Нынешняя траектория развития мирового сообщества имеет стратегической целью максимальное получение прибыли, а не гармонизацию отношений Человек - Природа. Существующая система ценностей основана на экономических категориях, на приоритете цели и на неразборчивости методов её достижения.
Следствием избранного пути экономического развития и технологического прогресса современного общества сталидве главные системные проблемы :
· рост социальной несправедливости и экономического расслоения человечества;
· увеличение антропогенного давления человека на Природу.
Каждая из этих проблем в перспективе ведёт к глобальному кризису. Но у мирового сообщества не хватает интеллектуального и организационного потенциала сломать существующие тенденции и изменить стратегию властвующих элит.
Рост экономического расслоения и как с ним «борется» власть
Несмотря на многочисленные декларации и резолюции многочисленных международных организаций, включая ООН, о борьбе с бедностью продолжает расти разница в развитии богатых и беднейших стран. Если в 1820 г. их уровень развития соотносился как 3:1, то в 1913 г. - 11:1, в 1950 г. - 35:1, в 1973 г. - 44:1 и в 1992 г. - 72:1 .
П очти все успехи в борьбе с бедностью связаны с экономическими результатами Китая и, частично, Индии. Если не учитывать Китай, то в течение последних 25 лет 50% населения планеты стабильно живёт менее чем на $2,5 в день (рис. 1).
В 2014 г. 1% самых богатых людей мира владел 48% глобального богатства, котороевключает финансовые (сбережения, акции, вклады в пенсионные фонды и т.п.) и нефинансовые активы (недвижимость, основные фонды, патенты и т.д.).
В 2015 г. эта величина впервые превысила 50%, т.е. размер состояния 1% самых богатых больше суммарного состояния остальных 99% населения . Идёт активный процесс концентрации капитала. Всего 62 миллиардера владеют такими же активами, что и 3,6 млрд. человек беднейшей части населения Земли . Всего пять лет назад в2010 г. богатством в таком объёме владела более многочисленная группа - 388 миллиардеров , .
Суммарное состояние граждан мира с 2000 г. до 2013 г. выросло на 4,9%, в то время как состояние миллионеров на 6,1%, а мультимиллионеров на 10%. Доля богатства 1% самых богатых людей мира по прогнозам продолжит увеличиваться, а богатство самых бедных 50% - уменьшаться со скоростью около 1% в год (Рис.1)|
Рис. 1. Доля населения в мире, живущего ниже уровня бедности |
||
|
С учётом Китая |
Без учёта Китая |
|
|
Рис. 2. Доля1% самых богатых людей в глобальном богатстве[i] . |
Рис. 3. Рост дохода накопительным итогом (с учётом инфляции) для различных групп населения США (квантилей) после уплаты налогов, % . |
|
|
|
Как следует из рис. 3, основным получателем благ, например, в США является наиболее богатая часть населения (верхняя кривая).
В мире состояние мультимиллионеров растёт в 2 раза быстрее, чем среднее по планете значение доходов . Поэтомурост душевого ВВП, в первую очередь, говорит о росте потребления небольшой наиболее обеспеченной части граждан,а не о росте благосостояния общества в целом.Ситуация в России ещё хуже, чем в среднемпо миру . Власть создала из страны мирового лидера по неравенству в распределении богатства домохозяйств. В 2014 г. на долю 110 российских миллиардеров приходилось 35% богатства всей страны , а на долю 1% самых богатых россиян -71% всех богатств. Для сравнения: 1% самого богатого населения США владеет37% всех благ, в Китае и Европе - 32%, в Японии - 17%. Средняя годовая заработная плата по России в тысячи раз ниже, чем у руководителей крупнейших госкорпораций, которые получают миллионы рублей в день (А. Костин, И. Сечин,Г. Греф и др.)
Властвующие элиты всего мира провозглашают: чтобы решить проблему социального расслоения надо увеличивать производство и потребление во всех бедных странах, приближая его к уровню богатых стран и богатых социальных групп.
Очевидно, что это - утопия. Неограниченный рост экономики принципиально невозможен в замкнутой системе, какой является Земля. Увеличение уровня благосостояния бедных регионов до уровня богатых потребует ростапотребления природных ресурсов и неминуемо приведёт к истощению ресурсов планеты и к росту отходов. Для достижения странами третьего мира сегодняшнего уровня США им требуется увеличитьпотребление ресурсов в 40 раз. Обеспечение всем странам мира уровня США потребует увеличения суммарной нагрузки на Землю в 8 раз
, чего планета не выдержит.Решить проблему социального расслоения можно только одним способом: увеличить потребление беднейшей части населения и сократить потребности богатых. По сути, это требование отказа от либеральной экономики , для которой жизненной необходимостью является непрерывный рост производства и неограниченный рост потребления. «Экономика … требует, чтобы мы сделали потребление образом жизни, чтобы мы превратили покупку и использование товаров в ритуалы, чтобы мы искали душевного удовлетворения, удовлетворения нашего эго в потреблении. Нам надо потреблять вещи, сжигать, изнашивать, замещать и отказываться от них с всевозрастающей скоростью» .
Но властвующие элиты не желая что-то менять, пытаются проблему роста социального расслоения замолчать, «заболтать». Массовое применение технологий управления сознанием, ложь официальных лиц в СМИ, искажение статистики, коррупция властных структур, силовое подавление попыток что-то изменить, перейти к более справедливому распределению результатов экономической деятельности - все эти меры лишь отодвигают критическую точку социального коллапса.
Власти во всём мире уверены: управляемый хаос, информационные и гибридные войны, имитационная демократия позволяют ввести народы в заблуждение и временно заморозить, отодвинуть социальный взрыв. И это получается. Пока.
