habrahabr

Подписчиков: 8     Сообщений: 71     Рейтинг постов: 606.9

батарейка длиннопост habrahabr 

Дешёвые и дорогие батарейки ААА, есть ли разница?

Пост не мой и был честно спизжен:

© 2019, Алексей Надёжин

Источник habr.com


Реклама добилась своего: большинство покупателей уверены, что батарейки Duracell и Energizer значительно лучше других. Чтобы проверить, так ли это, я протестировал 20 видов щелочных (alkaline) батареек AAA — от самых дешёвых до самых дорогих.

lO JO»B Mcnom»Joii.iTi) BkvcBhaa IUc/iommom 3/iiMOMT nnTJinna sgannr w ALKALINE BATTERY 24A * Lfi03 • S/^E .*/*-4 • ».5V fllHOMMCWiy.! OAiOMHJM LR03 AAA ALKALINE - AM4 - 1.5V “----------~ *'TvrWV*><,< ;W V* aui)B>i]vvVV ojdi\^ H VARTA LDNGLIFi aiaavuna QWm \ m) KI'V \ tmWNmW

В 2019 году я сделал несколько тестов батареек АА и ААА:

Самые дешевые батарейки из магазинов Ашан и Атак;

Дешёвые батарейки из FixPrice;

Батарейки Lexman — дешевле некуда;

Батарейки Вкусвилл;

Батарейки Mirex.

В последнее время я тестировал дешёвые батарейки, так как ещё в «грандиозном тестировании» выяснил, что покупать дорогие нет смысла. Но всё же я потратил тысячу рублей и купил батарейки Duracell, Energizer, GP, Sonnen и другие, чтобы ещё раз посмотреть, дают ли дорогие батарейки хоть какие-то преимущества, по сравнению с дешёвыми.

МАКСИМАЛЬНЫЙ ЗАРЯД AAA 4 DURACELL: turbo mflx 4Ш САМАЯ 4± I ДОЛГОВЕЧНАЯ ■ БАТАРЕЙКА DURACELL' AAA SONNEN DURACELL ULTRh pouuer -tf. POUjeRCHECK- '100% MORE POWER ДЕРЖИТ ЗАРЯД ДО 10ЛЕТ- (§>- ALKALINE BATTERY ААА12 DURACELL РАБОТАЕТ НАМНОГО ДОЛЬШЕ!' ГАРАНТИРУЕМ 2 штуки

В продаже встречаются батарейки AAA и AA трёх типов: щелочные (alkaline), солевые и литиевые. Литиевые батарейки имеют самую большую энергоёмкость, но они очень дорогие.

Энергоёмкость солевых батареек самая маленькая, они неспособны выдерживать большие нагрузки и у них небольшой срок хранения. В сегодняшнем тесте участвуют только щелочные батарейки.

Я проводил тесты с помощью анализатора батареек Олега Артамонова.

20 i Ó Алексей Н&дёжин, mfïipteâtw,батарейки,батарейка,длиннопост,habrahabr

Батарейки разряжались в двух режимах:

1. Разряд постоянным током 200 мА. Такая нагрузка свойственна для электронных игрушек;

2. Разряд импульсами (10 секунд нагрузка, 20 секунд пауза) 1000 мА. Такая нагрузка свойственна для мощных устройств.

Измерение делались при разряде батареек до напряжения 0.7 В.

Результаты теста меня удивили.

батарейки,батарейка,длиннопост,habrahabr

Дорогие батарейки Energizer Maximum оказались хуже всех, причём как на низком токе разряда, так и на высоком. Duracell Ultra Power по 100 рублей за штуку почти не отличается от Duracell Turbo Max по 40 рублей и это далеко не лучшие батарейки — они заняли одиннадцатое и двенадцатое места в таблице. Обычные батарейки Duracell ещё хуже — они на шестнадцатом месте.

На первом месте оказалась Varta Longlife, но более дешёвые батарейки Вкусвилл (26.5 рублей за штуку) дают больше энергии при большой нагрузке и настоящим победителем теста можно считать их.

