Как сделать вайт лист
WhiteList vs BlackList: как реализовать проверку расширений файлов и не стать жертвой хакеров
Нередко, во время анализа защищенности веб-приложений мы сталкиваемся с загрузкой каких-либо файлов на сервер – это могут быть и фотографии учетной записи, и какие-то текстовые документы, и что угодно другое. Существуют расширения файлов, с которыми многие работали и знают, почему нужно запретить их загрузку на сервер (например, при использовании веб-сервера apache в связке с PHP, наверное, лучше избегать загрузку файлов с расширением «.php» от пользователей). Однако, мне показалось, что остались еще некоторые малоизвестные форматы, которые по-разному воспринимаются различными веб-серверами.
При написании кода, который отвечает за загрузку файлов, разработчики веб-приложений, могут прибегнуть к проверке расширения загружаемого файла либо по WhiteList (и тогда можно загружать только файлы с определенным расширением), либо по BlackList (и тогда можно загружать любые файлы, которые не описаны в списке). Если все-таки используется второй вариант, то это нередко может выливаться в уязвимость (например, XSS или даже RCE).
Как правило, программисты вносят в BlackList уже известные и очевидные расширения. В статье же будут рассмотрены не самые распространенные типы файлов.
Для демонстрации PoC использовались следующие пейлоады:
Далее я покажу результаты этого небольшого исследования.
По умолчанию IIS отдает файлы, приведенные в списке ниже с content-type: text/html.
Расширения, которые позволяют использовать Basic-вектор:
Таким образом, есть возможность внедрить XSS-вектор в загружаемый файл. При обращении к файлу, браузер успешно исполнит javascript.
Следующую группу расширений IIS отдаёт с таким content-type, который позволяет выполнить XSS через XML-вектор.
Расширения, которые позволяют использовать XML-based вектор:
IIS по умолчанию поддерживает SSI, однако секция exec запрещена в целях безопасности. При стандартном конфигурировании мы не сможем добиться произвольного выполнения команд, но будет возможность читать локальные файлы. Ниже приведены расширения, при использовании которых, IIS позволяет использовать SSI директивы.
Расширения для эксплуатации SSI:
Детальнее про использование SSI описано в твите @ldionmarcil.
Дополнение:
Asmx-расширение
1. Если есть возможность загрузки файлов с расширением «.asmx», то это может привести к исполнению произвольного кода. Для примера возьмем файл со следующим содержимым и загрузим на сервер:
2. Далее отправляем следующий POST запрос к файлу, который удалось загрузить:
3. В результате IIS запустит процесс «calc.exe»
Soap-расширение:
1. Содержимое файла, которое загружается с расширением «.soap»:
Apache (httpd или Tomcat)
Расширения, которые позволяют использовать Basic-вектор:
Расширения, где можно использовать XML-based вектор:
Дополнение:
Nginx
Расширения, которые позволяют использовать Basic-вектор:
Расширения, где можно использовать XML-based вектор:
Заключение
Проанализировав взаимодействие веб-серверов с различными расширениями, были найдены форматы файлов, загрузка которых может привести к эксплуатации уязвимостей. Так, из-за загрузки определенных файлов, злоумышленник может эксплуатировать такие уязвимости, как XSS или даже RCE.
Данное исследование может служить еще одним подтверждением того, что использование черных списков может негативно отразиться на безопасности разрабатываемого веб-приложения. Поэтому лучше сформировать белый список, по которому будет осуществляться проверка расширения загружаемого файла.
Автор: Михаил Ключников, Positive Technologies
Как сделать вайтлист Майнкрафт
| Настройка whitelist в Minecraft.
В данной статье будет показано как сделать белый список (вайтлист) в Майнкрафт. Он нужен для того, чтобы играть на сервере могли только определенные игроки. Это полезно, например, когда проводятся технические работы.
Следуйте четко шагам, чтобы сделать всё верно.
1) Выключаем сервер.
Скачайте server.properties и поставьте « white-list=true ». Сохраните изменения и загрузите снова файл на сервер через FTP.
4) Теперь у нас включен белый список. Все игроки, которые в нем, пишутся в whitelist.json.
