[Giải thích] Video Hacker phịt Bkav ak bê cạp

Chán đéo nói với tml nữa.
Không phải khi không công nghệ dịch chuyển các hệ thống lớn từ desktop app sang bên web-based đâu.

Vì nó dễ, thời tao chỉ mấy thằng dốt mới đi học Webs. Tao là thằng luôn viết mọi thứ từ A-Z, khi dùng nền tảng khác cũng phải tuỳ tính huống, những thứ cần an toàn như quản lý FireWall chẳng bao giờ nên dùng nền tảng Webs
 
Sửa lần cuối:
Chán đéo nói với tml nữa.
Không phải khi không công nghệ dịch chuyển các hệ thống lớn từ desktop app sang bên web-based đâu.

Như dạng game online mày nói, mày chơi quả man in the middle, hoặc dùng packet tracer, black shark là mày vẫn bắt được gói tin giao nhận giữa client vs server mà.

Mày giải thích giùm tao sự khác nhau cơ bản giữa desktop app và web-based 1 xíu, cái ưu điểm và nhược điểm của từng bên. Khi mày nhìn vào cái bảng so sánh đấy thì mày sẽ thấy nền tảng phát triển phần mềm ở đây nó éo đóng cái vai trò méo gì trong bảo mật cả.

Ở mức độ lập trình viết phần mềm (tao không bàn đến bảo mật cho cả hệ thống), với cả desktop app lẫn web-based , bảo mật ở đây là câu chuyện mã hóa dữ liệu, phân quyền, chống sql injection và xss, chống rò rỉ dữ liệu nhạy cảm.

mấy cái tao đề cập ở trên thì tao tin là tml mày code đến 10 năm rồi thì mày làm tốt, thậm chí rất tốt. Mày làm tốt ở trên desktop rồi thì mày vác sang bên web nó cũng thế thôi, không khác nhau đâu.
Suy nghĩ của tao sẽ khác tụi máy chút, gần 20 năm làm C/C++ giờ nhìn lại toàn mấy đứa nhỏ. Dm, lâu lắm rồi chưa thằng IT nào dám chửi tao ngu, vào đây bị AE xàm chửi cho sml
 
Vì nó dễ, thời tao chỉ mấy thằng dốt mới đi học Webs. Tao là thằng luôn viết mọi thứ từ A-Z, khi dùng nền tảng khác cũng phải tuỳ tính huống, những thứ cần an toàn như quản lý FireWall chẳng bao giờ nên dùng nền tảng Webs
Đúng đúng, câu này thì mày nói chí phải, chỉ thằng dốt mới đi làm web.

Cơ mà giờ vật đổi sao dời, cùng với sự bá đạo của Google, Facebook và Alibaba, giờ front end nó tách ra thành một mảng rất riêng rồi. Giờ làm web là phải nói đến type script, nói đến Angular, React với Vuejs.

Chưa kể tao đợt rồi đi phỏng vấn thấy toàn nói về mây, mây và mây. Mẹ chả lẽ tao lại trả lời mây thì tao có biết em Mi Vân 400k à
 
Suy nghĩ của tao sẽ khác tụi máy chút, gần 20 năm làm C/C++ giờ nhìn lại toàn mấy đứa nhỏ. Dm, lâu lắm rồi chưa thằng IT nào dám chửi tao ngu, vào đây bị AE xàm chửi cho sml
Mẹ, cái thằng nông dân chủ thớt này nó đéo phải dân trong nghề, nghe nói nói về VPN tao thấy toàn gió rồi.

Tao không nói mày ngu, nhưng quan điểm của mày về mối quan hệ giữa nền tảng phát triển phần mềm với tính bảo mật của phầm mềm đấy, ở góc nhìn của tao, là không chính xác
 
Mày nên ngững chém gió được rồi đó. Bản thân cái VPN là gì mày không nắm rõ nên thôi tao tạm bỏ qua.