Лучшими батарейками теста по соотношению цена-ёмкость стали батарейки собственных брендов торговых сетей:

Lexman — 8.5 рубля за штуку (продаются в Леруа Мерлен);

Diall — 8.5 рубля за штуку (продаются в Castorama);

CMI — 9.5 рублей за штуку (продаются в OBI);

Ашан голубые — 11.5 рублей за штуку (продаются в Ашан и Атак).


Из хороших батареек, которые можно купить в «магазинах у дома» выделю две модели:

GP Super — 24 рубля за штуку;

Вкусвилл — 26.5 рублей за штуку (продаются во Вкусвилл).

Я очень удивлён результатам Energizer и Duracell. Нет никаких сомнений, что все батарейки оригинальные и не являются подделкой: Duracell покупались в Metro, Energizer в Дикси. На момент тестирования батарейки были не старше года при сроке хранения 10 лет.

График разряда на токе 200 мА. Дешёвые Lexman и цветные из Ашана побеждают Energizer Maximum.

[".]Ва«егуТе51ег уег. 2-22 Подключиться Пуск Загрузить данные Постоянный разряд, 200 мА Сохранить данные Сохранить картинку Время, ч : м : с Нагрузка Тип | Батарейка 1,5 В Режим [Постоянный ток V Импульсный разряд Инпульс г с Пауза |20 с Разряд |200 мА Предел |0,7В I- Отключать

P Super, Вкусвилл и Lexman побеждают Duracell Ultra Power.

BatteryTester ver. 2.22 Подключиться Пуск Загрузить данные Постоянный разряд, 200 мА Сохранить данные Сохранить картинку Нагрузка 2 Тил ¡Батарейка 1,5 В 3 1.8 Режим ¡Постоянный ток 3 V Импульсный разряд Импульс F с Пауза |20 с Разряд |200 мА мА Предел [о,7 В I- Отключать

Возможно потрачу ещё несколько сотен рублей и куплю в других магазинах Energizer и Duracell для повторного теста.

В тесте нет батареек IKEA, оказавшихся лучшими по соотношению цена-ёмкость в Грандиозном тестировании. У меня не было возможности доехать до Икеи за новыми батарейками, а те, что у меня были (изготовлены в мае 2017 года, срок годности до мая 2022 года) показали низкие результаты — 0.73 Втч и я решил не включать их в таблицу.

BatteryTester ver. 2.22 Подключиться Пуск Загрузить данные Постоянный разряд, 200 мА Сохранить данные Сохранить картинку Нагрузка 2 Тил ¡Батарейка 1,5 В 3 1.8 Режим ¡Постоянный ток 3 V Импульсный разряд Импульс F с Пауза |20 с Разряд |200 мА мА Предел [о,7 В I- Отключать


Я тестировал по несколько экземпляров многих типов батареек. В таблицу попали наименьшие результаты. У большинства батареек разница между экземплярами минимальна. Разница около 10% между экземплярами зафиксирована только у Flarx из магазинов FixPrice (0.81 и 0.94 Втч) и у безымянных цветных батареек из Ашана (0.83 и 0.91 Втч).

Главный вывод из моего теста: не стоит покупать дорогие батарейки, они ничем не лучше дешёвых.



Развернуть

Отличный комментарий!

bunnyboybunnyboy08.07.201915:13ссылка
+36.4

обман факты лампы habrahabr технологии 

"Светодиодное враньё невиданных масштабов"

В магазинах можно встретить множество мощных светодиодных ламп, например «свечки» и «шарики» 9 и 11 Вт.
Вот только свечек и шариков такой мощности сегодня существовать не может. 

ПЛС'ЫПшгц '№,У.?\1С<\л ф93Ш/\Г GIQZ ($,обман,факты,лампы,habrahabr,технологии

Я специально купил лампочки больших мощностей и протестировал их. Результаты впечатляют!

www.gauss.lv www.gauss.ru 15\Л/ = 150W 12\Л/ • 12СЛ*/ 1200- Светодиодная пампа Светодиодная пампа Светодиодная пампа ■ 2019 Ллскг.сй Н,,обман,факты,лампы,habrahabr,технологии


Вот филаментная свечка и шарик Gauss, на которых написано «11 Вт». Знаете, какая у них на самом деле мощность? 

