protected]>: >>>>>>>>> >>>>>>>>> سلام >>>>>>>>>> من این ایمیل بالایی رو ندیده بودم >>>>>>>>>> خوب سوتی اصلی رو این برنامه نویسه اونجایی داده که طول دیتایی که >>>>>>>>>> میگیره رو چک نمیکرده و در اون مورد که گفتی خوب چک میشه و نمیشه >>>>>>>>>> این کار >>>>>>>>>> رو کرد. >>>>>>>>>> >>>>>>>>>> >>>>>>>>>> 2014-04-11 14:33 GMT+04:30 11 11 <[email protected]>: >>>>>>>>>> >>>>>>>>>>> سلام >>>>>>>>>>> >>>>>>>>>>> لطفاً از این جلسه «فیلم» بگیرین برای امثال بنده که نمیتونن بیان! >>>>>>>>>>> فقط چون نمیتونم بیام نظرم رو همین الآن میگم: >>>>>>>>>>> >>>>>>>>>>> این متن طولانیست! >>>>>>>>>>> >>>>>>>>>>> در علم امنیت و امنیت اطّلاعات یه قاعده وجود داره که میگه هر چی >>>>>>>>>>>> مشکل سادهتر باشه احتمال کشفش کمتره! >>>>>>>>>>>> و اگه دقّت کرده باشین ایده این اکسپلویت خیلی ساده هست! (درخواست >>>>>>>>>>>> حجم نا معتری داده از سرور) >>>>>>>>>>>> بنده فکر میکنم این باگ در حقیقت یه اشتباه برنامهنویسی >>>>>>>>>>>> دانشجویی بوده باشه (با توجّه به سابقه کسی که اوّلین نویسنده کد >>>>>>>>>>>> باگخور >>>>>>>>>>>> بوده) ولی سیستمهای امنیتی، که کاملاً با قاعدهای که اوّل میل گفتم >>>>>>>>>>>> آشنایی >>>>>>>>>>>> دارن، از «خیلی» وقت پیش از وجود چنین باگی خبر داشتن و چیزی نگفتن! >>>>>>>>>>>> البته تعجّب اصلی بنده از امنیت کار ها و امنیتیهای ایرانه که >>>>>>>>>>>> چرا متوجّه چنین مشکلی نشدن! (بنده خیلی سواد نوشتن raw packet ندارم >>>>>>>>>>>> ولی از >>>>>>>>>>>> خیلی وقت پیش فکر میکردم با یه همچین ایدههایی چه کارها که نمیشه >>>>>>>>>>>> کرد! تو >>>>>>>>>>>> پانویس یه مثال میگم براتون) >>>>>>>>>>>> البته بد هم نیست تو این جلسه یه نگاهی هم به سایتهای دولتی و >>>>>>>>>>>> سازمانی ایرانی که قربانی این باگ شدن بندازین! (مثل ایرنیک و شاپرک >>>>>>>>>>>> و ... ) >>>>>>>>>>>> یه بررسی هم رو این موضوع کنین که «وقتی یه برنامه متنباز که >>>>>>>>>>>> کلّی آدم حرفهای دارن روش کار میکنن این طوری باگ میخوره دیگه >>>>>>>>>>>> برنامههایی >>>>>>>>>>>> که کدشون بستس چی دارن بگن؟؟» به نظرم بد نباشه! :دی >>>>>>>>>>>> ------- >>>>>>>>>>>> پ.ن. >>>>>>>>>>>> این صرفاً یه حدسه و شاید اصلاً درست نیاشه! به عنوان یه >>>>>>>>>>>> penetration scenario بهش نگاه کنین! >>>>>>>>>>>> مثلاً اگه کسی برای یه وب سرور یه فایلی قرار باشه آپلود کنه بعد >>>>>>>>>>>> بیاد تو هدر پکت content-size رو مثلاً بده ۵۱۲ بعد بیاد ۳۱ بایت >>>>>>>>>>>> داده بفرسته >>>>>>>>>>>> بعدش سریع EOF و بعد GEF (Group Execution Flag) بعد بقیه ۴۷۸ بایت >>>>>>>>>>>> باقی مونده >>>>>>>>>>>> رو raw shell code بفرسته بعد دوباره EOF و بعد EOT (End Of >>>>>>>>>>>> Transmit) خب اون >>>>>>>>>>>> شل کد رو سروره اجرا میشه! >>>>>>>>>>>> بنده فکر میکنم برای همینه که وب سرور ها اگه EOF بگیرن ولی حجم >>>>>>>>>>>> داده با حجم اعلام شده مطابقت نداشتهباشه سریع NACK میفرستن! >>>>>>>>>>>> پ.ن.