Có rất nhiều thứ trong 1 hệ thống phần mềm dùng config file để lưu, về bản chất thì nó vẫn là file text thôi. Thằng kia nó cũng có cái lý của nó :)

Cái 1, 2, 3 của mày tao chả hiểu mày đào cái qui trình "bảo mật" ấy từ đâu ra, vì bọn tao éo ai làm thế cả.
-Ok coi như tao đếu biết VPN là gì… Nhưng cái chỗ thg chunxong nó hack là Bkav IPS Firewall <= còn nó có pải là vpn ko thì mài tự xem lại…
-1,2,3 tao nói là cái tổng thể chứ còn chuyên sâu vào cách bước bảo mật thì lại khác….( tao đếu lm đếu bik) nhưng tao biết phần mền viết xong thì phải check một số lỗi cơ bản để tránh bị tấn công… Còn xịn xò hơn thì nới thuê bọn bảo mật check …
- Tao có bảo ko dc dùng file text thay thế database đâu… Nhưng nếu có nhiều dữ liệu cần lưu thì nên dùng database mà…
 
A
Mẹ, cái thằng nông dân chủ thớt này nó đéo phải dân trong nghề, nghe nói nói về VPN tao thấy toàn gió rồi.

Tao không nói mày ngu, nhưng quan điểm của mày về mối quan hệ giữa nền tảng phát triển phần mềm với tính bảo mật của phầm mềm đấy, ở góc nhìn của tao, là không chính xác
À nhân tiện mài giải thích cho tao xem… Tại sao mài bảo cái trang login đó ko pải là VPN mà bảo ng khác chém gió…
Cái thg chui vào đó aka chunxong bảo là VPN lại sai trong khi thg ngồi xem video phán lại đúng… À nó cũng đưa code của cái mài bảo đếu pải VPN lên mạng đó… load về nà xem rồi khẳng định cho chắc…
 
-Ok coi như tao đếu biết VPN là gì… Nhưng cái chỗ thg chunxong nó hack là Bkav IPS Firewall <= còn nó có pải là vpn ko thì mài tự xem lại…
-1,2,3 tao nói là cái tổng thể chứ còn chuyên sâu vào cách bước bảo mật thì lại khác….( tao đếu lm đếu bik) nhưng tao biết phần mền viết xong thì phải check một số lỗi cơ bản để tránh bị tấn công… Còn xịn xò hơn thì nới thuê bọn bảo mật check …
- Tao có bảo ko dc dùng file text thay thế database đâu… Nhưng nếu có nhiều dữ liệu cần lưu thì nên dùng database mà…
Đcmm, biết thì thưa thốt, không biết thì để các anh trong nghề nói cho mà nghe, đừng có cãi. Dân xạo chó lại đòi chém gió với công nhân gõ bàn phím về kiến thức của mảng IT, rõ hài. cái thứ 2 với cái thứ 3 tao không rảnh mà trả treo với mày. Còn câu số 1 coi như tao giáo dục vì dân trí.

VPN hay còn gọi là Virtual Private Network (mạng riêng ảo), cho phép người dùng thiết lập mạng riêng ảo với một mạng khác trên Internet. Nói nôm na, công ty mày chỉ cho phép các PC trong mạng nội bộ của công ty truy cập vào 1 số tài nguyên nhất định, thông qua CÁC GIAO THỨC VPN, cụ thể là các phần mềm hỗ trợ các giao thức này (ví dụ: forti client), tml mày có thể ngồi ở nhà, quán cà phê v.v. mà vẫn có thể truy cập được vào các tài nguyên bên trọng mạng nội bộ của công ty mày

IPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập) là hệ thống theo dõi, ngăn ngừa kịp thời các hoạt động xâm nhập không mong muốn, và cái IPS firewall cũng chỉ là 1 cái tool (phần mềm/hệ thống phần mềm) cụ thể trong cái hệ thống IPS mà BKAV đã triển khai, nói thẳng ra nó là cái bốt bảo vệ trước cửa công ty, tml nào muốn vào công ty cũng phải đi qua nó để nó kiểm soát, kể cả tml mày có sử dụng giao thức VPN để truy cập thì vẫn cứ phải qua thằng firewall này thôi.

đọc đến đây thì tml mày thấy cái câu số 1 mày viết ra nó có đúng không.