• /whitelist add [игрок] – добавить игрока в белый список;
• /whitelist remove [игрок] – убрать игрока из белого списка;
• /whitelist list – посмотреть игроков, которые в белом списке.
Важно понимать, что игрок должен хотя бы один раз зайти на сервер, чтобы добавить его в белый список.
На этом статья завершена. Если у Вас что-то не получается, то проблема на Вашей стороне. Читайте внимательно и делайте все также.
Рекомендуемые статьи этой категории:
Как подключить RCON к серверу Майнкрафт
Хотите узнать как производится настройка RCON? Наши специалисты подготовили для Вас обучающую статью. Переходите по ссылке.
Как установить моды на майнкрафт
Ура! Долгожданная для многих статья наконец-то готова! Мы подготовили подробную инструкцию по установке модов на сервер майнкрафт. Внимательно изучайте материал.
Как сделать квесты в майнкрафт
Хотите сделать свой игровой процесс более увлекательным? Тогда квесты майнкрафт точно Вам подойдут! В данной статье мы подробно рассмотрим как их настраивать на своём РПГ сервере.
Команды для майнкрафт
Настоящий администратор сервера майнкрафт, должен изучить все основные консольные команды! Это существенно упростит процесс управления и облегчит игровой процесс. Заходи.
Приват в майнкрафте
Хотите узнать как сделать приват в майнкрафте и изучить основные команды? Мы подготовили подробный видео урок и простую инструкцию. Научитесь правильно защищать свой сервер майнкрафт от атак гриферов.
Установка BungeeCord на сервер майнкрафт
В этой статье мы расскажем как правильно производить настройку BungeeCord серверов! Внимательно изучите материал и у Вас не возникнет абсолютно никаких трудностей. Мы старались максимально подробно всё описать.
Защита сервера minecraft от атак ботами
Не дайте злоумышленникам помешать Вашему игровому процессу! Поэтому заранее защитите свой сервер от подобных атак. В этой статье мы рассказываем все подробности для стабильной игры.
Minecraft server properties настройки
Профессиональная настройка майнкрафт server properties, мы расскажем обо всех подводных камнях, которые могут возникнуть, расскажем каких ошибок стоит избегать и как правильно поддерживать хостинг майнкрафт.
Как получить админа в майнкрафт
Не знаете как выдать себе права администратора на сервере майнкрафт? Это не проблема, мы Вас научим! Посмотрите подробные видео уроки записанные нашими специалистами с многолетним опытом работы в сфере майнкрафт.
ХОЧЕШЬ ОТКРЫТЬ СВОЙ СЕРВЕР MINECRAFT ИЛИ HYTALE?
Дарим 500 рублей в подарок!
Black и White листы: для чего они нужны и как их настроить
Блэк- и вайт-листы пользуются популярностью у арбитражников, потому что приводят к большему профиту. Они помогают исключить источники некачественного трафика или, наоборот, сконцентрироваться на тех площадках, где трафик целевой. Сейчас подробнее.
Black-лист
Какие сайты вносить в блэк-лист?
Ответ простой: площадки с некачественным ботовым трафиком, нецелевой аудиторией, высоким баунс-рейтом.
Шаг 1. Запускаете рекламу и откручиваете тизеры, чтобы собрать статистику. Убедитесь, что у вас проставлен макрос, который позволяет автоматически определять ID площадок.
В тизерных сетях макросы имеют различный вид. После создания ссылки со всеми необходимыми параметрами обратитесь в техподдержку вашей тизерки, для проверки правильности составления.
Шаг 3. Собираем список площадок и добавляем в блэк-лист.
Будьте внимательны: при тестировании абсолютно нового оффера или вертикали вам потребуется больше времени, чтобы собрать релевантную статистику.
Добавлять сайты в блэк-лист лучше сразу же, как только вы поняли, что результаты по площадке вас не удовлетворяют. Не ждите, что ситуация наладится, лучше отключите показ рекламы там и перераспределите бюджет.
White-лист
Обычно вайт-лист составляется по следующему принципу: рекламодатель добавляет сайты с дешевым и качественным трафиком, постепенно увеличивая стоимость. Это позволяет одновременно получать прибыль и шаг за шагом выходить на новые, более дорогие и качественные, сайты.
