Все статьи категорий:

А у нас опять редизайн

Пока на сайте постепенно меняется дизайн, возможны некоторые ошибки в отображении страниц.

Вход в систему

K-U LUG в Jabber

Заходите к нам в конференцию: kamensk@conference.jabber.ru

Аудио и Видео, Графика, Прикладное ПО, Сетевое администрирование, Системное администрирование, Программирование, Разное

 

HoWto: Шлюз+шейпер для домашней сети (Ubuntu)

Моя домашняя сеть разрослась до количества трех компьютеров. В связи с чем началась дележка: кто будет качать первым.
Иногда даже страничка в ФФ открывается по 2-3 минуты, так как на соседнем компе во всю качает торрент.
Советом системных администраторов (то есть мной))) ) было принято решение создать шлюз c шейпером который будет динамически делить канал на всех.

Ну, начнем...

 

Создание локального хранилища пакетов в Debian GNU/Linux

После штатной установки Debian GNU/Linux довольно часто требуется доустановить то или иное ПО. Благо под данный дистрибутив собрано огромное количество пакетов. Все бы ничего, однако полная поставка Debian GNU/Linux версии 5.0 для архитектуры i386 включает 5 DVD дисков или 31 CD диск. Поэтому через какое-то время "диджеить" дисками, мягко скажем, надоедает. Но если у вас имеется достаточно места на жёстком диске, то от этого неудобства можно легко избавиться, - достаточно создать локальное хранилище файлов или локальный репозитарий. Чем мы сейчас и займёмся.

 

osCommerce: уязвимость в модуле kvitan.php (квитанция Сбербанк)

Найденная уязвимость позволяет любому пользователю смотреть любой заказ, оформленный в магазине где установлен модуль печати квитанции Сбербанка (файл kvitan.php).

Любой посетитель сайта может набрать в браузере: http://www.example.com/kvitan.php?order_id=X (или http://www.example.com/catalog/kvitan.php?order_id=X или другой путь по которому установлен каталог магазина), где X - это номер заказа (число), и просмотреть квитанцию сбербанка с датой, суммой платежа и платёжным адресом клиента.

Таким образом перебирая номера с 1 и далее пока не будет выдана ошибка, можно скачать всю историю заказов магазина с информацией о клиентах. Для этого можно например использовать простой скрипт и wget.

В 2008 году Александр Меновщиков известный под псевдонимом «vam», включил исправленную версию этого скрипта в свою пиратскую сборку «osCommerce VAM edition» ("патч" как и саму сборку могут скачивать только купившие лицензию, при том что движок распространяется по GPL). Но этот патч не устраняет уязвимость полностью.

В модификации от VAM был добавлен код, проверяющий залогинен ли пользователь, но при этом там всё равно нет проверки на соответствие между номером заказа и учётной записи пользователя. Поэтому для эксплуатации уязвимости в версии распространяемой Александром Меновщиковым, достаточно зарегистрироваться в магазине и можно точно также скачать все заказы.

Ниже приведён код, исправляющий данную уязвимость.

 

osCommerce: поиск в имени категории

osCommerce (ОСК, OSC) - самая известная CMS для интернет-магазина, распространяется по лицензии GPL.

Ниже приведена простая доработка механизма поиска товаров, которая добавляет название категории в область поиска.

Например, есть категория с названием "УАЗ", в ней есть товар "Двигатель ЗМЗ-4021".
При поиске "двигатель уаз" данный товар не будет найден, т.к. слово "уаз" не указано в названии товара (поиск производится по названию товара и по каталожному коду (model)). Приведённый ниже код устраняет этот недостаток.

Примечание: все изменения производились в текущей версии 2.2 RC2a.

 

osCommerce: корректный вывод курса валют ЦБРФ

osCommerce (ОСК, OSC) - самая известная CMS для интернет-магазина, распространяется по лицензии GPL.

Широко используемая в российских магазинах функция quote_cbr_currency для синхронизации курсов валют с ЦБРФ некорректно обрабатывает курс таких валют как белорусские рубли, тенге, юани и других валют, курс которых указан не за единицу (как доллар или евро) а за большее кол-во денег.
Например, курс белорусского рубля, выдаваемый сервером ЦБ нужно делить на 1000, тенге - на 100, юаня на 10 и т.п.
Порядок курса находится в поле <Nominal> XML-файла (http://www.cbr.ru/scripts/XML_daily.asp).

Ниже приведено исправление для этой функции, которое учитывает Nominal.

 
© 2004-2008, www.kamensk.net. Сайт работает на Drupal
При использовании материалов сайта прямая ссылка на www.kamensk.net обязательна.

Sorry, this page is in Russian only! For translate this site, you may use Babelfish or something else.