Tao chỉnh lại theo ý của mày
1 - thằng chun gì đó phát hiện lỗi SQL injection của BKAV
2 - thằng đó nó tìm cách vượt qua tưởng lửa (cái mà mày gọi là BKAV IPS firewall) bằng cách dò ra VPN server, cấu hình và thông tin xác thực của VPN để truy cập vào mạng nội bộ của BKAV
3 - sau khi tml đấy truy cập được vào mạng nội bộ của BKAV, thằng đấy làm một số trò con bò như chúng ta đã thấy

Xong, mày có thể bê nguyên cái đám đấy để đi tán gái hoặc chém gió trong lúc nhậu

P/s: Mày còn nhầm lẫn nghiêm trọng giữa VPN server và file server, thôi cái này mày tự tìm hiểu. nhân tiện trả lời cái thắc mắc của tml mày rồi nhé

À nhân tiện mài giải thích cho tao xem… Tại sao mài bảo cái trang login đó ko pải là VPN mà bảo ng khác chém gió…
Cái thg chui vào đó aka chunxong bảo là VPN lại sai trong khi thg ngồi xem video phán lại đúng… À nó cũng đưa code của cái mài bảo đếu pải VPN lên mạng đó… load về nà xem rồi khẳng định cho chắc…
 
Sửa lần cuối:
Đọc đến đoạn này tao mới nhớ bên tao bị dính quả này. Nó dùng phần mềm bắt gói tin truyền giữa game client và game server để auto thắng. Hồi đó bọn nó dùng cheat engine để làm trò này. Ah tao học công nghệ không phải dân công nghệ nhé, đọc thấy giống thôi.
Chán đéo nói với tml nữa.
Không phải khi không công nghệ dịch chuyển các hệ thống lớn từ desktop app sang bên web-based đâu.

Như dạng game online mày nói, mày chơi quả man in the middle, hoặc dùng packet tracer, black shark là mày vẫn bắt được gói tin giao nhận giữa client vs server mà.

Mày giải thích giùm tao sự khác nhau cơ bản giữa desktop app và web-based 1 xíu, cái ưu điểm và nhược điểm của từng bên. Khi mày nhìn vào cái bảng so sánh đấy thì mày sẽ thấy nền tảng phát triển phần mềm ở đây nó éo đóng cái vai trò méo gì trong bảo mật cả.

Ở mức độ lập trình viết phần mềm (tao không bàn đến bảo mật cho cả hệ thống), với cả desktop app lẫn web-based , bảo mật ở đây là câu chuyện mã hóa dữ liệu, phân quyền, chống sql injection và xss, chống rò rỉ dữ liệu nhạy cảm.

mấy cái tao đề cập ở trên thì tao tin là tml mày code đến 10 năm rồi thì mày làm tốt, thậm chí rất tốt. Mày làm tốt ở trên desktop rồi thì mày vác sang bên web nó cũng thế thôi, không khác nhau đâu.
 
Offline SQL là clg?
là những DB ngay trên máy local/chung 1 host với ứng dụng, hoặc là local db.
tiêu biểu cho quả này mày có thể thấy là Sql Lite, Sql Compact....

Tml kia nói như thế có nghĩa là các ứng dụng của nó viết ra toàn từ cỡ nhỏ đến rất nhỏ, hoặc đơn giản chỉ là những tool nội bộ nho nhỏ trong 1 tổ chức nào đấy
 
Đọc đến đoạn này tao mới nhớ bên tao bị dính quả này. Nó dùng phần mềm bắt gói tin truyền giữa game client và game server để auto thắng. Hồi đó bọn nó dùng cheat engine để làm trò này. Ah tao học công nghệ không phải dân công nghệ nhé, đọc thấy giống thôi.
1 thời rất xưa rồi, khi mà phần cứng còn đắt.
Mà cheat engine thực chất chỉ là công cụ can thiệp và sửa đổi nội dung ở trên ram thôi. Nhưng đúng là 2 thập kỷ trước (những năm 200x) có trò này.
Đến tận năm 2013 hay 2014 gì đấy 1 số game online sử dụng công nghệ cũ vẫn bị dính. Mà nói đâu xa, mấy game như đột kích, audition, v.v là minh chứng tiêu biểu, khi mà sự can thiệp bên phía client gây ra những sự sai lệch về dữ liệu nhưng phía server bất lực
 
