В этой короткой статье я хочу поделиться о том как получить RCE на системе с установленной CouchDB на большинстве инсталляций в локальной сети или во внешней сети, не защищенных брандмауэром. Для справки, в Shodan таких нашлось около полутора тысяч.
Новости
Дайджест интересных материалов для мобильного разработчика #439 (11 — 17 апреля)
Создание СМИБ по новому ГОСТу: разбираемся в ключевых понятиях и новшествах за 5 минут
Первого января 2022 года был введен в действие стандарт ГОСТ Р ИСО/МЭК 27001:2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности» (аутентичный перевод ISO/IEC ISO 27001:2013). Данное событие осталось не особо замеченным уважаемой публикой, хотя любому специалисту по информационной безопасности, стремящемуся к уменьшению бардака в сфере ИБ в своей организации с помощью внедрения процессного подхода, стоит не только понимать, но и уметь применять данный ГОСТ. К тому же в отличие от предыдущей версии 2006 года новый стандарт очень качественно переведен на русский язык.
К сожалению, на неподготовленного читателя данный стандарт, как и любой другой подобный документ, нагнетает скуку своим сухим языком и не всегда очевидной терминологией. Поэтому в этой статье кратко рассмотрим ключевые понятия и концепции, лежащие в основе стандарта. По ходу изложения разберем основные отличия новой версии от предыдущей и узнаем, почему старая версия стандарта позволяла обмануть центры по сертификации, а с вводом новой версии такое провернуть уже невозможно.
Делаем клоны сервисов вместе
Как вы все знаете, многие ИТ-компании покидают Россию. И как вы, возможно, догадываетесь, многие разработчики в России в спешном порядке разрабатывают аналоги закрывающихся (и даже не только закрывающихся) сервисов.
В статье я порассуждаю о сервисе, который призван сделать это более эффективно.
Обработка ошибок на React с помощью Error Boundary
Привет, когда разрабатываем любой проект на React, мы, при выборе что рендерить, больше всего имеем дело с условными операторами или просто с передачей компонентов в определенный компонент, функцию или тому подобное. Но если происходит неожиданная ситуация и в React компоненте или функции случается ошибка, то, зачастую мы видим белый экран смерти. И после этого нам надо открыть инструменты разработчика, чтобы увидеть в консоли ошибку. А это точно не лучший способ обработки ошибок. Решением данной проблемы является Error Boundary.
Flutter: обзор алгоритмов хэширования с использованием плагина hash
Что такое и с какой целью необходимо использовать хэширование? Все виды хэширования.
Сложность: Новичок.
Данная статья будет повествовать о том, что такое хэширование и какие алгоритмы хэширования используются в плагине hash, а также будет приведена сравнительная таблица, в которой можно будет увидеть и сравнить характеристики тех или иных алгоритмов хэширования, поддерживаемых данным плагином.
Самолетная система доставки Zipline
Доставка грузов при помощи беспилотных летательных аппаратов (БЛА) в самое ближайшее время станет обыденность. Причем в этой новой области, помимо возникающих и исчезающих хайповых проектов доставки пива/пиццы/смартфонов, уже несколько лет существуют реально успешные проекты. Один из них: компания Zipline, обеспечивающая доставку медицинских грузов в Руанде. Интересно рассмотреть технические решения, к которым пришла компания за годы работы и многие тысячи часов «налета».
Cisco Jabber и Skype for Bussiness. Часть первая
Больше, чем соревнование: чем хакатоны могут быть полезны бизнесу и участникам
В марте страну покинули 50-70 тыс. представителей IT-отрасли, а многие из оставшихся лишились работы из-за ухода иностранных компаний — почти половина российских IT-специалистов сейчас находится в поиске работы. На фоне общего оттока IT-кадров возникает вопрос, что со всем этим делать.