Получается потому, что рядовой гражданин опущен в нищету (или бедность) и вынужден заниматься проблемой выживания сегодня - у него нет времени думать не только о глобальных проблемах, но и о завтрашнем дне.
Кроме того,управляющие информационные технологии изменили сознание человека - его восприятие мира искажено кривыми зеркалами политических, экономических, идеологических и религиозных мифов и догм. Оно опутано паутиной сложных несбыточных иллюзий и метафизических отражений реальности, которые обеспечивают ему духовный комфорт и придают его существованию определенный смысл. Но это ведёт к неадекватному отражению реальных процессов в сознании, делает нынешних людей легко уязвимыми винформационных войнах.Однако, по мере приближения к критической точке социальных потрясений человечество - в лице его активных групп - вряд ли продолжит верить властям.
Для снижения социального расслоения достаточно минимального ограничения сверхпотребления богатых. Это наглядно показал академик Р.И. Нигматулин на примере России: «… российский децильный коэффициент, в котором доходы 10% населения, являющихся самыми богатыми, относятся к доходам 10% населения, являющихся самыми бедными, как 15:1. Теперь давайте представим 15 как (14 +1):1 и перенесем единичку из числителя (т. е. от самых богатых) в знаменатель, (т. е. самым бедным). Этот небольшой передел доходов сделает децильный коэффициент соответствующим всем международным нормам, т.к. после этого действия он станет равным не 15, а 14:2, то есть 7. Таким образом, достаточно перераспределить 1 долю из 15 долей, то есть менее 7% доходов самых богатых, чтобы в два раза увеличить доходы самых бедных и нормализовать ситуацию для самого обделённого населения, которое не опустилось, не бомжует, не пьянствует, а просто занято в наименее оплачиваемых отраслях» .
Однако даже минимальных ограничений своих неограниченных благ властвующая элита старается не допустить. Н ельзя считать решением проблемы и предлагаемое тупое ограничение экономического развития отдельных регионов мира («Теория золотого миллиарда » , , «Этика спасательной лодки» и т.д.).
Не спасает положение выстраивание системы глобального управления - теневой сетевой«власти без государства», транснациональных структур, присваивающих экономические и информационныересурсы неформально подчинённых им национальных государств. С убъекты глобальной власти, такие как международные надправительственные организации - неформальные центры влияния чрезвычайно высокого уровня силы и компетенции (Комиссия по международным отношениям, Бильдербергский клуб, Богемский клуб, Бней - Брит, Трехсторонняякомиссия, семейные династии Ротшильдов и Рокфеллеров, Всемирный экономический форум в Давосе и др.) ориентированы на концентрацию богатства в руках своих участников. Их интерес - мировое влияние, решать проблему социального расслоения - такую задачу они даже не ставят, ибо нищета масс даёт толпы дешёвых рабов, выгодных для элит.
Противоречия Человек - Природа
Противоречия внутри человеческого сообщества принципиально отличаются от противоречия между экономикой, требующей всё больше природных ресурсов, и ограниченными возможностями Планеты. Властвующая элита не может противостоять Природе, которая, в отличие от людей, не поддаётся «идеологической обработке», лоббированию, обману, и не желает потакать порокам человека и господствующей в мире социальной системы.
Конфронтация действующей экономической модели с Природой неминуемо заставит людей отказаться от хищнической эксплуатации ресурсов, от избыточного потребления, от«псевдопотребностей».
Антропогенное воздействие на Природу уже приобрело глобальный характер и влияет на экосистему в целом (на растительность, животный мир и мир микроорганизмов, на атмосферу, гидросферу, и даже на литосферу и ближний космос). Техногенное влияние деятельности человека уже превышает способности Планеты к саморегуляции . В среднем на каждого человека в год добывается 20 т. сырья, переработка которого в продукты потребления требует 800 м 3 воды и более 20 МВт*час энергии. По масштабам извлекаемого сырья (150 млрд. т в год) хозяйственная деятельность человека приблизилась к деятельности биоты (1000 млрд. т в год) и превзошла вулканическую деятельность планеты (10 млрд. т в год) .
Биологический потенциал территорий в большинстве стран мира (кроме России) уже превысил экологический след жителей .
Справка. Экологический след - площадь в условных Га биологически продуктивной территории, необходимой для производства используемых людьми ресурсов, для поглощения и переработки отходов.
Экологическая ёмкость - возможность биосферы производить ресурсы.Измеряется как площадь в условных Га, необходимая для производствавозобновляемых ресурсов и утилизации отходов.
Наибольшая опасность заключается в том, что в последние 50 лет при примерно постоянном экологическом следе (около 2,7 Га), биологический потенциал планеты на душу населения Земли уменьшился почти в 1,8 раза (с 3,2 до 1,8 Га). Иными словами, сохранение техногенного давления на Землю на нынешнем уровне усилит деградацию Природы. Эта тенденция характерна почти для всех стран мира. Например, даже в такой относительно экологически благополучной стране, как Канада, при сохранении примерно постоянного экологического следа (7-8 Га),биологический потенциал уменьшился с25 до 16 Га.
В результате мировая экологическая нагрузка превысила экологическую ёмкость Планеты в 1,5 раза и продолжает расти , поскольку непрерывно увеличивается численность населения Земли и его экономическая активность.
Никогда прежде какая - либо форма жизни не пренебрегала законами экосистем так сильно как современный человек. При выборе приоритетов - легкая прибыль или экологическая безопасность - для крупного бизнеса прибыль является первичной . Негативное влияние на атмосферу, поверхностные и подземные воды, почвенный покров, леса, животныймир для бизнеса имеет второстепенное значение. Результат катастрофичен.
