خوندن سورس شیم برای درک مشکل امنیتی بوت لودر اکثر گنو/لینوکسها تحت عنوان CVE-2023-40547
ฝัง
- เผยแพร่เมื่อ 11 ก.พ. 2024
- توی این ویدئوی فنی نگاهی به سورس کد شیم می ندازیم که اخیرا با کشف شدن مشکل امنیتی CVE-2023-40547 خیلی مشهور شده. این مشکل امنیتی اجازه می داده کسی که کنترل سرور از طریق شبکه رو در دست داره (یا پکت هاش رو دستکاری می کنه) روی کامپیوتر ما دستوراتی که می خواد رو ران کنه.
در این ویدئو اولا می بینیم که اصلا چرا شیم وجود داره و چیکار می کنه و بعد سورس رو بررسی می کنیم تا ببینیم مشکل از کجا درست و چطوری حل شده.
به حامیان کانال بپیوندین (:
/ @jadimirmirani - วิทยาศาสตร์และเทคโนโลยี
هیچکس نمیتونه مثل جادی یه موضوع پیچیده رو اینقدر قابل فهم وو شیرین توضیح بده. ممثل همیشه درجه یک👌
ممنون بابت این کلیپ عالی، هم یک سوراخ جدید یاد گرفتم و هم این نکته برام تکرار شد که چه در کد و چه در زندگی اعتماد شجاعت میخواد. :))
خیلی عـــــــــــــــالی ، موفق باشید
قبل از اینکه ویدیو رو باز کنم فک میکردم هیچی قرار نیست بفهمم ولی خیلی ساده و روان و قابل فهم بود ❤
خیلی خوشحال می شم حس کنم که چیزهای پیچیده رو می شه قابل درک گفت. یا چیزهای پایه ای رو قابل درک گفت. حس می کنم بهتره ویدئوهای بیشتری هم در مورد مفاهیم پایه ای بدم که عمیق یاد بگیریم
Awli bud 💕 Torokhoda course/amoozeshe RUST ham shooroo konim age beshe. Fogholladast. Makhsoosan rooye conceptesh ke aslan chetori be vojood umade va manteghesh chejuri kar mikone. Kheili khafane.
سعی می کنم (:
Great!
Perfect ❤❤
من از این ویدیو شاید 10 درصد متوجه میشم حتی راجب چی حرف زده میشه چون علمشو ندارم ولی چون جادی توضیح میده لذت میبرم و یه حسی برام ایجاد میشه که هر روز چیزای بیشتری یاد بگیرم، زنده باشید❤
همون ده درصد بسیار باعث خوشحالیه (: مرسی که نوشتی
عالی❤
Amazing🍻
عالی. ممنون.
VERY very GOOD video
خیلی عالی بود دمت گرم جادی جان واقعا لذت بردم مثل همیشه.
عالی بود
Nice
من آرچ نصب کردم همین دو روز پیش با سکیور بوت فعال، پشمی نمونده برام چطور شد اینطور شد
مثل همیشه عالی
Good❤❤❤
EXCELLENT
عالی
خیلی ساده و روان کل باگ رو متوجه شدم خیلی عالی بود ❤❤❤
فوق العاده توضیح دادی جادی
حالا تو مصاحبه سوالی ک میپرسن بعضی ها ؟
میگن جادی رو چطور آدمی میشناسی ؟
بگی باسواد و فوق العاده . میگن رد شدی از استخدام
ولی زندگی و مهارت و کار رو باید از تو یاد بگیرین .😍.
خیلی عالییی بود.
دید خیلی خوبی بهم داد.
من ازش خیلی لذت بردم.
بنظرم آموزش Rust هم شروع کن.
جذاب و خفنه .
خیلی عالی بود جادی دمت گرم هر موقع حس میکنم دیگه چیزی از برنامه نویسی و ... درک نمیکنم یه ویدیو از تو میبینم دوباره انگار مغزمو باز میکنی انقدر خوب توضیح میدی خیلی دمت گرم
خیلی خوشحال میشم جادی جان اگر بتونی بصورت دوره ای درمورد مفاهیم اینکه چطور یک باگ که در یک سرور هست رو هکر ها اکسپلویت میکنن و اصلا اکسپلویت کردن چطوری اتفاق می افته
این موضوعی هست که ما ها که علاقه به امنیت سایبری داریم خیلی درگیریم چون نمیدونیم که اصلا یک باگ چطوری و چرا اکسپلویت میشه و چطوری یک شخصی اکسپلویت مینویسه
خیلی خیلی ممنونت میشم اگر یک همچین دوره و یا ویدئویی بسازی که بتونیم از شخصی به خفنی خودت یاد بگیریم
بچه ها لایک کنید جادی ببینه
خیلی قشنگ و ساده 😍
سلام خسته نباشید لطفا یک ویدیو درست کن در باره اینکه اگر برنامه نویس شدیم چجوری می تونیم کار کنیم یعنی برای مثال اگر زبانhtml ccs php js رو یاد بگیریم بعدش می تونیم شروع به قالب نویسی برای وردپرس بکنیم این ویودیو رو خواهش میکنم بساز تشکر.