1 thời rất xưa rồi, khi mà phần cứng còn đắt.
Mà cheat engine thực chất chỉ là công cụ can thiệp và sửa đổi nội dung ở trên ram thôi. Nhưng đúng là 2 thập kỷ trước (những năm 200x) có trò này.
Đến tận năm 2013 hay 2014 gì đấy 1 số game online sử dụng công nghệ cũ vẫn bị dính. Mà nói đâu xa, mấy game như đột kích, audition, v.v là minh chứng tiêu biểu, khi mà sự can thiệp bên phía client gây ra những sự sai lệch về dữ liệu nhưng phía server bất lực
Đúng rồi 2007 đó tml, tao nhớ chỉ cần sửa cái mã hexa khi cheat engine tóm được gói tin là ok. Hồi đó chưa có audition và đột kích đâu, con game đó vẫn chạy bằng cách cài đặt cái plugin trên IE mà. Nhớ lại hồi đó thấy công nghệ nông dân vcl. Mà hài, mình ở bên sản phẩm, thì cũng được user nó chỉ cho cách sử dụng cheat engine nhưng lúc nói với tech chúng nó cứ bảo mày phải hack cho anh thì anh mới hình dung được. Cái dcm chúng nó, bố mày là bên KD và sản phẩm chứ tech đéo đâu mà bảo ngồi hack, thế là chửi nhau
 
Tới trang 2 thì tao thấy não nhảy số hơi chậm rồi
Trong xàm này nhiều anh tài làm mảng IT lắm, có điều tụi tao lên đây chủ yếu gái gú địt bọp, chém gió làm vui. Mấy cái vụ nặng tính chuyên môn như này thường bọn tao ko trao đổi trong diễn đàn sex như xàm này.

Một số anh em tao IT kỳ cựu tao có thể kể tên như @saxvai cách đây 1 năm có những thread về mbtm cũng như về định hướng về mảng IT rất chất lượng.
 
ĐM bọn nó cố lấp liếm đi,
Tao nghĩ thằng chunxong là người Tầu,
web của nó toàn tiếng Tầu
Nó lại nói đến thằng Orange Tsai là 1 thằng Tầu
Và ĐKM nó troll thằng Wuangr vào đúng ngày 7/8 là ngày thằng Tsai published bài viết.SharedScreenshot.jpg

Nếu cứ theo dòng sự kiện, tao nghi 2/9 lại có phim hay để coi

SharedScreenshot.jpg
 
Thằng Tầu mà nó chọc vào cả mail cuốc hụi, cả source code cuốc hụi thì chết mẹ rùi
 
Cái sql injection này vẫn hữu dụng ở thời điểm hiện tại.
chứ đừng nói 10 20 năm trước.
xài mongodb, hay sqlite vẫn dính như thường.
 
Suy nghĩ của tao sẽ khác tụi máy chút, gần 20 năm làm C/C++ giờ nhìn lại toàn mấy đứa nhỏ. Dm, lâu lắm rồi chưa thằng IT nào dám chửi tao ngu, vào đây bị AE xàm chửi cho sml
Vấn đề không phải là dùng công nghệ gì, mà là điều kiện check thế nào để tránh bị khai thác. Mẹ, kể cả mày hard code thẳng cái password, nhưng điều kiện check password của mày không chặt chẽ thì vẫn "chèn" vào được cái OR 1 = 1 kia.
 
Sửa lần cuối:
À mà câu select nó viêt thấy lol nào mà SQLI đc nhỉ
select * from login where user='name' , pass='1234' or 1=1 --
Đkm éo ai làm thế nhỉ, phải tao thì
select pass from login where user='name'
if (pass=='pass') then
Thế thì đkm thằng chunxong hack kiểu gì nhể

P/s đại ý thế còn chi tiết phải cho vào parameter và hash
 
Sửa lần cuối:
Đcmm, biết thì thưa thốt, không biết thì để các anh trong nghề nói cho mà nghe, đừng có cãi. Dân xạo chó lại đòi chém gió với công nhân gõ bàn phím về kiến thức của mảng IT, rõ hài. cái thứ 2 với cái thứ 3 tao không rảnh mà trả treo với mày. Còn câu số 1 coi như tao giáo dục vì dân trí.