Промышленность, сельское и коммунальное хозяйство загрязняют природную среду твёрдыми отходами, газовыми выбросами и сточными водами. Истощение и загрязнение природных источников уже привели к дефициту питьевой воды. Почти 1 млрд. человек не имеют доступа к источникам водоснабжения, которые способны обеспечивать 20 л. воды на человека в день на расстоянии до 1000 метров . Сегодня более 80% сточных вод в мире не проходят очистку . Если тенденция не изменится, то дефицит чистой воды к 2030 г. коснётся почти 5 млрд. человек и около 40% бизнеса . По оценкам ООН, к 2050 г. около 1 млрд. людей, живущих в наименее развитых странах, покинут свои жилища из-за наводнений и засух , .
Сегодня на одного жителя США ежедневно приходится более 700 кг бытового мусора в год и его объём растает на 10% каждые 10 лет. Это почти в 4 раза больше, чем в Китае с населением 1,37 млрд.
Особого внимания заслуживает выбрасываемая пища. В мире 1,5 млрд. т продовольствия ежегодно попадает в мусор . При его производстве использовано 250 млрд. м 3 воды , .В США ежедневно выбрасывается более9 кг продовольствия на человека в день .
В 2009 г. к числу вымирающих видов относили: 21% всех известных млекопитающих, 12% - птиц, 30% - земноводных, 28%- пресмыкающихся, 37% - пресноводных рыб, 70% - растений и 35% - беспозвоночных . Между 1970 и 2010 г.г. популяции рыб, птиц, млекопитающих, амфибий и рептилий уменьшилось на 52% . Ежегодно уничтожаются около 10 тыс. видов организмов. За последние 40 лет Африка потеряла 23% своего леса,Латинская Америка - 38% и их площадь продолжает уменьшаться на 1% в год .
Хотя экологический след жителя России меньше, чем в других развитых странах, ресурсоёмкость ВВП в России в 2 раза выше, чем в США , и в 4 раза выше, чем в Западной Европе . Соответственно выше и объём промышленных отходов, приходящийся на единицу ВВП. Так, количество двуокиси углерода на единицу ВВП превышает показатели развитых стран в 3-4 раза. Удельные выбросы окислов серы, которые приводят к кислотным дождям и деградации больших площадей лесов и земель, в России в 20 раз выше, чем в Японии и Норвегии, и в 6-7 раз - чем в Германии или Франции . Ежегодное образование промышленных и бытовых отходов в РФ оценивается в 7 млрд. т, причём только 2 млрд. тиспользуется вторично .
Особую опасность представляют высокотоксичные отходы. Их объём в России составляет более 75 млн. т в год,перерабатывается и обезвреживается лишь 18% . В результате, только в официально учтённых отвалах, свалках и захоронениях России содержится около 86 млрд. т. промышленных и бытовых отходов (из которых 1,6 млрд. т. токсичны и экологически опасны).
Таблица 1.Химическая нагрузка на одного жителя России за время жизни
|
Пестициды |
Фториды |
Фенол |
Свинец |
Ртуть |
Тяжелые металлы |
|
140 кг |
6,3 кг |
2,1 кг |
1 кг |
12 г |
1 кг |
На большинстве водных объектов РФ в 2014 г. по ряду ингредиентов наблюдалось превышение ПДК от 10 до 100 раз . Например, уровень фекального загрязнения в верховье р. Волги ниже Рыбинского гидроузла достигает 240 ПДК, бактериологического - 48 ПДК, по бактериям холеры - 2,7 ПДК. Годовой поток воды такого качества составляет35 млрд. м 3 .
Человечество столкнулось с противоречием всё возрастающих потребностей и неспособностью биосферы обеспечивать их, не разрушаясь. Начиная со Стокгольмской конференции по проблемам окружающей среды (1972 г.) этот вопрос является одним из главных в повестке работы ООН. К сожалению, в целом итоги прошедшихдесятилетий являются неутешительными, негативные тенденции развития сохраняются и усиливаются.
Властвующие элиты понимают, что в рамках поддерживаемой ими социально - экономической модели ресурсов Земли не хватит на всё человечество, поэтому они предпочитает решать проблему легитимности принимаемых решений черезкоммерциализацию общества, через «рынок голосов», а не через общую идею справедливости. Они упорно отстаивают положение, что целью экономики является прибыль, а не обеспечение жизни, гармоничная коэволюция Природы и Человека.
Чем больше обманывают общество, тем сильнее страдает Природа
Эксперты понимают, что «Земля дает достаточно, чтобы удовлетворить все необходимые потребности человека, но не его жадность» . Что «цивилизация, в подлинном смысле слова, состоит не в умножении потребностей, а в свободном и хорошо продуманном ограничении своих желаний» .
Казалось бы, в мире есть почти все научные, технические, управленческие и идеологические предпосылки для улучшения жизни миллионов людей, для достижения социальной справедливости и гармоничной коэволюции человека и Природы. Нолиберализм провозгласил главной целью деятельности человека неограниченный рост личного материального состояния. В результате деньги в современном мире стали не только механизмом достижения конечных целей (знания, возможность творчества, власть, желаемый стиль жизни, семейное благополучие и т.д.), они превратились в абсолютную цель, подменяя собой процесс мотивации и лишая все другие цели их самостоятельной значимости, парализуя волю человека и программируя его поведение.