службы Без пульсации Светодиодная лампа Теплый сеет 2700К Ф 20Л ') Алексей Нгш&жиы, &шрЬцэьг-и,обман,факты,лампы,habrahabr,технологии


4.7 Вт! Это в 2.3 раза меньше, чем обещано!

i ; i 0.542 469в, [Л229.0s Bill 3.69-П 0.038л ЕД] 73.65p* Н 0,00002^ vit) ашшия ¡umÿ кал,обман,факты,лампы,habrahabr,технологии


На коробках этих лампочек указано, что они дают 720 лм и заменяют 80-ваттные лампы накаливания. На самом деле они дают 590 лм (тут соврали лишь на 20%) и заменяют 60-ваттные лампы. 

Ещё одно враньё с индексом цветопередачи: указано CRI>90, на самом деле лишь 81. 


обман,факты,лампы,habrahabr,технологии


А вот свечка и шарик Эра. На коробке — 11 Вт, 880 лм, замена 100 Вт.

njvsmrim '«KwgflSK bbsswwv @ ЭРА,обман,факты,лампы,habrahabr,технологии


На самом деле 7.5 Вт, 580/642 лм и эквивалент 60 Вт. Тут с мощностью и световым потоком соврали на треть, а с эквивалентом на 40%. 

обман,факты,лампы,habrahabr,технологии


Я протестировал уже 2500 моделей светодиодных ламп и на сегодня, 25 февраля 2019 года, зафиксированы следующие максимальные мощности и световые потоки ламп разных типов (больше не получается сделать по техническим причинам). Запомните эти цифры! 

Тип лампы Максимальная мощность Максимальный световой поток Свечка С35/С37 8.2 940 Филаментная свечка С35/С37 6.9 710 Шарик G45 8.3 860 Филаментный шарик G45 5.6 600 Споты GUIO и GU5.3 8.4 780 Микролампа G9 4.7 510 Микролампа G4 3.8 350 Филаментная груша АбО 11.3


Если вы видите в магазине лампу, на которой указана бОльшая мощность или световой поток, чем в этой таблице, знайте — вас обманывают. 

Почему же так происходит? Всё началось несколько лет назад, когда кто-то из производителей решил, что если написать на коробке светодиодной лампы мощность чуть больше, чем есть на самом деле, её будут лучше покупать, ведь покупатель, увидев на витрине две лампы разных производителей с одинаковой ценой выберет ту, что поярче, а выбирать он будет по мощности. Гонка вранья началась! Второй производитель решил, что он тоже не дурак, и завысил мощность ещё больше, а потом третий ещё больше. И вот, в результате мы имеем то, что имеем: написано 11 Вт, а на самом деле 4.7 Вт. В эту гонку включилась даже российская Лисма, которая всегда утверждала, что строго соблюдает все законы и стандарты: для филаментных лампочек, продающихся в Ашане, им пришлось написать «5 Вт» на четырёхваттных лампах (а то никто не будет покупать такие «тусклые» лампы).

Вот что мне написал по этому поводу представитель одного очень известного бренда:

«Потребители в общей массе по-прежнему ориентируются на более понятный показатель «Мощность» при выборе ламп, поэтому мы вынуждены немного завышать параметры по мощности, чтобы дифференцироваться на полке.

С одной стороны в этом есть лукавство, с другой стороны надо понимать, что люди потребляют люмены, а платят за мощность. Поэтому реальный финансовый расход по факту ниже, чем заявлено на упаковке».

Самым оригинальным образом поступил в этой ситуации бренд General. На коробках их ламп перед цифрами и ваттами написано слово «Модель». Получается, что это как-бы не мощность, а название лампы. 


обман,факты,лампы,habrahabr,технологии


При этом реальная (впрочем, тоже слегка завышенная) мощность написана только в инструкции или мелким шрифтом в списке параметров на коробке. Кстати, фактическая мощность этой лампы 4.7 Вт. 

