[shorts - краткие, но полезные заметки]

Уязвимости OpenSSH

В мире кибербезопасности каждый день появляются новые вызовы, и исследователи из Qualys Security Advisory недавно выявили две серьезные уязвимости, связанные с популярным инструментом OpenSSH. Давайте разберемся, что именно было обнаружено и как это может повлиять на вас и вашу инфраструктуру.

1. Атака типа MitM (Man-in-the-Middle)

Представьте себе ситуацию: вы пытаетесь подключиться к своему серверу, и злоумышленник, находящийся между вами и сервером, смог выдать себя за него. Это возможно благодаря уязвимости в OpenSSH, связанной с опцией VerifyHostKeyDNS. Хотя по умолчанию эта опция отключена, она может быть включена в некоторых системах (например, FreeBSD). При активированной проверке, атакующий может обойти все проверки идентичности сервера, что ставит под угрозу безопасность ваших данных.

2. Атака DoS (Denial of Service)

Но это ещё не всё! Открытая возможность для DoS-атак может вызвать недоступность вашего сервиса как для клиента, так и для сервера. Здесь злоумышленники могут использовать метод, при котором клиент будет активно запрашивать сервер, что создаст ненужную нагрузку на ресурсы и может привести к исчерпанию памяти или процессора. Это ненадолго, но достаточно, чтобы вызвать серьезные перебои в работе вашего бизнеса.

Что делать?

Обновите OpenSSH до последних версий! Это важно не только для исправления найденных уязвимостей, но также для получения дополнительных функций безопасности. Кроме того, внедряйте встроенные механизмы защиты, такие как LoginGraceTime и MaxStartups, чтобы минимизировать риски атак.

Источник

[shorts - краткие, но полезные заметки]

В этом треде публикуются посты, на которые стоит обратить внимание, если вы следите за миром ИБ

[Changelog]

История изменений

[Получить список ключей из таблицы]

Для этого достаточно пройтись в цикле по всем элементам

local keys={}
for key in pairs(t) do table.insert(keys, key) end

После этого в таблице keys будут ключи из таблицы t

[Вывести первый элемент в таблице]

В lua индексация таблиц начинается с единицы.

Попробуйте так:

local t = {100}
print(t[1])

 

[Отобразить все элементы таблицы lua]

Существует множество способов для решения вашей задачи. Будем опираться на использование Lua внутри Vikingo Engine.

Способ через json:

local json = require"json"
local t = {a=100, b={c=200}}
print(json.encode(t))

Способ через inspect:

local inspect = require"inspect"
local t = {a=100, b={c=200}}
print(inspect(t))

Некоторые примеры из интернета на чистом Lua:

#1

function tprint(t, s)
    for k, v in pairs(t) do
        local kfmt = '["' .. tostring(k) .. '"]'
        if type(k) ~= "string" then
            kfmt = "[" .. k .. "]"
        end
        local vfmt = '"' .. tostring(v) .. '"'
        if type(v) == "table" then
            tprint(v, s or "" .. kfmt)
        else
            if type(v) ~= "string" then
                vfmt = tostring(v)
            end
            print(type(t)..(s or '')..kfmt..' = '..vfmt)
        end
    end
end

local t = {a = 100, b = {c = 200}}
print(tprint(t))

#2

function dump_table(o)
    if type(o) == "table" then
        local s = "{ "
        for k, v in pairs(o) do
            if type(k) ~= "number" then
                k = '"' .. k .. '"'
            end
            s = s .. "[" .. k .. "] = " .. dump_table(v) .. ","
        end
        return s .. "} "
    else
        return tostring(o)
    end
end

local t = {a = 100, b = {c = 200}}
print(dump_table(t))

[Разбить строку на символы]

Если вы используете Vikingo Engine, то там можно использовать функцию split из пакета strings:

local strings = require("strings")
local s = "a,b"
local elements = strings.split(s, ",")
for _, element in pairs(elements) do
  print(element)
end

Ссылка на документацию по пакету https://vikingo.org/ru/engine/docs/lua-api/strings

[Генерация случайной строки на lua]

Для этого можно написать функцию на чистом lua:

local charset = "abcdefghijklmnopqrstuvwxyz1234567890"
function string.random(length)
    if length > 0 then
        return string.random(length - 1) .. charset:sub(math.random(1, #charset), 1)
    else
        return ""
    end
end
print (string.random(10))

В engine есть встроенная функция random_string, которая входит в пакет utils.

[Vikingo в Telegram]

Запустили русскоязычный канал и группу в телеграме. Там будем публиковать новости о нашем софте, важные изменения и анонсы. В группе можно пообщаться на разные темы.

Ссылка на канал: https://t.me/vkngpub

Ссылка на группу: https://t.me/vkngru

[Как преобразовать строку к числу]

Для этого можно воспользоваться встроенной функцией 

tonumber

Пример:

local s = "100"
print(type(s))
local num = tonumber(s)
print(type(num))