Мы имеем массуполитических и экономических стратегий и программ (включая программы ООН), пытающиеся решить две главные проблемы современного мира: социальное неравенство и повреждение Природы. Но все они не работают, поскольку исходят из положения, что проблемы надо решать в рамках существующей глобальной экономической системы, основанной на догмах и мифах экономического либерализма ,который рассматривает человека как коммерсанта собственной выгоды.
Общество активно убеждают в том, что частная собственность и свободный рынок являются наиболее благоприятной системой для эффективной экономической деятельности, справедливыхсоциальных процессов и рационального распределения природных ресурсов. Элиты пытаются доказать, что системную проблему можно решить регулированием финансовых потоков и чисто технологическими совершенствованиями (латанием дыр) существующей экономической системы.
Но все попытки решить проблемы в рамках либеральной рыночной экономики дают негативные результаты. Решение возможно только при отказе от чисто рыночных методов регулирования экономики и от либеральных экономических догм. Активность в рамках либеральной экономики лишь имитирует попытки решить социальные и экологические проблемы. Имитационные меры призваны убеждать общество, что катастрофическое состояние окружающей среды (например, изменение климата) является естественным процессом и не связано стехногенным влиянием и что более эффективным является не уменьшение влияния на Природу, а адаптация человека к неизбежным изменениям . Такой подход, основанный на намеренном извращении фактов, прикрывающем корыстные цели, активно поддерживается ведущими мировыми СМИ .
Властвующие элиты в состоянии купить и изменить общественное мнение, но ложь не меняет реальную ситуацию. Законы Природы нельзя изменить лоббированием интересов власть имущих в Парламенте.
Для решения надвигающейся трагедии - разрушения Планеты - требуется снятие ограничений на поиск новых путей развития свободных от господствующих социально-экономических догм. Трагедию не остановить без ликвидации определяющего влияния финансовых структур, крупного бизнеса и бюрократии на мировую политику.
На первое место в деятельности человека должно выйти создание условий длясоциальной справедливости и гармоничной коэволюции человеческого общества и Природы.
«Сейчас буквально повсюду люди все более и более остро чувствуют настоятельную необходимость существенно улучшить организацию мирового сообщества и усовершенствовать управление делами человечества. Настало время выявить и освободить дремлющую в каждом человеке способность видеть, понимать и созидать, направить моральную энергию людей на то, чтобы они сами создавали достойное их общее будущее» .
Критическая ситуация требует переосмысления человеком своего места в мире и изменения мотивации человеческой деятельности. Ключевым моментом, способным переломить ситуацию является изменение менталитета масс, отказ от понимания денег, материальных благ как основной ценности жизни.
В событиях последнего времени проступает облик новой системы ценностей со своей культурой, законами, целями и логикой существования. Ключевыми моментами новой системы ценностей являются негативное отношение к избыточному потреблению, оптимизация баланса интересов человечества и биосферы, гармоничная коэволюции общества и Природыю
Этот процесс можно почувствовать, если посмотреть на активно идущее формирование новой общности людей, озабоченных будущим Планеты. Он идёт на всех уровнях: от массового роста волонтёрских общественных организаций до деятельности ООН.
Основное достижениев этом направлении - разработка принципов экологического мировоззрения , которые еще полвека назад носили оттенок маргинальности, сегодня это стало мейнстримом во многих странах мира, особенно в северной Европе. В ходе широкого обсуждения были сформулированы основные принципы развития, которые должна увязать в единый комплекс представления о природных системах и правилах взаимодействия человека с ними
Несмотря на сопротивление властвующих элит, общество уже заставило национальные правительства почти всех стран включить эту проблему в число важнейших и отчитываться о действиях в сфере экологии . Конечно, этот процесс идёт в значительной мере формально и слишком медленно. Задача думающей части общества оказать давление на элиты, чтобы остановить развитиенегативных тенденций и надвигающихся рисков катастрофического изменения ситуации.
Важно, что активно идёт процесс формирования мирового сетевого сообщества единомышленников, которое намерено отстраивать стратегию нового природопользования иновые принципы экономической деятельности, не повреждающие Природу.Нельзя оставлять судьбу людей и будущеенашей Планеты в руках тысячной доли процента от численности человечества - под контролем лиц и групп, лишенных разума и человечности, готовых развязать новую мировую бойню, в которой планируется уничтожение большей части человечества и фактическое разрушение условий для жизни на Земле.
Deborah Hardoon, Senior Researcher Oxfam GB. 2015. Where is the distribution of global wealth headed and why should we worry? http :// oxfamblogs . org / mindthegap /2015/02/03/ where - is - the - distribution - of - global - wealth - headed - and - why - should - we - worry /
Сегoдня мы рассмотрим эксплуатацию критической 1day-уязвимости в популярной CMS Joomla, которая прогремела на просторах интернета в конце октября. Речь пойдет об уязвимостях с номерами CVE-2016-8869 , CVE-2016-8870 и CVE-2016-9081 . Все три происходят из одного кусочка кода, который пять долгих лет томился в недрах фреймворка в ожидании своего часа, чтобы затем вырваться на свободу и принести с собой хаос, взломанные сайты и слезы ни в чем не повинных пользователей этой Joomla. Лишь самые доблестные и смелые разработчики, чьи глаза красны от света мониторов, а клавиатуры завалены хлебными крошками, смогли бросить вызов разбушевавшейся нечисти и возложить ее голову на алтарь фиксов.