/ 1 Модель лампы Патрон Цветовая I температура, К Потребляемая мощность, Вт Напряжение, Вольт Энергопотребление, Квт*ч/1000ч (А++) 1А60$ / б!.0ЕМ-А605-8 / GLDEN.A60S-10 / 61.0ЕН-А60$-13 / СЮЕЫ-А65$-20 /V " I 2700/4500/6500 6 7 8 10.5 200-265 6 Квт*ч/1000< 7 Квт*ч/100О< 8 Квт*ч/100О< 10.5


И ещё одна довольно неожиданная вещь. Вот шарики Эра, на которых написано 11 Вт и 9 Вт. Даже зная, что реальная мощность меньше, любой скажет, что первая лампа всё равно ярче, но не всегда это так. 

гост 28108-89 (ГЭ 2019 Алексей Наложим, 1агтЛС51,,обман,факты,лампы,habrahabr,технологии


В данном случае мощность у ламп оказалась 7.5 и 7.1 Вт, а световой поток 642 и 670 лм. Как это не удивительно, «якобы 9-ваттная» лампа оказалась чуть ярче «якобы 11-ваттной». 

обман,факты,лампы,habrahabr,технологии

Иногда производители даже пишут разную мощность на одинаковых лампах «чтобы лучше продавалось». 

Часто разница между лампами существенно отличающимися по мощности, указанной на упаковке, оказывается совсем небольшой. Так мощность у филаментных шариков и свечек Gauss, на которых написано 9 Вт и 11 Вт, оказалось почти одинаковой — 4.66/4.74 Вт и 4.70/4.73 Вт. Световой поток отличается, но совсем немного: 547/590 лм и 519/590 лм. Причина проста — никаких 9 и 11 Вт не бывает и мощность всех ламп сделана максимально возможной. 

Замечу, что есть производители, которые почти не врут с мощностью и световым потоком. Прежде всего это зарубежные бренды — OSRAM, PHILIPS, IKEA, Diall, Lexman, Auchan, Polaroid. Но есть и российские — X-Flash, Наносвет, Goodeck, Robiton, Sky Lark, Videx, Voltega.

К сожалению, сейчас производителей светодиодных ламп никто не контролирует. На коробках можно писать всё, что угодно и никому за это ничего не будет. Согласно постановлению Правительства России № 1356 «Об утверждении требований к осветительным устройствам и электрическим лампам, используемым в цепях переменного тока в целях освещения» половина ламп, которые есть в магазинах, вообще не должны продаваться — ведь это постановление запрещает использование ламп с пульсацией выше 10% и индексом цветопередачи менее 80, но законы у нас, как известно, не всегда исполняют.

P.S. В таблице максимальных мощностей я не привожу данные для обычных ламп-груш с цоколем E27, так как их мощность можно повышать, просто увеличивая размер лампы, и встречаются даже 50-ваттные лампы гигантских размеров. Ещё в таблице есть одно исключение — мне попадалась одна лампа G9 с реальной мощностью 6 Вт и световым потоком 513 лм, но я решил её не учитывать, так как она была очень плохой (100% пульсация, низкий CRI, крайне низкая энергоэффективность).

P.P.S. Я не привожу здесь результаты всех тестов ламп, которые я купил в этот раз. Их можно посмотреть на Lamptest.ru.


Author there  © 2019, Алексей Надёжин 

where
Развернуть

Отличный коммент!

Когда дошел до момента "Я протестировал уже 2500 моделей светодиодных ламп", в голове возникло "Я 11 лет считаю спички у вас в коробках — их то 59, то 60, а иногда и 58. Вы там еб@нутые все, что ли?"
TvioTvio01.03.201909:21ссылка
+46.4

geek телевидение habrahabr hdtv поехавшие 

Телевидение 7680 х 4320

А я то думал 4К еще впереди только...
4320 в Японии началось телевещание в формате 8К Кадр 8К в 16 раз бопыре по размеру, чем кадр HDTV, то есть телевидения «высокой чёткости» с разрешением в 1080 строк,geek,Прикольные гаджеты. Научный, инженерный и айтишный юмор,телевидение,habrahabr,hdtv,поехавшие
сурс: Habrahabr.ru

Развернуть

2018 технологии хабрахабр браузер opera (browser) Oldschool вёрстка поехала 

О sha4 26.10.18 в 16:08 tt Я Вы бы видели, как теперь Хабр выглядит через opera mini — svg-иконки распахнуты на два экрана в ширину. Может в атрибутах svg пропущена высота/ширина? Ответить ^ zhovner 26.10.18 в 16:14 П Я h О t -5 Это еще что. Воту меня на Windows 98 в Opera 10.10 вообще все