Как сформировать вайт-лист
Шаг 1. Запускаете объявления и так же следите за средним уровнем дохода за клик.
Шаг 2. Чтобы автоматически определять ID площадок, добавьте макрос. Тогда ID подтянутся автоматически, и вам не придется вбивать их вручную.
Стоит ли покупать блэк и вайт листы?
Мы крайне не рекомендуем скачивать такие листы в открытом доступе или, что еще хуже, покупать за деньги. Списки, как правило, создаются с использованием определенных тизеров, которые могут существенно отличаться от ваших. Да и ситуация в мире арбитража меняется с бешенной скоростью, поэтому информация даже «свежих блэк и вайт листов» может быть неактуальна спустя пару дней.
Самый лучший вариант – прошарить эту схему самому. Это поднимет ваш скилл в арбитраже и пригодится еще в дальнейшей работе.
Если тематика офферов похожа и попадает в одну ЦА, можно использовать один блэк лист. В противном случае придется попыхтеть над составление листов под каждую кампанию.
Поделитесь в комментариях, какие результаты вы получили, используя блэк- и вайт-листы.
Самое полное руководство по блэк-листам + 5 правил правильного арбитража с тизерок
Сегодня мы поговорим о must have вещах для каждого тизерщика: черных и белых списках, Black- и White-листах. Должен заметить, что эти термины в 99% случаев применяются к тизерным сетям, но как явление существуют в любых рекламных сетях, где можно выбирать места размещения вашей рекламы (РСЯ и КМС как самый яркий пример). Я в своей статье буду вести речь о тизерных сетях.
Что такое Black-лист?
Black-лист, он же черный список — это список площадок в тизерной сети, на которых мы исключаем показы нашей рекламы. В качестве площадок, в зависимости от типа тизерной сети (новостная или сеть сайтов), могут выступать:
* Сайты, на которых размещаются тизеры. Классический вариант, который чаще всего подразумевают, говоря о блэк-листах. Берите любую тизерку, которая работает по принципу сети сайтов, и в ней будет именно такой принцип. Kadam, Teasernet, MarketGid, MediaVenus и многие другие тизерки просто исключают показы на выбранных вами сайтах.
* Новость, на которой размещаются тизеры. Актуально для новостных витрин. В блэк-лист в этом случае вносится конкретная новость. По такой модели работает, например, новостная тизерная сеть ClicksCloud.
* Тематический новостной раздел. Более продвинутая версия предыдущего пункта. В черный список добавляется не конкретная новость, а целый тематический раздел. Так как новости быстро теряют свою актуальность, то добавление конкретных новостей в блэк имеет смысл только в автоматическом режиме (по API с помощью самописных решений), то добавление в блэк раздела решает вопрос более радикально.
* Источник новостного трафика. Совсем экзотический вариант, так как источников трафика на новостную витрину тизерной сети может быть совсем немного, и добавление источника в блэк лишит вас львиной доли трафика.
Что такое White-лист?
White-лист, в противовес, это список трастовых площадок, на которых наши тизеры показываются в первую очередь. В разных тизерных сетях существуют разные принципы работы с вайт-листами:
* Показ только на выбранных площадках. Актуально для крупных сетей с большим количеством площадок. Собираете список сайтов, на которых ваш оффер и креативы конвертят 1:20, к примеру, и крутитесь только на этих площадках. Минус — если список небольшой, то он очень быстро выгорит. Например, так работают вайт-листы в Teasernet.
* Повышенные ставки для выбранных площадок. В ходе слива определяете площадки, на которых у вас все тот же конверт 1:20, и с них выкупаете трафик не по 3 руб/клик, а по 5-7-10 рублей, к примеру. Вы за счет суперцелевого трафика с конкретной площадки все равно в плюсе, но при этом не ограничиваете слив только лучшими площадками, а постоянно дополняете список. По такой модели работает, к примеру, MediaVenus.
Для чего же они нужны и всегда ли необходимы?