WARNING
Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.С чего все началось
6 октября 2016 года Дэмис Пальма (Demis Palma) создал топик на Stack Exchange , в котором поинтересовался: а почему, собственно, в Joomla версии 3.6 существуют два метода регистрации пользователей с одинаковым названием register() ? Первый находится в контроллере UsersControllerRegistration , а второй - в UsersControllerUser . Дэмис хотел узнать, используется ли где-то метод UsersControllerUser::register() , или это лишь эволюционный анахронизм, оставшийся от старой логики. Его беспокоил тот факт, что, даже если этот метод не используется никаким представлением, он может быть вызван при помощи сформированного запроса. На что получил ответ от девелопера под ником itoctopus, подтвердившего: проблема действительно существует. И направил отчет разработчикам Joomla.
Далее события развивались самым стремительным образом. 18 октября разработчики Joomla принимают репорт Дэмиса, который к тому времени набросал PoC, позволяющий регистрировать пользователя. Он опубликовал заметку на своем сайте , где в общих чертах рассказал о найденной проблеме и мыслях по этому поводу. В этот же день выходит новая версия Joomla 3.6.3, которая все еще содержит уязвимый код.
После этого Давиде Тампеллини (Davide Tampellini) раскручивает баг до состояния регистрации не простого пользователя, а администратора. И уже 21 октября команде безопасности Joomla прилетает новый кейс. В нем речь уже идет о повышении привилегий . В этот же день на сайте Joomla появляется анонс о том, что во вторник, 25 октября, будет выпущена очередная версия с порядковым номером 3.6.3, которая исправляет критическую уязвимость в ядре системы.
25 октября Joomla Security Strike Team находит последнюю проблему, которую создает обнаруженный Дэмисом кусок кода. Затем в главную ветку официального репозитория Joomla пушится коммит от 21 октября с неприметным названием Prepare 3.6.4 Stable Release , который фиксит злосчастный баг.
После этого камин-аута к междусобойчику разработчиков подключаются многочисленные заинтересованные личности - начинают раскручивать уязвимость и готовить сплоиты.
27 октября исследователь Гарри Робертс (Harry Roberts) выкладывает в репозиторий Xiphos Research готовый эксплоит , который может загружать PHP-файл на сервер с уязвимой CMS.
Детали
Что ж, с предысторией покончено, переходим к самому интересному - разбору уязвимости. В качестве подопытной версии я установил Joomla 3.6.3, поэтому все номера строк будут актуальны именно для этой версии. А все пути до файлов, которые ты увидишь далее, будут указываться относительно корня установленной CMS.
Благодаря находке Дэмиса Пальмы мы знаем, что есть два метода, которые выполняют регистрацию пользователя в системе. Первый используется CMS и находится в файле /components/com_users/controllers/registration.php:108 . Второй (тот, что нам и нужно будет вызвать), обитает в /components/com_users/controllers/user.php:293 . Посмотрим на него поближе.
286: /** 287: * Method to register a user. 288: * 289: * @return boolean 290: * 291: * @since 1.6 292: */ 293: public function register() 294: { 295: JSession::checkToken("post") or jexit(JText::_("JINVALID_TOKEN")); ... 300: // Get the form data. 301: $data = $this->input->post->get("user", array(), "array"); ... 315: $return = $model->validate($form, $data); 316: 317: // Check for errors. 318: if ($return === false) 319: { ... 345: // Finish the registration. 346: $return = $model->register($data);
Здесь я оставил только интересные строки. Полную версию уязвимого метода можно посмотреть в репозитории Joomla.
Разберемся, что происходит при обычной регистрации пользователя: какие данные отправляются и как они обрабатываются. Если регистрация пользователей включена в настройках, то форму можно найти по адресу http://joomla.local/index.php/component/users/?view=registration .
Легитимный запрос на регистрацию пользователя выглядит как на следующем скриншоте.
За работу с пользователями отвечает компонент com_users . Обрати внимание на параметр task в запросе. Он имеет формат $controller.$method . Посмотрим на структуру файлов.
Имена скриптов в папке controllers соответствуют названиям вызываемых контроллеров. Так как в нашем запросе сейчас $controller = "registration" , то вызовется файл registration.php и его метод register() .
Внимание, вопрос: как передать обработку регистрации в уязвимое место в коде? Ты наверняка уже догадался. Имена уязвимого и настоящего методов совпадают (register), поэтому нам достаточно поменять название вызываемого контроллера. А где у нас находится уязвимый контроллер? Правильно, в файле user.php . Получается $controller = "user" . Собираем все вместе и получаем task = user.register . Теперь запрос на регистрацию обрабатывается нужным нам методом.
Второе, что нам нужно сделать, - это отправить данные в правильном формате. Тут все просто. Легитимный register() ждет от нас массив под названием jform , в котором мы передаем данные для регистрации - имя, логин, пароль, почту (см. скриншот с запросом).
- /components/com_users/controllers/registration.php: 124: // Get the user data. 125: $requestData = $this->input->post->get("jform", array(), "array");
Наш подопечный получает эти данные из массива с именем user .
- /components/com_users/controllers/user.php: 301: // Get the form data. 302: $data = $this->input->post->get("user", array(), "array");
Поэтому меняем в запросе имена всех параметров с jfrom на user .
Третий наш шаг - это нахождение валидного токена CSRF, так как без него никакой регистрации не будет.
- /components/com_users/controllers/user.php: 296: JSession::checkToken("post") or jexit(JText::_("JINVALID_TOKEN"));
Он выглядит как хеш MD5, а взять его можно, например, из формы авторизации на сайте /index.php/component/users/?view=login .
Теперь можно создавать пользователей через нужный метод. Если все получилось, то поздравляю - ты только что проэксплуатировал уязвимость CVE-2016-8870 «отсутствующая проверка разрешений на регистрацию новых пользователей».