Развернуть

geek лазер китайцы оружие ружье habrahabr 

Китайцы представили лазерное ружье с дальнобойностью почти километр



geek,Прикольные гаджеты. Научный, инженерный и айтишный юмор,лазер,китайцы,оружие,ружье,habrahabr

Ученые из Сианьского института оптики и точной механики при Китайской академии наук анонсировали новую разработку — лазерное ружье ZKZM-500. По словам разработчиков, хотя оружие и относится к классу «нелетального», но энергии луча достаточно, чтобы вызвать мгновенное обугливание кожи и тканей. Всего лишь десять лет назад такая винтовка была лишь достоянием голливудских студий, а теперь это вполне реальное оружие. Инженеры, разрабатывавшие ружье, говорят, что луч без проблем поразит человека сквозь одежду. Более того, если ткань, из которой пошита одежда, легко воспламеняется, то человек в этой одежде может превратиться в живой факел. 


Ружье спроектировано таким образом, чтобы его можно было использовать в пешем походе, прикрепить к автомобилю или летательному аппарату. Вес ружья составляет 3 кг, примерно столько же весит автомат Калашникова АК-47. Сейчас китайцы решают вопрос о начале массового производства лазерного вооружения и предоставления его антитеррористическим командам и специальным подразделениям полиции.


Зарядов у винтовки будет более, чем достаточно. Ее аккумулятора (обычный перезаряжаемый Li-ion) хватит на 1000 выстрелов по 2 секунды каждый. Дальнобойность — 800 м. Прототип винтовки был построен на основе лазера ZKZM, разработанного ранее Сианьским университетом. Разработчики сейчас ищут партнера, у которого есть лицензия на производство оружия. Стоимость одной винтовки составляет около $15 000.





Развернуть

Отличный комментарий!

Гы, теперь террористы в китае будут косплеить моднячих диско-дэнсеров?
loveflame loveflame03.07.201821:15ссылка
+36.0

habrahabr комментарии 

Ветка обсуждений по теме: "Фермер из Курганской области собирался шпионить за коровой с помощью китайского GPS-трекера. Сотрудники ФСБ задержали его около почты с посылкой в руках."

О *
Germanets 07.06.18 в 10:20
«
Я
h
О
Одним из важных критериев для определения чем же является камера — спецсредством, или просто маленькой камерой является наличие вынесенного зрачка входа (PIN-HOLE).
Ну а вообще — покупая подобные вещи нужно лишний раз подумать, нельзя ли обойтись




Ссылка на комментарий.

Развернуть

взлом информационная безопасность sql длиннопост geektimes habrahabr текст много букв СНИЛС дыра ...story PostgreSQL obrnadzor инн рособрнадзор 

"И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках"

"https://habrahabr.ru/post/347760/"


Одиноким вечером, глядя на свою пустую зачётку и осознавая, что конец близок, я снова задумался о том, как бы мне сейчас собрать сумку, или даже просто рюкзак, положить туда рубашку, шорты и свалить в тёплую страну. Было бы хорошо, да вот с дипломом живётся намного лучше. Во всяком случае, мне всегда так говорят.

Также часто слышал много историй про людей, которые приходили на собеседования с красными дипломами МГУ, но при этом абсолютно не разбирались в своей специальности, а потом на корпоративах признавались, что диплом у них купленный.

Но времена сейчас другие, сейчас 21 век, век больших возможностей, любой работодатель, который умеет пользоваться мышкой и знает, как выглядит браузер на рабочем столе, может проверить данные диплома. Каждый диплом, который выдаётся учебным заведением, теперь регистрируется в едином реестре, доступ к которому есть у каждого через сайт Федеральной службы по надзору в сфере образования и науки.


ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ ОБРАЗОВАНИЯ И НАУКИ РОСОБРНАДЗОР,взлом,информационная безопасность,sql,PostgreSQL,длиннопост,geektimes,habrahabr,текст,Истории,obrnadzor,много букв,рособрнадзор,СНИЛС,инн,дыра



Для получение информации о документе об образовании достаточно просто заполнить форму, передвинуть слайдер и нажать кнопку. Вам либо покажут информацию о документе, либо скажут, что такого нет (но ещё рано обвинять соискателя в обмане, мало ли, что могло произойти).