VPN hay còn gọi là Virtual Private Network (mạng riêng ảo), cho phép người dùng thiết lập mạng riêng ảo với một mạng khác trên Internet. Nói nôm na, công ty mày chỉ cho phép các PC trong mạng nội bộ của công ty truy cập vào 1 số tài nguyên nhất định, thông qua CÁC GIAO THỨC VPN, cụ thể là các phần mềm hỗ trợ các giao thức này (ví dụ: forti client), tml mày có thể ngồi ở nhà, quán cà phê v.v. mà vẫn có thể truy cập được vào các tài nguyên bên trọng mạng nội bộ của công ty mày

IPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập) là hệ thống theo dõi, ngăn ngừa kịp thời các hoạt động xâm nhập không mong muốn, và cái IPS firewall cũng chỉ là 1 cái tool (phần mềm/hệ thống phần mềm) cụ thể trong cái hệ thống IPS mà BKAV đã triển khai, nói thẳng ra nó là cái bốt bảo vệ trước cửa công ty, tml nào muốn vào công ty cũng phải đi qua nó để nó kiểm soát, kể cả tml mày có sử dụng giao thức VPN để truy cập thì vẫn cứ phải qua thằng firewall này thôi.

đọc đến đây thì tml mày thấy cái câu số 1 mày viết ra nó có đúng không.

Tao chỉnh lại theo ý của mày
1 - thằng chun gì đó phát hiện lỗi SQL injection của BKAV
2 - thằng đó nó tìm cách vượt qua tưởng lửa (cái mà mày gọi là BKAV IPS firewall) bằng cách dò ra VPN server, cấu hình và thông tin xác thực của VPN để truy cập vào mạng nội bộ của BKAV
3 - sau khi tml đấy truy cập được vào mạng nội bộ của BKAV, thằng đấy làm một số trò con bò như chúng ta đã thấy

Xong, mày có thể bê nguyên cái đám đấy để đi tán gái hoặc chém gió trong lúc nhậu

P/s: Mày còn nhầm lẫn nghiêm trọng giữa VPN server và file server, thôi cái này mày tự tìm hiểu. nhân tiện trả lời cái thắc mắc của tml mày rồi nhé

Cái thiết bị này của BKAV nó vừa là Firewall, IPS, VPN, Load Balancer... luôn nhá. Thằng chunxong nó vào được giao diện quản lý của cái thiết bị này bằng inject SQL, đồng nghĩa với việc nó có luôn tài khoản VPN và một cơ số các thông tin khác.

Thằng @Nong_dan không hiểu khái niệm VPN server, nhưng nó nói có phần đúng ở chỗ là cái trang quản trị này chỉ nên giới hạn người truy cập, không public lên cả làng như thế. Mở thì chỉ mở phần VPN ra thôi, ví dụ VPN chạy port 10443 thì chỉ public port 10443, port cho quản trị là 8008 thì giới hạn.
 
Sửa lần cuối:
À, tao không nói dùng nền Web, những thứ quan trọng tao toàn tự viết từ A-Z, sẽ có 2 phần mềm 1 là Client để truy cập đến Server và hiển thị thông tin, 2 là Server để nhận Paket là truy cập DataBase, những dữ liệu quan trọng dung lượng thấp tao tự viết cấu trúc cả, không có chuyện dùng SQL, khi phải dùng SQL thì phải Offline SQL, làm như vậy sẽ không lo hack bằng bất kỳ kỹ thuật nào, cái Inject SQL chỉ là lông gà vỏ tỏi thôi. Mấy thứ này tao làm từ hơn 10 năm trước rồi, cơ bản chấp hết mọi thể loại Hacker. Còn nền Web không an toàn chút nào, có rất nhiều lỗi chỉ vài thằng Pro mới biết, chúng nó dữ làm của riêng, sẽ không bao giờ đến được tay hãng phát triển nền tảng mà Fix.