Вот как она выглядит в «рабочем» методе register() из контроллера UsersControllerRegistration:
- /components/com_users/controllers/registration.php: 113: // If registration is disabled - Redirect to login page. 114: if (JComponentHelper::getParams("com_users")->get("allowUserRegistration") == 0) 115: { 116: $this->setRedirect(JRoute::_("index.php?option=com_users&view=login", false)); 117: 118: return false; 119: }
А так в уязвимом:
- /components/com_users/controllers/user.php:
Ага, никак.
Чтобы понять вторую, гораздо более серьезную проблему, отправим сформированный нами запрос и проследим, как он выполняется на различных участках кода. Вот кусок, который отвечает за проверку отправленных пользователем данных в рабочем методе:
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «сайт», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score!
В мировой интернет паутине можно найти некоторые материалы по настройке матриц, в том числе и на русском языке, тем не менее, тут я попытаюсь рассказать ещё раз о том какая должна быть обжимная матрица.
Её основная задача обжать тело и шейку гильзы после выстрела, когда она принимает размер патронника вашей винтовки. Если вы вставите несколько раз стреляную гильзу в патронник и попробуете запереть затвор, то почувствуете не значительное усилие опускания ручки, которое будет только возрастать с увеличением цикла использования этой гильзы. Всё это приведёт к трудному и не стабильному перезаряжанию. Если вы участвуете на соревнованиях, то результатом будет нестабильная стрельба. Винтовка будет двигаться на мешках, меняя своё положение, вы можете не справиться с техникой быстрой стрельбы, я уже не говорю о том, что когда-то заряжание станет просто не возможным.
В бенчресте применяют одну
матрицу (f
ull size
)
для полного обжатия (шейки, тела гильзы, опускания плеч) и декапсулирования. Всё
это делается за одно опускание ручки пресса.
Внутренняя геометрия матрицы не
должна полностью повторять ваш патронник. Размеры обжатия по
каждой из точек гильзы должны быть разными. Не правильное обжимание гильзы приводит к
короткому сроку службы гильзы и уже через 15-20 циклов вы можете получить
трудности с открыванием затвора и даже более сильное обжатие уже не поможет. Всё
это связано с изменениями свойств латуни при нагревании. Гильзы нужно менять.
Стрелки перед ответственными матчами всегда используют новую партию обдутых
гильз что бы не попасть в такую ситуацию во время соревнований.
Шейка гильзы
Шейка обжимается до нужных размеров с помощью специального кольца-вставки (bushing ) имеющего такой внутренний диаметр, чтобы усилие обжатия было около.002"".
Например, расчёт для патронника .262 калибра 6мм производится следующим образом:
D (диаметр пули) = .243”
W (толщина шейки гильзы) = .0 0 87”
N буш. (размер бушинга) = (D+2W)-.002= (.243+2*.0087)-.002= .2584
Таким образом, можно приобрести бушинги размером.258 и.259
В основном бушинги обжимают лишь шейку, но некоторые выпускают их и для обжатия шеи и верхней части гильзы (как на фото выше). Бушинг может туго входить в посадочное место матрицы, а может иметь небольшой люфт для центрования, но всё это не так важно если обжатые гильзы не имеют биения. После обжатия оно должно быть минимальным и не более.001"
Опускание плеч
Один из важных элементов это опускание плеч. Если ваша матрица имеет правильную внутреннюю геометрию, то именно этот параметр является основным, от которого нужно отталкиваться в процессе её настройки. Если плечи опущены слишком сильно, то вполне возможно, что патрон будет по разному прилегать к зеркалу затвора, будет иметь разное положение (в том числе и не соосное) в патроннике. Это может вызвать неоднообразность пробивания капсюля, разную величину (jump ) между пулей и нарезами пульного входа канала ствола, что в свою очередь повлияет на стабильность в стрельбе.
Для настройки величины опускания плеч очень удобно использовать штанген-циркуль и измерительный компаратор от Sinclair со сменные кольцами под различные гильзы.
Проверяя работу матрицы наопускании затвора, получилось, что оптимальный размер опускания плеч находится от.0015 до.002"". Именно в этом диапазоне затвор начинает закрываться легко, под собственной тяжестью с самым минимальным усилием. Дальнейшее опускание плеч приводит уже к тому, что ручка просто падает. (Речь идёт о затворных группах для бенчреста, в данном случае Panda).
Что бы проверить работу матрицы таким способом необходимо разобрать затвор специальным ключом и извлечь пружину и ударник. Это необходимо для того, что бы лёгкости хода стебля ничего не мешало (взвод пружины), а так же в целях безопасности окружающих. На соревнованиях вы обязаны показать соседям разобранный болт прежде чем вставить его в винтовку.
Как правило, уже после трёх выстрелов латунь становится более жёсткой. Возможно, это повлечёт ситуацию, когда стенки гильзы будут пружинить немного больше и потребуется увеличить усилие обжатия, именно поэтому, периодически следует проверять параметры.
Тело гильзы
Тело гильзы должно обязательно обжиматься от плеч и до нижней кромки с минимальными параметрами, что бы полностью сохранялась соосность удержания гильзы в патроннике, но при этом не мешать работе затвора. Нижняя часть.0005” , а у плеч - .001”
На чертеже показаны размеры обжатия кастом-матрицей от Neil Jones. Она была выполнена на заказ для конкретного патронника 6mmBR Norma по трём стреляным гильзам.
Слева стреляная гильза, справа - обжатая настроенной матрицей.
Опущены плечи на.0015"
Обжатие тела гильзы у плеч на.001"
Обжатие тела у донца на.0005"
Настройка матрицы
В данном случае используется матрица частного мастера из США Neil Jones с микрометрической головкой, что позволяет легко изменять усилие обжатия.