Один из способов подступиться к решению этих задач — старые добрые хакатоны. Не панацея, но инструмент, который помогает бизнесу искать решения актуальных проблем и хантить ценных сотрудников. Ну а для профессионалов отрасли — это возможность показать себя и, возможно, найти работу или инвестиции. А если вы из тех, кто решил поменять профессию и только «вошел в айти» — отличный способ протестировать силы.
Как не разочароваться в программировании и не отчислиться после второго курса
Предисловие: это гайд для старшеклассников, первокурсников и тех кто отчаялся в программировании и подумал, что это сложно и не для меня.
Здравствуй, Хабр! Это моя первая статься, не судите строго, надеюсь помогу кому-то своими наблюдениями и опытом. На своем жизненном пути через универ я повстречал немало людей, которые мало того, что отчисляются со специальностей, на которые они поступили, так еще и некоторые умудряются еле закончить злосчастные 4 курса, поступить в магистратуру и по итогу пойти работать в школу танцев (если речь шла не о танцевальном училище) или продавцом-консультантом в модные бутики и ловить с этого кайф. Я никого не осуждаю, каждый выбирает свой путь и свое место сам, но потраченных лет уже не вернуть. И речь идет не только про айти специальности, но говорить мы будем сегодня именно про них.
Bitsy. Make games, without operations
Если вы давно хотели научиться делать игры, но не знали с чего начать, то рекомендуем попробовать Bitsy.
Это редактор полного цикла для создания простых игр и маленьких миров на основе html. Это значит, что ваша игра максимально доступна и не требовательна, ее легко можно опубликовать на Itch.io или любой другой бесплатной платформе и делиться с широким кругом игроков. По словам создателя движка, Адама Леду, цель Битси – “предоставить простой способ делать игры, в которых можно ходить, общаться с людьми и просто пребывать”. За пять лет существования движка вокруг него выросло живое и дружное сообщество. Было создано более 4000 игр. С помощью них люди рассказывали личные истории, создавали сложные фантастические миры, высказывались об актуальных событиях и делали многое другое. Вот далеко не исчерпывающий список наиболее интересных и необычных из этих игр. Подробней узнать об истории создания Битси можно здесь.
Битси очень дружелюбен для новичков. Этот движок разрабатывается для людей, не умеющих программировать или использовать сложный софт. Ваш персонаж может ходить, общаться с другими персонажами, поднимать условный ключ и открывать им условную дверь – вот, пожалуй, и всё. Как видите, всё простенько, но в данном случае простота – это сила. Сила Битси – в его ограничениях: каждый пиксель, слово, цвет имеют большой вес. Нет ничего лишнего. С его помощью вы можете создать короткие сюжетные игры или маленькие приключения. Рассказать свою историю или поделиться важной идеей в интерактивной форме – избежав долгой и трудоемкой разработки. При этом многие умельцы делают с Битси невероятные вещи. В общем, главное ограничение разработчика игр – его фантазия.
Даосская модель «выгорания»
В статье простым языком описана работающая даосская модель, полезность которой доказана тысячелетней историей.
Главное требование к модели – полезность. Обеспечивает ли её применение стабильный и ожидаемый результат? Это можно узнать исключительно на практике.
С другой стороны, даже бросая дротик с завязанными глазами, можно время от времени попадать «в яблочко».
Какой подход выбрать? Когда последствия выбора влияют на человеческую жизнь – решение всегда за конкретным человеком.
Но тут мы сталкиваемся с труднопреодолимым противоречием.
Большинство людей и пальцем не пошевелит, пока не узнает «как работает мозг» и как называется вещество, от которого нам становится хорошо (пусть, например, дофамин или серотонин). Их не смущает что:
«Если больной узнает, как называется болезнь на латыни, ему легче не станет».
Противоречие:
чтобы узнать, нужно применить,
чтобы применить, нужно знать.
Даосы традиционно разрешают это противоречие через доверие. Не через слепую веру, заметьте. Доверие это «точка входа», но не критерий истинности.
