Ich habe schon viele gute Bewerbungen erhalten, aber sie waren alle nichts gegen den Kerl, der heute morgen per Email hereingeflogen kam. Die Eckdaten waren schonmal vielversprechend:

• 12+ years PHP experience
• 8+ years Perl experience
• sehr ansprechender Stundenlohn

Das klingt nach einem Perl-Guru, der dann auf PHP umgesattelt ist, nicht wahr?

Es wurden zwei PHP-Projekte zur Referenz angeboten, direkt mal angeschaut und vom Stuhl gefallen. Der Grund ist nicht wirklich schwer zu finden, die URL sah wie folgt aus:

http://XXXXXXXXXXXX.com/?main=pce/index.php

Für die Personen die spätestens jetzt total verwirrt sind: Der Homepage wird hinter dem ? der Variable main die Adresse zu einem PHP-Script zugewiesen (und zwar pce/index.php).

Wenn man also den Inhalt von main entsprechend verändert, kann man beliebige Dateien des Servers anzeigen. Beispiel:

So können wir die Datei /etc/passwd auslesen, in der Informationen über die Benutzeraccounts eines Linux-Systems gespeichert sind. Natürlich ist jetzt auch nicht mehr weit bis zu einem erfolgreichen Hack, aber darum geht es an dieser Stelle auch nicht.

Es gab noch einige weitere Sicherheitslücken in seinen Referenzprojekten, und nett wie ich bin habe ich sie ihm natürlich auch sofort mitgeteilt.

Den Job wird er aber nicht bekommen und hiermit verabschiede ich mich, sprachlos.

1

STRG + L

Viel Spaß!

Eine Bilddatei (Format: JPEG) wird als PDF benötigt. Das klingt ziemlich nach Imagemagick, und dürfte eigentlich nichts Großes sein für mein liebes Ubuntu – ich hatte glücklicherweise Recht

1. Imagemagick installieren (falls es noch nicht installiert wurde):
   

   1	sudo apt-get install imagemagick

2. JPG-Bild in PDF umwandeln:
   

   1	convert bild.jpg dokument.pdf

The same in English.

1
2
3
4

$OUT .= "<option value=\"" .
(($OUTPUT_VALUE != null)?$A[$OUTPUT_VALUE] : $A["name"]) . "\" " .
(($OUTPUT_EXTRA != null)?(($A[$OUTPUT_EXTRA] == $OUTPUT_EXTRA2)?"selected":""):"") .
"> " . htmlentities($A["name"], ENT_QUOTES) . "</option>";

Eine weitere Perle, zur besseren Übersicht aus der 200 Zeichen langen Konkatenation herausgenommen:

1

((($OUTPUT_EXTRA3 !== null || strlen($OUTPUT_EXTRA3) > 3) && $OUTPUT_EXTRA3!=='undefined')?$OUTPUT_EXTRA3:'Ziel wählen')

Es gibt Tage, da zweifle ich echt an meiner Berufswahl!

1
2
3
4
5

<Directory /var/www/html/>
    php_value mysql.default_user **Benutzername**
    php_value mysql.default_password **Passwort**
    php_value mysql.default_host **mein.mysqlserver.tld**
</Directory>

Daraufhin kann man in jedem PHP-Script unter /var/www/html einfach folgenden Code ausführen und man erhält eine Verbindung zu dem Datenbankserver:

1

$link = mysql_connect() or die(mysql_error());

Wenn nun z.B. irgendein Blog unsicheres PHP-Script geknackt wird, kann der Angreifer nicht an die Datenbank-Zugangsdaten kommen – das könnte einem Unternehmen im Ernstfall den Hintern retten.

Ich habe heute insgesamt 10 Stunden programmiert, und laut dem COCOMO-Modell dabei Software im Wert von 8.892 US-Dollar erstellt, dadurch komme ich auf einen Stundenlohn von $889.20 – will mir den denn jetzt wirklich niemand bezahlen?!

beni@fritz:~/workspace/Secret/src/Topsecret$ sloccount .
Creating filelist for Secret
Categorizing files.
Finding a working MD5 command....
Found a working MD5 command.
Computing results.

SLOC    Directory    SLOC-by-Language (Sorted)
347     secret          java=347

Totals grouped by language (dominant language first):
java:           347 (100.00%)


Total Physical Source Lines of Code (SLOC)                = 347
Development Effort Estimate, Person-Years (Person-Months) = 0.07 (0.79)
(Basic COCOMO model, Person-Months = 2.4 * (KSLOC**1.05))
Schedule Estimate, Years (Months)                         = 0.19 (2.29)
(Basic COCOMO model, Months = 2.5 * (person-months**0.38))
Estimated Average Number of Developers (Effort/Schedule)  = 0.35
Total Estimated Cost to Develop                           = $ 8,892
(average salary = $56,286/year, overhead = 2.40).
SLOCCount, Copyright (C) 2001-2004 David A. Wheeler
SLOCCount is Open Source Software/Free Software, licensed under the GNU GPL.
SLOCCount comes with ABSOLUTELY NO WARRANTY, and you are welcome to
redistribute it under certain conditions as specified by the GNU GPL license;
see the documentation for details.
Please credit this data as "generated using David A. Wheeler's 'SLOCCount'."

Eine Sache wundert mich aber ziemlich: Wie kann man 0.7 Personenmonate = 14 Mitarbeitertage in nur 10 Stunden unterbringen?

1
2
3
4
5

sudo apt-get install lame libmp3lame-dev subversion gcc;
svn checkout svn://svn.mplayerhq.hu/ffmpeg;
./configure --enable-libmp3lame --extra-cflags=-I/local/include --extra-ldflags=-L/local/lib;
make;
sudo make install;

Dem apt-get habe ich noch subversion und gcc hinzugefügt, weil es vielleicht nicht jeder auf seiner Kiste hat. Jedenfalls kann man mit der selbst kompilierten Entwicklerversion von ffmpeg schön mit Macromedia Flash Videos (.flv-Dateien) herumspielen.

• mehrere Kommentar-Profile sind möglich
• Textmutation im Kommentar. z.B. wird aus Du {Affe|Pferd}! entweder “Du Affe!” oder “Du Pferd!”.
• bessere Bedienung

Herunterladen kann man die neue Version von Mozilla.org, die anderen erhalten sie regulär über das Firefox-Update:

https://addons.mozilla.org/en-US/firefox/addon/9095/ !

1

LC_ALL=de_DE.UTF8

In die ~/.bash_rc einfügt und die Shell neustartet. Jetzt sieht endlich wieder das scharfe S “scharf” aus!

-

Hello dear extension developer, if you see somehere an XUL error like “undefined entity” whilst dealing with your extension’s locale files, just make sure that you saved all of them in UTF-8 character encoding. This really saves hours, at least for me