В случае, когда нет микрометра очень помогают кольца-прокладки Скипа Отто. Они имеют разную толщину от.003 до.01""Их можно установить все и удалять по мере необходимости для усиления обжатия.
1. Поднимаем шток пресса в верхнее положение, затем вкручиваем матрицу до касания её держателя гильзы (shelholder ) на прессе.
2. Выворачиваем микрометрическую головку на некоторую величину.
3. Измеряем с помощью компаратора размер по плечам не обжатой гильзы.
4. Обжимаем гильзу матрицей.
5. Измеряем гильзу и сравниваем с прежними
6. Если размер по плечам не изменился, то увеличиваем усилие обжатия (микрометрической головкой или убираем кольцо Скипа) и повторяем процедуру.
7. Добиваемся нужных размеров опускания плеч (требуемые параметры описаны выше).
Всё это делается опытным путём, каждая матрица работает по-разному и порой требует индивидуального подхода, но суть остаётся не изменой.
В этой статье вы узнаете, как добавить в форму прокручиваемый список, как настроить возможность единичного, так и множественного выбора; как обрабатывать данные, полученные из списка; как проверять данные; как выполнять различные действия в зависимости от полученных данных.
Список. Один вариант выбора
Давайте рассмотрим новый термин «список» (select box), также известный, как «ниспадающий список» или «прокручиваемый список» (как его только не называют). Каждый пункт списка определяется при помощи тега option. Тег option , как и другие элементы ввода, имеет атрибут value , а также текст, заключенный внутри тегов option . Это значит: когда пользователь выберет «Male» , переменной «formGender» ($_POST["formGender"]) будет присвоено значение «M» .
What is your Gender?
Выбранное пользователем значение можно узнать при помощи стандартного массива $_POST , также как обычное текстовое поле ввода.
Всегда хорошо делать первую строку в списке пустой. Это побуждает пользователя сделать выбор и позволяет определить, выбрал ли пользователь что-нибудь из списка. Конечно, потребуется проверка:
You forgot to select your Gender!"; } ?>
Список. Выбираем несколько вариантов
Предположим, вы захотите создать список, которые предоставит пользователю возможность выбрать несколько вариантов .
Ниже представлена HTML разметка:
Отметьте схожесть с группой флажков. Для начала установите атрибут multiple=«multiple» в теге select . Во-вторых, поместите квадратные скобки в конец значения атрибута name . Сейчас нет необходимости делать первый вариант выбора в списке пустым, так как мы просто проверим, выбрал ли пользователь что-нибудь или нет. Чтобы выбрать несколько значений, используйте при кликах клавиши shift и ctrl .
PHP код для обработки данного списка очень схож с php кодом для обработки . $_POST["formCountries"] возвратит массив из выбранных пользователем значений.
You didn"t select any countries!
\n"); } else { $nCountries = count($aCountries); echo("You selected $nCountries countries: "); for($i=0; $i < $nCountries; $i++) { echo($aCountries[$i] . " "); } echo("
"); } } ?>Как обычно, используем isset , чтобы убедиться в том, что пользователь выбрал хоть что-нибудь.
Используем конструкцию switch
Сейчас давайте опять вернемся к списку, в котором присутствует всего один вариант выбора. Наша задача сделать так, чтобы каждому варианту выбора соответствовало строго определенное действие. Конечно, можно использовать инструкцию if , однако она в данном случае способна загрязнить код. Давайте рассмотрим два пути: динамические команды и инструкцию switch .
You forgot to select a country!"; } if($errorMessage != "") { echo("
There was an error with your form:
\n"); echo("- " . $errorMessage . "
У каждого из этих двух подходов есть свои плюсы и минусы. Метод основанный на switch "е в сущности есть ни что иное, как лаконичная запись ряда конструкций «if» . После ключевого слова case перечисляются возможные варианты значений. В случае совпадения результата вычисления выражения (значение переменной $varCountry) с каким-либо значением, произойдут действия, записанные далее, вплоть до конструкции break . В нашем случае произойдет переадресация к соответствующей для каждой страны странице. Если ни одна страна найдена не будет, то выведется сообщение "Error" , стоящее за ключевым словом default .
Второй метод заключается в передаче выбранного значения функции header , которая перенаправит пользователя к корректной странице.
Первый метод требует написания большего объема кода, но он и более безопасен, так как он позволяет посредством формы переадресовать пользователя к заранее запрограммированным вариантам, при отсутствии варианта выбора будет выведено сообщение об ошибке и выполнение сценария будет прекращено.
Второй метод более краткий (значительно), зато его безопасность сильно снижена. Так любой пользователь может делать с формой, что хочет, и вводить любое значение, какое пожелает. При использовании второго метода сначала желательно проверить выбранные страны, чтобы застраховать себя от переадресации к «вредной» странице.