Предназначение этих инструментов очевидно — выйти в больший плюс или выйти в плюс в принципе. Бытует миф, что в тизерках без блэк-листов делать нечего, но на самом деле это конечно не так. 🙂 Блэк-лист обязателен в тех тизерках, которые включают в себя большое количество сайтов, но в новостниках намного важнее качественный креатив и конвертящая связка, чем добавление отдельных новостей в блэк.
Настраиваем Black и White листы на примере MediaVenus
Давайте рассмотрим, как настроить блэк и вайт в нашей рекламной кампании в тизерной сети MediaVenus. Для примера возьмем кампанию на оффер Паппилок. Блек и вайт листы у нас были собраны в рамках слива на аналогичный оффер, поэтому немного тестируем, видим, что оффер зацепился, и применяем уже готовые списки.
Для начала идем в настройки самой РК и находим там поле «Черный список». Туда нужно добавить собранные ID сайтов, который несут нам минус, и сохранить. На этом все.
Замечу, что также в настройках кампании есть и поле «Белый список». Это не совсем то, о чем мы говорили в статье. Использование белых списков на уровне кампании в MediaVenus подразумевало приоритетный (+5% к стоимости клика в РК) показ тизеров на неких трастовых площадках, отобранных самой сетью.
Сейчас там доступен лишь пункт «Не использовать» — возможно, команда MediaVenus готовит для нас апдейт этого инструмента или откажется от него в будущем.
Далее настроим вайт-лист. Как я говорил выше, в MediaVenus вайт-листы используются по принципу приоритетных показов, когда на конвертящие площадки можно установить индивидуальные, повышенные ставки. Настраиваются индивидуальные ставки в настройках тизера, а не кампании.
Небольшой лайфхак. Предположим, есть площадка, с которой иногда прилетают лиды, но недостаточно, чтобы литься по ставке 3-4 рубля. В индивидуальных ставках можно задать не только повышенные, но и пониженные ставки. Это не всегда срабатывает, но иногда бывает очень кстати.
Готово, блек и вайт настроены, остается только выводить деньги с кошелька. 🙂
Больше всего black и white листы нужны в тех тизерках, которые представляют собой рекламные сети с большим количеством сайтов различной тематики, например Kadam, Teasernet, MarketGid, MediaVenus и пр. О работе в подобных сетях и поведем речь.
Способы составления Black-листов
По профиту
Самый простой, но не всегда самый правильный вариант. Анализируем трафик, и те площадки, с которых слили больше цены лида, а конверсий нет, заносим в блэк. Нюанс в том, что данный способ составления блек-листа заточен не то что под один оффер, а под одну связку. Потому что площадка, с которой нет конверсий на конкретной прокладке, не обязательно ботовая. Юзеры с нее могут просто не конвертиться на ваших креативах. Поэтому такой блэк обязательно нужно составлять с нуля под новый оффер как минимум.
Кроме того, если вы быстро закрываете площадки в блэк, вы можете упустить «окно конверсии» на данной площадке (термин авторский). Бывают площадки, где пик посещаемости конвертящей аудитории составляет определенные часы (например, с 13:00 до 15:00). И если вы открутили с площадки свои 100-200 кликов в промежуток с 18:00 до 22:00, то конверсий можете не получить, а самую профитную ЦА упустить.
Рассмотрим на примере. У меня тут скрин с трафиком из маркетгида.
* Если судить только по конверсиям, видим тут одну 100% интересную площадку — »’18692320»’, 5 лидов, 3 аппрува, ЕРС 6,71. Вот таких площадок у нас должно быть большинство, чтобы быть в хорошем плюсе.
* Также я бы еще потестил оффер с другими креативами на площадках »’308994»’ и »’11545461»’ — ЕРС там маловат, но аппрувы есть, а значит, с другими креативами они могут работать в плюс.
* С площадкой »’19713164»’ надо разбираться — почему оттуда 18 невалидов. Люди ошибаются, или ботовые заявки? Сделать это можно с помощью инструмента Аналитика форм в Яндекс.Метрике.
* Все остальные можно смело отправлять в блэк лист.
По поведенческим факторам
Для тизерных сетей, наверное, главным поведенческим фактором можно считать пробив прелендинга. Кроме того, стоит анализировать следующие показатели:
* Время на прелендинге — замеряйте, сколько у вас уходит на прочтение проклы с комментариями и сравнивайте это время со средними показателями с площадки. Аномально малое или аномально большое время нахождения на прокле — подозрительный момент.