Sql offline hay có dạng như Sqlite, hoặc chỉ chạy local hả? Bản chất vẫn là lưu trữ dữ liệu. Chả khác gì mysql, hay mongodb tắt remote đi.
và thằng ứng dụng phải kết nối vào data, thì vẫn có thể dính Sql Injection.
nếu xài desktop, thì đa số là bên game, hoặc phần mềm gì đó.


giao tiếp client server = tcp/ip vẫn bị bắt gói tin, hack như thường.
nếu chống dc, thì đã ko có hack bypass cả anticheat như VAC, BattleEyes,...

cái nào cũng có nhược điểm.
biết cách xài, thì web bây giờ bảo mật ghê hơn xưa nhiều.
giờ là thời đại của api, rpc, cluster, microservices, chứ ko phải ba cái web tĩnh web động thời 2008 2009 đâu.
 
Vấn đề không phải là dùng công nghệ gì, mà là điều kiện check thế nào để tránh bị khai thác. Mẹ, kể cả mày hard code thẳng cái password, nhưng điều kiện check password của mày không chặt chẽ thì vẫn "chèn" vào được cái OR 1 = 1 kia.

Tao Copy trên mạng cho mày cái Code Querry SQL bằng C#, giờ dùng vậy, Querry truyền trước, biến truyền sau, dùng như vậy khỏi lo Inject. Mấy thứ lông gà vỏ tỏi này tao không quan tâm lắm

string sql = "Insert into Salary_Grade (Grade, High_Salary, Low_Salary) "
+ " values (@grade, @highSalary, @lowSalary) ";

SqlCommand cmd = connection.CreateCommand();
cmd.CommandText = sql;

// Tạo một đối tượng Parameter.
SqlParameter gradeParam = new SqlParameter("@grade",SqlDbType.Int);
gradeParam.Value = 3;
cmd.Parameters.Add(gradeParam);

// Thêm tham số @highSalary (Viết ngắn hơn).
SqlParameter highSalaryParam = cmd.Parameters.Add("@highSalary", SqlDbType.Float);
highSalaryParam.Value = 20000;

// Thêm tham số @lowSalary (Viết ngắn hơn nữa).
cmd.Parameters.Add("@lowSalary", SqlDbType.Float ).Value = 10000;

// Thực thi Command (Dùng cho delete, insert, update).
int rowCount = cmd.ExecuteNonQuery();
 
Tao Copy trên mạng cho mày cái Code Querry SQL bằng C#, giờ dùng vậy, Querry truyền trước, biến truyền sau, dùng như vậy khỏi lo Inject. Mấy thứ lông gà vỏ tỏi này tao không quan tâm lắm

string sql = "Insert into Salary_Grade (Grade, High_Salary, Low_Salary) "
+ " values (@grade, @highSalary, @lowSalary) ";

SqlCommand cmd = connection.CreateCommand();
cmd.CommandText = sql;

// Tạo một đối tượng Parameter.
SqlParameter gradeParam = new SqlParameter("@grade",SqlDbType.Int);
gradeParam.Value = 3;
cmd.Parameters.Add(gradeParam);

// Thêm tham số @highSalary (Viết ngắn hơn).
SqlParameter highSalaryParam = cmd.Parameters.Add("@highSalary", SqlDbType.Float);
highSalaryParam.Value = 20000;

// Thêm tham số @lowSalary (Viết ngắn hơn nữa).
cmd.Parameters.Add("@lowSalary", SqlDbType.Float ).Value = 10000;

// Thực thi Command (Dùng cho delete, insert, update).
int rowCount = cmd.ExecuteNonQuery();
Mày cũng hơi lạc đề rồi. Vấn đề là code base của cái thiết bị kia không tốt. Bản thân thiết bị đó có OS riêng, có embedded DB. Mày lại bàn sang vấn đề dùng công nghệ thế nào để tránh bị inject SQL.
 

Có thể bạn quan tâm

Top