۲: میبخشین اگه طولانی شد! >>>>>>>>>>> >>>>>>>>>>> >>>>>>>>>>> التماس دعا! >>>>>>>>>>> >>>>>>>>>>> >>>>>>>>>>> >>>>>>>>>>> >>>>>>>>>>> >>>>>>>>>>> >>>>>>>>>>> _______________________________________________ >>>>>>>>>>> general mailing list >>>>>>>>>>> [email protected] >>>>>>>>>>> http://lists.tehlug.org/mailman/listinfo/general >>>>>>>>>>> unsubscribe: http://lists.tehlug.org/mailman/options/general >>>>>>>>>>> >>>>>>>>>> >>>>>>>>>> >>>>>>>>>> _______________________________________________ >>>>>>>>>> general mailing list >>>>>>>>>> [email protected] >>>>>>>>>> http://lists.tehlug.org/mailman/listinfo/general >>>>>>>>>> unsubscribe: http://lists.tehlug.org/mailman/options/general >>>>>>>>>> >>>>>>>>> >>>>>>>>> >>>>>>>>> >>>>>>>>> -- >>>>>>>>> >>>>>>>>> - مرکز گنو/لینوکس سیتو : www.sito.ir >>>>>>>>> - خدمات وب بهرا : www.behra.ir >>>>>>>>> - پنل ارسال پیام کوتاه اکسون اساماس : www.axonsms.com >>>>>>>>> >>>>>>>>> <http://www.buysoft.ir/>−−−−−− >>>>>>>>> آدرس دفتر مرکزی : تهران - فلکه دوم صادقیه - ابتدای بلوار فردوس - >>>>>>>>> پلاک ۱۴ - واحد یک >>>>>>>>> کد پستی : ۱۴۸۱۷۹۷۳۷۱ | صندوق پستی : ۱۴۵۱۵/۹۳۹ >>>>>>>>> تلفن : ۴۴۰۰۰۷۵۱ | فکس : ۸۹۷۸۷۷۷۷ | تلفن همراه : ۰۹۱۹۲۰۶۵۶۳۴ >>>>>>>>> بهنام توکلی کرمانی >>>>>>>>> >>>>>>>>> >>>>>>>>> _______________________________________________ >>>>>>>>> general mailing list >>>>>>>>> [email protected] >>>>>>>>> http://lists.tehlug.org/mailman/listinfo/general >>>>>>>>> unsubscribe: http://lists.tehlug.org/mailman/options/general >>>>>>>>> >>>>>>>> >>>>>>>> >>>>>>> >>>>>>> >>>>>>> >>>>>> >>>>> >>>>> >>>>> -- >>>>> >>>>> - مرکز گنو/لینوکس سیتو : www.sito.ir >>>>> - خدمات وب بهرا : www.behra.ir >>>>> - پنل ارسال پیام کوتاه اکسون اساماس : www.axonsms.com >>>>> >>>>> <http://www.buysoft.ir/>−−−−−− >>>>> آدرس دفتر مرکزی : تهران - فلکه دوم صادقیه - ابتدای بلوار فردوس - پلاک >>>>> ۱۴ - واحد یک >>>>> کد پستی : ۱۴۸۱۷۹۷۳۷۱ | صندوق پستی : ۱۴۵۱۵/۹۳۹ >>>>> تلفن : ۴۴۰۰۰۷۵۱ | فکس : ۸۹۷۸۷۷۷۷ | تلفن همراه : ۰۹۱۹۲۰۶۵۶۳۴ >>>>> بهنام توکلی کرمانی >>>>> >>>>> >>>> >>>> _______________________________________________ >>>> general mailing list >>>> [email protected] >>>> http://lists.tehlug.org/mailman/listinfo/general >>>> unsubscribe: http://lists.tehlug.org/mailman/options/general >>>> >>> >>> >>> >>> -- >>> >>> *RegardsHamzeh Khosravi* >>> >>> Network & Security Architect >>> GNU/Linux System Administrator >>> +989128887967 || +989354025848 >>> >>> _______________________________________________ >>> general mailing list >>> [email protected] >>> http://lists.tehlug.org/mailman/listinfo/general >>> unsubscribe: http://lists.tehlug.org/mailman/options/general >>> >> >> >> _______________________________________________ >> general mailing list >> [email protected] >> http://lists.tehlug.org/mailman/listinfo/general >> unsubscribe: http://lists.tehlug.org/mailman/options/general >> > > > > -- > ----------------------------- > http://cyberrabbits.net > > _______________________________________________ > general mailing list > [email protected] > http://lists.tehlug.org/mailman/listinfo/general > unsubscribe: http://lists.tehlug.org/mailman/options/general >
_______________________________________________ general mailing list [email protected] http://lists.tehlug.org/mailman/listinfo/general unsubscribe: http://lists.tehlug.org/mailman/options/general