* Показатель отказов. Если с площадки большой показатель отказов — либо там боты, либо вы просто не попали в ЦА своим креативом на данной конкретной площадке.
Скрин для анализа трафика с площадок по поведенческим факторам (скрины не мои, это для примера):
По анализу поведенческих я бы оставил тут площадки »’206738»’, »’274251»’, »‘273486»’ и »’191527′». У них приличный пробив проклы, адекватное время нахождения на прелендинге и даже есть лиды.
«В ТИЗЕРКАХ ОДНИ БОТЫ ТИЗЕРНЕТ САМ ПОДЛИВАЕТ БОТОВ БЛЭКИ НЕ ПОМОГАЮТ В ИНТЕРНЕТЕ ДЕНЕГ НЕТ»
Много раз встречали подобные заявления (кхм) на просторах арбитражных пабликов? Наверняка. Вот и мы и добрались до причты во языцех тизерных сетей — ботов, которые повсюду, которых подливают несчастным арбитражникам коварные владельцы площадок и даже сами тизерки.
Есть ли боты в тизерках? Господа, боты есть и в контексте, и в соцсетях, и в МТ, и конечно же они есть в тизерках. Только ли там боты? Нет, разумеется, что за бред. Ботовые площадки отсеиваются точно также по поведенческим факторам и по конверту (хотя есть и умные боты). Вот, например, скрин трафика с такой ботовой площадки (не мой):
Но их стоит добавлять не просто в блэк, а в отдельный блэк. Зачем? Поясню. Отсев по конверту или поведенческим сильно завязан на ваш оффер и промо, блэки по ним надо составлять отдельно на каждый новый оффер (тематику уж точно;). А блэк по ботовым площадкам достаточно составить один раз и использовать потом для:
* Повышения ROI на старте. Да, вам нужно отсеять неконверсионные площадки для оффера, но ботовые можно отсеять сразу на старте кампании. Это повысит ваш профит или по крайней мере снизит убытки.
* Увеличения CTR. Особенно работает, если есть вайт-лист. Размешиваете вайт-площадки ботовыми — и получаете высокий CTR (от ботов) и хороший конверт (с вайта).
Составляем White-листы: easy but no
Скажу откровенно, составление настоящего white-листа — задача куда более затратная, нежели блэка. Для того, чтобы сделать однозначный вывод, достойна ли площадка внесения в ваш вайт-лист, с нее нужно получить не менее 100 лидов для исключения факторов случайности. Ну ладно, хотя бы 50-60. Соответственно, ничего сложного в процессе нет.
Однако, на выходе вы получаете список площадок, на которых можете свободно крутить любые аналогичные офферы, а также смежные по тематике — и скорее всего, будете в плюсе.
Чуть выше я разбирал составление вайт-листа через повышение ставок на отдельных площадках. Такая методика несколько проще (работает на небольших объемах) и на старте советую пользоваться ей.
Выводы
Резюмирующие мысли по блэкам и вайтам в тизерках:
* Начинайте составлять блэки по конверту и поведенческим с самого начала слива.
* Видите, что площадка хорошо конвертит — повысьте для нее ставку и выкупайте оттуда больше трафика.
* Ботовые площадки заносите в отдельный список для использования в будущем
* Когда выходите на объемы по офферу — постепенно составляйте вайт-лист, он тоже поможет в работе над следующими офферами.
Так как же избежать стандартных ошибок? Есть 5 правил, которые необходимо учитывать (если ты, конечно, не хочешь слить свои кровные в пельменную). Какие?
1. Составление портрета ЦА под оффер
Арбитраж трафика, с точки зрения профессионала, представляет собой огромное уравнение с множеством переменных: выбор хорошего оффера является только одной из них (хоть и весьма важной). В пабликах никто уже не удивляется историям о том, как тот или иной начинающий адверт потерял свои деньги, потому что начал лить, даже не составив портрет своего потребителя. На самом же деле аудитория, которая будет больше всех выкупать нужный товар, не всегда очевидна (ну, разве что покупатели увеличилок и гелей – но мы сейчас не об этом).