🙏🙏🙏🙏🙏🙏🙏🙏🙏🙏🙏🙏🙏🙏🙏🙏🙏🙏🙏
ممنونم ازت، به نظرم خیلی عالی میشه یه اموزش راست درست کنی، چون هم خودت به راست علاقه هم اینکه مهمتر از اینکه خیلی خوب آموزش میدی اینکه یاد میدی چطور خودمون مابقی مسیر رو پیش بریم.
جادی ممنون❤
😘❤
Viva Jadi
I love you Jadi ❤❤❤❤❤
❤
جادی جان لطفا در مورد layer zero هم ویدیو بساز دمت گرم ❤🔥❤🔥❤🔥
❤❤
❤❤❤❤❤
سلام جادی جان خسته نباشی
میشه راجب layerzero crypto هم یک ویدیو بسازی؟؟
🤘🏻🤘🏻🤘🏻🤘🏻
MISHA dar layer0 ham yak video bisazi tashakor
مهندس خسته نباشید میخواستم بپرسم پایتون یا js امنیت رو شما داشتین که بتونم تهیه کنم یا ببینم؟ یا اون دوره ceh اتون پیش نیازش چیه و اینکه کافیه برای هک؟
جادی 🤘☠️👁️
دکتر خسته نباشید میگم خدمتتون
بنده میخوام برنامه نویسی پایتون رو شروع کنم یاد بگیرم
ممنونم میشم بفرمایید پک آموزشیتون رو چطور باید تهیه کنم🙏🙏
در همین پلی لیست ها شاید مثلا درک برنامه نویسی به درد بخوره برای شروع
Shiiiir Aalaaaat 😂😂😂
سلام
دنیا روز ب روز داره سخت تر میشه واسه کسایی که حقیقت واسشون زیاد جدی نیست❤❤
آها
جادی این وانتبارا که میان رد میشن افراد مختلفی هستن، فقط طبق قانون همه یه نوار از پیش ضبط شده رو دارن که همگی همون رو پخش میکنن.
جادی عزیز اینم باعث میشه زودتر کورس پیشرفته برای rust بسازی 😊🎉❤
بیست
مگه بافر مثل یه نوع ظرف کوچک (ولی سریع) برای نگهداری داده نیست و سپس تحویلش به. قسمت بعد
پس طبیعیه که حجم بافر همیشه از خحم اطلاعات دریافتی کمتر باشه(بافر ذره دره دیتا رو میگیره و تحویل مقصد میده)
مثلا کش cpu لپتاپ یه بافره
چطور میتونیم بگیم اطلاعات بزرگتر از بافر وارد نشه؟؟؟
باید یه روشی وجود داشته باشه که اطلاعات وارد بشه ولی مقدار اضافی نره هرجایی از حافظه بشینه و مثلا به جاش منتقل بشه به یه بافر دوم
اگه اشتباه میگم لطفا بیشتر توضیح بدید
ممنون از ویدئوی خوبتون❤
نه همیشه. بافر یعنی یه جای موقت. میتونه سایزش هم اندازه بزرگتر یا کوچیکتر باشه. و حتی اگر هم یه جای موقت باشه که تیکه تیکه منتقلش کنیم به جاهای دیگه، بازم می شه توش چیزی بزرگتر نوشت و همین مشکل پیش بیاد. مساله پایه ای اینه که سی مسوولیت اینکه در فلان جای حافظه چقدر چیز می نویسم رو بر عهده خودش نمیگیره.
جادی عزیز سلام
میشه بفرمایید از برنامه ایی که روی مک بوک برای قلم نوری استفاده میکنید چی هست ؟
Screen brush
واقعا عالی بود مثل همیشه ٬ داخل پرانتز ی سوال بپرسم . خیلی فونت و استایل ترمینال برام جالب بود میشه راهنمایی کنید اسمش چیه ؟
هاها اینو حتما می گم. یه بحث مفصل و بامزه است. ولی فونت های خانواده کامیک هستن (:
درود جادی، من به کرنل دولوپمنت خیلی علاقه دارم، بنظرت زبان C در زمان حال بهتر است یا Rust
در حال حاضر اکثر کرنل با سی است و بقیه اش با اسمبلی (: راست هنوز توی کرنل به کار چندانی نمیاد و در آینده هم احتمالا برای نوشتن درایور و اینها کارکرد خواهد داشت
مگه اون تکه باینری که نرمال روی http لود میشه اجرا نمیشه؟ پس چرا باید نگران rce باشیم؟ اگر قرار باشه هکر کاری کنه، هدر رو تغییر نمیده خود بادی رو تغییر میده!
