Tuesday, 30 September 2014

[bash] shellshock - từ gốc đến ngọn

Shellshock là gì?
shellshock là tên của lỗi bảo mật của phần mềm bash mới được phát hiện (tháng 9/2014) và hiện đang gây một cơn sốc trên Internet. Nó không phải sốc theo kiểu "cộng đồng mạng phát cuồng", hay "cộng đồng mạng bị sốc", mà là kiểu sốc "cộng đồng mạng" cơ bản là không tham gia vào :D

Shellshock có nguy hiểm không?
Cực kỳ nguy hiểm! cực kỳ là đến mức nào? Hãy google với từ khoá "shellshock dangerous" để tìm ra câu trả lời cho chính mình.
Nói thẳng ra thì người dùng Windows không bị ảnh hưởng (trực tiếp), còn ai không biết thì chẳng thấy nguy hiểm gì. Giống như dịch Ebola, ai biết nó gây chết người trong vài ngày thì thấy sợ, ai không biết nó là cái gì thì làm sao mà thấy nó nguy hiểm?!!!

Lỗi này có từ năm 1993 1989 [Thanks Le Manh Cuong] và đến nay đã 25 năm từ khi nó ra đời, nhưng đến giờ mới được phát hiện. Hãy tưởng tượng trong 25 năm ấy, hacker có thể dễ dàng vào máy tính của bạn với quyền root (tức muốn làm gì thì làm),  chẳng phải login hay ssh gì hết, và không để lại dấu vết của một cuộc xâm nhập :3

Bài viết này phân tích câu lệnh dùng để tìm ra xem phiên bản bash đang dùng có bị dính lỗi bảo mật shellshock hay không.

Câu lệnh sau giúp thực hiện điều đó (theo link wikipedia ở cuối bài):
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Nếu sau khi gõ enter mà thấy hiện ra
vulnerable
this is a test
Tức là phiên bản bash bạn đang dùng có dính lỗi bảo mật này.

Để hiểu rõ chuyện gì đã xảy ra, ta sẽ từ từ phân tích câu thần chú vừng ơi mở ra đầy thần bí này. Lần lượt dạo qua một vài khái niệm của bash để có thể hiểu câu lệnh quá xúc tích trên:

Friday, 26 September 2014

[python] except Exception

Đừng dùng ``except:`` trừ khi bạn biết mình đang làm gì!

Đoạn code sau có thể làm bạn bất ngờ và cho thấy một trường hợp có thể bạn không muốn dùng ``except:`` mà thay vào đó là ``except Exception:``

In [1]: import sys
 
In [3]: try:
    sys.exit(1)
except Exception:
    print 'In except'
   ...:    
An exception has occurred, use %tb to see the full traceback.

SystemExit: 1

To exit: use 'exit', 'quit', or Ctrl-D.
In [4]: try:
    sys.exit(1)
except:         
    print 'In except'
   ...:    
In except

Ở phần code [4], statement "except:" đã "bắt" được một exception xảy ra khi hàm sys.exit(1) chạy (function này thực hiện công việc  raise SystemExit exception). Trong khi mục đích của người dùng CÓ THỂ là exit script với return code = 1 thì đoạn code lại nhảy vào phần handle exception.

Tóm lại:

Wednesday, 24 September 2014

[Terminology] Vài từ tiếng Anh mà các chuyên gia công nghệ hay đọc nhầm

NOTICE: bài này lấy phiên âm từ trang http://www.oxforddictionaries.com , dựa vào cơ sở này để làm căn cứ.

1. domain
Không ở đâu định nghĩa từ này đọc là ĐU MÊN cả.

domain /də(ʊ)ˈmeɪn/
(bấm vào link có phần đọc mẫu)
http://www.oxforddictionaries.com/definition/english/domain?q=domains

chữ "o" trong domain đọc giống chữ "o" trong "so" "blow" hay "go"

so  /səʊ/
go /ɡəʊ/

Hãy nghe thử:



2. cache

Tuesday, 23 September 2014

[Python] collections.Counter

Mỗi khi cần đếm, hãy dùng Counter, vì nếu bạn là sếp và đã thuê kế toán, tại sao phải ngồi đếm tiền :3

Counter là một class trong stardard library "collections" và chức năng của nó là đếm. Kết quả của việc đếm là thu được 1 dict chứa các object và số lần nó xuất hiện khi sử dụng Counter.

Nếu bạn là sếp và đã có người khác đếm hộ -> hãy bỏ qua bài này
Nếu bạn là python programmer và phải đi đếm để kiểm tiền, hãy bấm đọc tiếp :3

Monday, 22 September 2014

Lạc

bài này viết nhảm nhí và đừng lãng phí thời gian để đọc nó!

Monday, 15 September 2014

[python] logging: đừng format log message!

Xem đoạn code sau:
In [7]: import logging

In [8]: logging.basicConfig()

In [9]: log = logging.getLogger('familug')

In [10]: log.error('%s: %d', 'meo', 10)
ERROR:familug:meo: 10

In [11]: log.error('%s: %d' % ('meo', 10))
ERROR:familug:meo: 10

Bạn có thể giải thích xem câu lệnh log ở [10] hay [11] tốt hơn?

Nếu câu trả lời là [11] hoặc như nhau thì bạn nên đọc tiếp...

Thursday, 4 September 2014

[python] đếm số dòng của 1 file.

Để đếm số dòng của một file, trên UNIX-like OSes, ta có thể dùng lệnh ``wc``. Lấy file /etc/passwd làm chuột bạch:
$ wc -l /etc/passwd
      86 /etc/passwd
Trong python, các nhanh nhất để làm việc này là:
(hãy tự trả lời trước khi xem đáp án)

Monday, 1 September 2014

[shell] globbing (not regex)

1. Tên bài viết bằng tiếng Anh vì tác giả không thể tìm ra từ tiếng Việt nào cho phù hợp.
2. globbing không phải là regex matching.
3. bài này nhiều ký tự hoa mắt, xin hãy đọc từ từ, chỗ nào thấy sai thì comment ngay, nếu không globbing / regex mãi là một khái niệm mờ mịt.

Bài viết thực hiện trên:
~ uname -sr
Linux 3.13.0-32-generic
Terminology (thuật ngữ)
1. globbing
- globbing là toán tử expand một wildcard pattern thành danh sách các pathname match pattern đó.

1.1  wildcard pattern
là các pattern có chứa ký tự wildcard (wildcard characters).

1.2 wildcard character