То, с чего стоит начать: собираем как можно больше данных о предполагаемом покупателе. Возраст, пол аудитории, образ жизни, вредные привычки, психологические комплексы, проблемы, которые их волнуют – все эти сведения потом тысячу раз окупят потраченное время. Пригодятся они и в составлении тизеров (цепляем проблемы ЦА), и в выборе источника трафика (ну, давайте, докажите мне, что аудитории Одноклассников и Инстаграма не отличаются), и при доработке лендинга.
Закончили зарядку, переходим к водным процедурам.
2. Выбираем “правильную” тизерную сеть.
На данный момент существует великое множество популярных тизерок (не говоря уже обо всяких ноунеймовских проектах), и каждая из них специализируется на своей тематике, определенном виде трафика. Это происходит благодаря специфичному набору площадок размещения, характерному только для данной сети. Говоря короче – на каждый тип оффера найдетсясвой хитрый болтсвоя тизерка. Очень важно понимать, куда и с чем ты собираешься заходить, ибо от этого во многом зависит успех всей кампании.
Специально для подписчиков нашего паблика мы подготовили таблицу, которая поможет разобраться в этом непростом деле:
3. Используем трекеры.
Запомни: работа с тизерными сетями без трекера напоминает русскую рулетку – ставлю 99 к 1 на то, что ты потеряешь свои деньги и навеки заречешься использовать этот источник. Что изменит трекер? Он даст возможность отследить идущий с площадок трафик, поведение пользователей на преленде и ленде и еще много полезных сведений, благодаря чему ты сможешь отсеять ботовые и неконвертящие площадки, и в итоге начнешь-таки лить в плюс. Кроме того, проследив за пользователями, ты сможешь допилить свой ленд так, что самые топовые арбитражники будут плакать от зависти, глядя на твои конверсии!
Тогда кончай косить под Вангу и заведи себе трекер!
Специально для тебя мы оставим здесь ссылки на несколько годных трекеров – не благодари.
Cpatracker — бесплатно | 1000 рублей/мес
OctoTracker — 2000 рублей/мес
Prosper 202 — бесплатно
AdsBridge — 30 дней триал, потом 29$ месяц
BevoMedia— бесплатно
А вот несколько видео по теме, которые помогут тебе с техническими моментами, если вдруг ты – гуманитарий!
Настройка трекера CPA Tracker
Как настраивать трекеры для арбитража мобильного трафика
И не забывай, что у тебя в личном кабинете всегда есть своя аналитика, где можно посмотреть всю важную инфу по клиентам:
4. Вайтлист, блеклист, два ствола.
Результат предыдущего пункта. Список площадок, куда лить не надо, называется блэклист, а список площадок, которые приносят доход – вайтлист. Логично, не правда ли? Именно эти два списка решают, будешь ты на коне (в Таиланде и ездить на CPAconf каждый год аки отец вап.клика) или забьешь на идею арбитража, отписав в комментариях что-то вроде «В интернете денег нет, апрув на 2 лидах 0% и тд.» Списки составляются самостоятельно, под конкретный оффер/тизерную сеть, и только путем хардкорного тестинга и слива своих бюджетов. Чтобы после теста в вашем кармане осталось немного деньжат, необходим трекер из предыдущего пункта.
5. Тизеры, десятки их!
Главное в тизерах – это голая Малышева с пачкой соды, обведенное красной рамкой и обязательно со стрелкой. Шутка.
На самом деле, главное – сочетание яркой, привлекающей внимание картинки и заголовка, который интригует клиента и заставляет его кликнуть на наш баннер. Здесь будет крайне уместно применить наше знание о целевой аудитории (мы же читали 1 пункт, верно?).
Не стоит верить «профессионалам», которые утверждают, что аккаунта в Publer или AdvanceTS достаточно, чтобы клиент начал бешено кликать на украденный креатив. Как правило, те креативы, которые крутятся там, уже давно выжаты и/или работают только в определенной тизерке, в связке с определенным прелендом и лендингом. Упомянутые сервисы, несомненно, полезны, но только как источник идей: большинство топов делают свои креативы сами – это факт.