По материалам . Надеюсь хоть кому-то поможет)
"МАТИЛЬДА" КАК ПОСЛЕДНИЕ СУДОРОГИ ЧЕРТЕЙ Всё что сегодня происходит в медиапространстве, в сфере культуры и на центральных каналах, можно назвать "Последним балом сатаны в России". Наглые, сытые, бесстыжие рожи, корчащиеся в своём безудержном веселье на экранах страны, опускающиеся до самого дна, копающиеся в дерьме телеведущие, упивающиеся своим сатанинским запалом, уже перестали даже скрывать свою истинную сущность. От их лиц, зловещих улыбок и ухмылок явно веет мертвечиной, это не люди. Захватившие в свои волосатые лапы власть в России ровно сто лет назад, эти существа чувствуют приближение своего краха. И чем ближе их конец, тем сильнее судороги. Только так можно объяснить всё более наглядную демонстрацию своего презрения и глумления над всем, что дорого Русскому человеку теми, кто "вышел из-за черты оседлости". Протест нормальных людей против порочащего Царственных мучеников семью, фильма "Матильда", стал активно высмеиваться. А что ещё остаётся, ведь других аргументов не нашлось у хулителей Русских царственных святых. В ответ на возмущение православных людей, националистов, монархистов против попирания того, что дорого и свято для Русского сердца, мы увидели наглую ухмылку "создателей" и издевательский ответ о том, что теперь, они (черти) соберут большие кассы с этого фильма, так как о нём стало больше известно. Опасаясь массового протеста против их мерзкой выходки, создатели фильма "Матильда" и их преспешники поспешили заполнить блогосферу в интернете своими "уморительными" комментариями о невежестве и глупости "мракобесов", выступающих против их "великого ппроизведения". Конечно же им больше ничего не остаётся, кроме как защищать свою бездарную "стрепню", на которую они потратили десятки миллионов из государственного бюджета страны. Видные "деятели культуры" стали громко возмущаться тем, что пипл больше не хочет хавать, а требует нравственности и элементарного качества от культурной сферы страны. Высшие чины у власти им вторят и пытаются утихомирить взбунтовавшихся, прямо указывая: "Будете глотать то, что дают. Им, "деятелям культуры", лучше знать, что для вас полезней". Всё более ооткровенными стали наши "любимцы публики", они невольно срывают маски и оголяют свои богомерзкие сущности. Однако, от лирики к делу. Все фильмы для широкого проката в России имеют госзаказ, который "успешно" реализуют "свои" в сфере киноиндустрии. Коррумпированность этой сферы не вызывает никаких сомнений. Вот, что повествует один из кинодеятелей, котрого отодвинули от кормушки, Владислав Москалёв, сдавая своих подельников:"«Винокур взялся договориться о финансировании с Владимиром Кожиным (на тот момент - управляющим делами Президента), с которым он знаком лет пятнадцать. Мы вместе были у него в кабинете. Кстати, кабинет Кожина находится через дорогу от театра Винокура <адрес театра Винокура - Славянская площадь, 2/5 с.5, действительно, неподалеку от Управления делами президента – The Insider>. Кожин на моих глазах набрал какой-то номер по телефону и дал команду «десять». После этого «Газпромбанк» загнал деньги на Кипр, и офшор Tradescan Consultants Ltd (100 % дочка «Газпромбанка» на Кипре), в свою очередь перевел $10 млн на кино. Еще $10 млн, насколько я понял, перевел лично Андрей Акимов, президент «Газпромбанка», на счет фонда Винокура." На это весьма конкретное обвинение сам Винокур (весельчак и балагур, еврейской национальности) ничего не ответил. А вот его дружок Алексей Учитель (режиссер фильма "Матильда") буквально развёл руками, сообщив:"«Для съемок фильма привлекалось финансирование Фонда кино, Газпромбанка, все зафиксировано в документах. Какой-то самодеятельности, а уж тем более коррупционной схемы - я лично о таком не знаю». Кто бы сомневался в том, что у них "всё по документам" прошло "шито-крыто". Однако, нам налогоплательщикам, которые платят в казну государства, хотелось бы, чтобы перед нами отчитывались потраченными деньгами и выпускали в свет для нас же, не то, что вздумается очередному винокуру или учителю, а то, что отвечает запросам общественности. А общественность прямо указала этим горе-киносоздателям, что подобные "водевили" они могут снимать исключительно на свои собственные средства и исключительно для своего "особого" круга любителей их пошлятины. Некоторые пишут, что если мол не нравится вам фильм, не смотрите и всё. Или есть ещё и такие, кто заявляет, что сначала нужно посмотреть фильм, а уж затем делать выводы. Во-первых, трейлер фильма уже существует и после просмотра этого ролика у всех нормальных людей возникнет здоровое чувство протеста и негодования против этого издевательства над нашими святыми. Во-вторых, те, кто кричат о том, что не стоит обращать внимания на происходящее топтание по Русской истории, Русскому Государю мученику сегодня, завтра также, с легкостью пройдут мимо ещё больших безобразий, которые будут твориться в стране. Сегодня они распинают священную память о Царе мученике, а завтра начнут распинать и нас.....так что проходить мимо - это преступление. Наверное "вышедшим из-за черты оседлости" стоит напомнить о том, что, нет ни одного отечественного фильма, который показал бы их "трагедию" в виде развлекательного шоу-фильмеца, с элементами лёгкой интрижки, весело и задорно. Однако, почему -то им позволено глумится над нашими святыми в нашем же Отечестве. Время столетнего плена заканчивается и нам, национал-консерваторам необходимо подталкивать к пропасти тех, кто стоит у её края, а не ждать, когда "само рассосётся". Ведь эти "сущности" имеют огромный опыт тог, как удержаться, вплестись в новые течения, "стать своими", притвориться, прикинуться полезными. Молчать и ждать "лучших времён" и реванша сегодня по крайней мере легкомысленно. А потому, на явное проявление звериного оскала врага Русского Отечества, который по Божьему промыслению, становится настолько явным и неприкрытым, что не заметить его может только слепой, нам нужно отвечать адекватно. Не стоять в стороне, а помогать восходу нашего Русского солнца. К счастью на чертей нашлась управа и закон РФ предусматривает для них наказание. Вот некоторые отрывки из заключения экспертов на наличие в содержании трейлера фильма "Матильда" признаков нарушения российского законодательства по отношению к верующим: #фильм_матильда