جادی جان قرار بود کانفیگ ویمتو تو یک ویدیو نشونمون بدی❤
چقدر تو خوب و پر تلاشی دمت جیز
ولی امکان نوشتن safe array در c وجود داره تو کتاب هربرت شیلد هست
سی زبان مموری سیف نیست. حالا با انواع تنکیک ها می شه سعی کرد مموری سیف تر نوشت ولی در نهایت تعداد عظیمی از باگ های امنیتی فعلی مربوط به این *انتخاب* زبان سی هستن (:
Mmu نباید موقع نوشتن بیشتر روی بافر ارور seg fault بده؟
در بعضی موارد نوشتن در خارج از جای درست سگمنت فاولت می ده. ولی در این تیپ چیزها کار اصلی اینه که هکرها برای اکسپلویت نوشتن از این خارج شدن از محدوده استفاده می کنن تا مثلا جامپ کنن به جایی که می دونن توش چی هست و اون برنامه رو ادامه بدن.
14:08 خب چرا بافر سایز رو به جای Content-Length از همون اول با BodyLength تعیین نکرده؟ جادی جان این نوع ویدیوهات عالین ❤
چون آدم ها موقع برنامه نوشتن به همه نکات دقت نمی کنن . تصور برنامه نویس این بوده که پکت ها درست و منطقی هستن (:
اون ضایعاتیه توی لوپ گیر کرده. میاد میره فقط 😂 🤦
دمت گرم، ولی دیگه اون آدم سابق نیستی😢
زمانیکه داشتم سی یاد میگرفتم یادمه استاد میگفت بهتره از دستور goto استفاده نشه چون دقیق نیست و مشکل ایجاد میکنه پس چرا اینجا تو برنامه های مرسوم داره ازین دستور استفاده میشه
یه اصطلاحی هست که می گه فقط برنامه نویس های حرفه ای اجازه دارن از گوتو استفاده کنن (:
مساله اینه که خیلی وقت ها گوتو در برنامه نویس های آماتور باعث شلوغ کردن برنامه و منطقش و فقط پریدن اینطرف اونطرف می شه. ولی در برنامه های حرفه ای زیاد می بینی این شکلی استفاده شده (:
او گون ک سنن باشلانسا، قهوه لازیم دَییر دا
اینکه نیاز به rust داره جدی میشه من زیاد موافقش نیستم. من مایکروسافت کوپایلت رو سین جیم کردم در مورد کامپایلر ها و اینکه چجوری مینویسنشون اونجا فهمیدم که اولین کامپایلر هر زبون برنامه نویسی با یه زبون سطح پایین نوشته شده مثل c, haskell, ocaml, c++ منم کنجکاو شدم و سین جیم کردن رو ادامه دادم و ازش پرسیدم rust رو باکدوم زبان نوشتنش ؟ گفتش ocaml. من کرم ریختم و پرسیدم که ocaml رو با چی نوشتن ؟ جواب داد عمدتا با c نوشته شده و در توسعش زبان caml هم بوده. باز هم رسیدیم به c از این همه حرف میخواستم بگم داستان امنیت حافظه هر چی که هست فکر کنم با سی قطعا قابل حله و برا اینکه میخوان پیچیدگی این قضیه کمتر شه پای rust میاد وسط درسته ؟
یه اصلاحیه بزنم تو پیوست کامنتم اینکه با سی نوشته نشده و بر اساس یه مفسر بایت کد که با سی نوشته شده طراحیش کردن.
جادی چطوری ؟ یادش بخیر 😅🏫👬👬👬🧙♂️⌨💾
چطور میشه لینوکس رو کامپایل کرد؟
توی الپیک ۲ هست (: باید منتشر کنم ((:
سیستم بانک ها با کدوم زبان ران میشه
مثلا سیستم پولی بانکی آلمان می تونه پول فیک 24ساعته بسازه
این باگ پولی می تونه از زبان
Http
باشه ؟
یاشا کیشی
جادی جان اون نون خشکی کپی رایت آموزش ها هست اگه یروز نیومد تو ویدئو یعنی یکی با هوش مصنوعی ویدئو فیک جادی ساخته 😅😅😅
دلم برای اون جادیه قبلی تنگ شده😓
چراااا
قبلا چطوری بود مگه؟
این اون آدم قبلی نیست
چه فرقی کرده؟ @@user-kx1qz6kn1v
آره قبلا جادیش یکم چرب تر بود 😂😂😊
th-cam.com/video/rrPl9DpgnQ4/w-d-xo.html درود استاد جادی خوشحال میشیم طبق درخواست ارشا با تیم ترید سیتی پرو همکاری کنی❤
❤❤