«Не разбив яиц, не сделаешь омлет». И не узнаешь, хорош ли рецепт.
Статья может оказаться полезной как «точка входа». Из-за ограниченности формата и заявленной темы в ней нет ответов на вопрос «Как?»
Если тема окажется сообществу интересной, то продолжение последует.
Хранение кода в SCM
Смотри, ты устроился работать в большую компанию, где много команд, каждая разрабатывает свой продукт, часть из них создаёт микросервисы вокруг ядра, часть создаёт свои отдельные полноценные продукты. И, допустим, вся разработка до сих пор не использует централизованное хранение кода, работает без CI/CD и без наработок DevOps. Твоей первой задачей поставили организовать подход к хранению исходного кода в рамках всей компании. По секрету скажу, большие компании любят, когда используется единый подход, индивидуализм для бизнес-конвейеров всегда означает сложность управления сроками разработки, поставки и т.д. Задача, которая кажется простой на первый взгляд, всегда обрастает сложностями в нюансах.
Ты настроен на волну NotOps и в этой статье я постараюсь ответить на вопросы:
Почта для домена в Telegram
Дважды начинал эту заметку ибо откровений и контента мало. Решая личную проблему переезда входящей почты с Yandex 360, оказалось, что бесплатных парковок "на западе" не имеется. Zoho как альтернатива, определенно, хорош, но 90 центов за домен в месяц для десятка доменов с сотней текстовых входящих показалось избыточным. На коленке был собран wizard, связывающий SendGrid и Telegram вместе.
Понимание оценки BLEU в кастомизированном машинном переводе
Про то, что такое оценка качества машинного перевода BLEU и как кастомизация движка машинного перевода с помощью правильно подобранного обучающего датасета улучшает читаемость текста.
KiCad: скругление дорожек и создание каплевидных падов
KiCad с годами стал намного лучше, но при этом ему по-прежнему недостаёт возможности рисовать плавные, закруглённые дорожки с каплевидными падами (teardrops). И хоть многие находят этот функционал не особо нужным, в его пользу существует ряд аргументов, которые и привели к реализации данного проекта, а именно двух плагинов — для скругления дорожек и формирования каплевидных подводов.
Какие льготы IT-компаниям дают и как их получить
О мерах поддержки IT-компаний написали многие, в том числе на Хабре. В теории добиться их несложно, практика может отличаться. Мы спросили, как получить льготы, у компании, которой это удалось.
Удобная работа с консольными утилитами в Unity
Всем привет! Меня зовут Григорий Дядиченко, я занимаюсь продюсированием digital проектов. Сегодня хотелось бы поговорить про возможности расширения редактора Unity, и как вы можете упростить себе работу на примере включения-выключения nginx из Unity. Мы пройдёмся по теме сборки AssetBundles и работы с процессами в C#.
Памяти Владислава Крапивина
Это произошло очень давно, а может быть — не происходило никогда.
Передача центров затрат с привязкой к дополнительным объектам Employee Central
Привет, Хабр!
Этой публикацией я продолжаю серию переводов своих блогов с SAP Community, посвященных модулю Employee Central системы SuccessFactors.
Эта статья появилась на свет, потому в открытом доступе отсутствует информация о том, как передавать места возникновения затрат в привязке к каким бы то ни было объектам, кроме юридических лиц и контроллинговых единиц. Хотя в модуле SAP CO есть целая иерархия мест возникновений затрат, цель которой сделать выбор мест возникновений затрат более дружественным. Так почему бы не перенести часть этой иерархии в Employee Central, чтобы и там сделать выбор МВЗ более дружественным?
Если Вам интересно узнать о передаче мест возникновений затрат из SAP CO в Employee Central, то читайте дальше. И если что-то Вам будет непонятно, то спрашивайте – я с радостью отвечу на Ваши вопросы!
С уважением,
Владимир