Для поиска введите точные значения реквизитов, указанные на бланке документа: Более подробно о работе с данным сервисом можно ознакомиться по ссылке Уровень образования Не выбрано Уровна* обрио Наименование 00: Фамилия обладателя документа: Серия бланка: Номер бланка Дата выдачи: О Найти 00



Ну и пока я смотрел на эту форму, решил я с ней поиграться. Повводил всякой чепухи, и бац — на поле, в которое было введено 1', я получаю такой response:

<h2>Произошла ошибка</h2><p>SQLSTATE[42601]: Syntax error: 7 ERROR: syntax error at or near "4"LINE 6: ...me) = UPPER('1'')) AND (doc.education_level_id = '4') AND (U... ^</p>


Голый SQL Injection. Очевидно, что задачи продумать обработку ошибок перед разработчиком не было. Задача была сделать сервис, который работает. Сервис, который является гарантом. Так одинокий вечер превратился в весёлую одинокую ночь.


Ещё будучи подростком я очень любил всякие крутые истории про хакеров, а после того, как решил заняться программированием, изредка почитывал и интересные статьи по взлому и прочему. Так что то, что нужно делать дальше — я знал.

Так как разработчик этого сервиса дал нам удовольствие видеть ещё и часть запроса, то мы можем с уверенностью предположить, что это SELECT запрос. Теперь нам нужно как-то обнулить действие запроса, записанного в php-скрипте, а потом с помощью переменной вставить свой.

Для обнуления запроса достаточно просто добавить невозможное условие и закомментировать последующие строки запроса, что-то наподобие:

Инъекция

...me) = UPPER('1') AND (1=0)) — ')) AND (doc.education_level_id = '4') AND (U…


В ответ просто пришло сообщение о том, что документ не найден.

Также пробовал использовать вместо невозможного условия, наоборот, очевидные. А именно пробовал искать какой-либо документ по id. Писал id=1, id=1024 и прочее, но результатов не дало. Видимо, id давно перевалило за тысячи (спойлер: за миллионы).

Также я совершенно не надеялся на то, что запрос придёт без ошибки. Я был уверен, что пробелы будут экранироваться, удаляться, запрещаться, ещё что-нибудь. Ведь в форме на странице поиска ввести фамилию с пробелами невозможно. Но всё оказалось в разы проще.

Ну а теперь бы хотелось вытащить что-то действительно интересное. Изменить структуру ответа мы не можем никак, то есть если в запросе были, например, SELECT id, name, count, то так оно и останется. Значит надо подстраиваться, а для начала понять, какие же данные запрашиваются из БД, и, главное, сколько? Существует много способов узнать количество полей, но мне помог только ORDER BY. Как это работает?

ORDER BY сделан для сортировки, но его синтаксис не требует обязательно указывать имя поля, достаточно указать его позицию в запросе. Если указать номер позиции больше, чем количество запрашиваемых полей — то будет ошибка. Методом перебора можно подобрать количество полей. Их оказалось 55.

Хочется понять, с чем же мы работаем, что это за база данных такая? Предположим, что это MySQL, в MySQL есть функция Version(), которая возвращает версию БД. Применим:

Инъекция

...me) = UPPER('1') AND (1=0)) UNION SELECT 1,version(),тут ещё 53 поля, типы которых ещё надо определить методом подбора — ')) AND (doc.education_level_id = '4') AND (U…


В ответ пришёл JSON, в котором было:

PostgreSQL 9.1.2 on x86_64-alt-linux-gnu, compiled by x86_64-alt-linux-gcc (GCC) 4.5.3 20120111 (ALT Linux 4.5.3-alt1.M60C.1), 64-bit
Отлично, мы знаем систему, версию БД (под неё вроде даже эксплоиты были). Поле для действия расширилось. Узнаём, как выглядит запрос:

Инъекция

...me) = UPPER('1') AND (1=0)) UNION SELECT 1,current_query(),тут ещё 53 поля, типы которых ещё надо определить методом подбора — ')) AND (doc.education_level_id = '4') AND (U…


Ответ:
"SELECT "doc".*, "doc_type"."type", "stat"."name" AS "status", "level"."name" AS "level", "rec"."name" AS "rec_name", "rec"."surname" AS "rec_surname", "rec"."patronymic" AS "rec_lastname" FROM "documents" AS "doc" LEFT JOIN "document_types" AS "doc_type" ON doc_type.id = doc.document_type_id LEFT JOIN "document_packages" AS "dp" ON doc.document_package_id = dp.id LEFT JOIN "documents_status" AS "stat" ON stat.id = doc.status_id LEFT JOIN "education_levels" AS "level" ON level.id = doc.education_level_id LEFT JOIN "recipients" AS "rec" ON rec.id = doc.recipient_id WHERE (dp.status = 3) AND (doc.organization_id = '573') AND (doc.year = '2018-01-01') AND (UPPER(rec.surname) = UPPER('1')) UNION SELECT 1,current_query(),'3', '4', '5', '6', '7', '8', '9', '10', '11', '12', '13', '14', '15', '16', '17', '18', '01.01.1970', '01.01.1970', '21', '01.01.1970', '23', '24', '25', '26', '01.01.1970', '28', '29', '30', '31', '32', '33', '28-05-2004 11:11:59', '35', '36', '28-05-2004 11:11:59', '38', '39', '40', '41', '42', '43', '44', '45', '46', '47', '48', '49', '50', '51', '52', '53', '54', '55' -- ')) AND (doc.education_level_id = '4') AND (UPPER(doc.series) = UPPER('1')) AND (doc.number = '1') LIMIT 1"

Вся картина перед нами.

Попробуем узнать, что же за таблицы есть во всей базе данных:

Инъекция

...me) = UPPER('1') AND (1=0)) UNION SELECT 1,table_name,тут ещё 53 поля, типы которых ещё надо определить методом подбора FROM information_schema.tables — ')) AND (doc.education_level_id = '4') AND (U…


Таким образом получили все таблицы. Узнаём столбцы каждой таблицы следующим образом:

Инъекция

...me) = UPPER('1') AND (1=0)) UNION SELECT 1,CONCAT(column_name,' ',data_type,' ',is_nullable),тут ещё 53 поля, типы которых ещё надо определить методом подбора FROM information_schema.columns WHERE table_name='Какое-то имя таблицы' — ')) AND (doc.education_level_id = '4') AND (U…


Итак, зная структуру базы данных, я написал скрипт на Питон и выкачал все самые интересные на мой взгляд данные. А именно:

Таблицу с дипломами об образовании (серия, номер, год поступления, год окончания, СНИЛС!, ИНН!!, серия и номер паспорта (честно говоря, у всех записей поля пустые, но сам факт!), дата рождения, национальность (зачем?), учебная организация, выдавшая документ), таблицу с гражданами с образованием (там всё проще: ФИО и всё), таблицу с пользователями системы (стандартно, логин, email, и, НЕОЖИДАНО, md5 хэш пароля, хоть не сам пароль), отдельная таблица admin с одной записью (так же: логин, хэш пароля и прочее), таблица с информацией об учебных заведениях (кто начальник, email, телефон, лицензия — в общем всё, что и так есть в открытом доступе) и ещё кучу вспомогательных таблиц.

По объёмам получилось: около 14 000 000 документов об образовании, около 14 000 000 записей с данными о бывших студентах, 1322 пользователя системы, 1 админ, который логинится по будням в системе, видимо, когда на работу приходит, 3391 учебное заведение и горы непонятной информации типа ОКОГУ и прочее. База весом 5 гб.

А теперь представьте, сколько времени это качалось. Вы думаете, кто-то заметил? Может быть сервис резко отключился, ip заблокировали или ещё что-то? НЕТ!

Конечно, целью не является использовать эту информацию в корыстных целях (да я и не представляю, как). Иначе бы я не писал статью здесь. Но и писать лично администрации сайта или кто там за него отвечает я тоже не горю желанием, хватило истории про Микротех.

Дополнительно решил проверить хэши по радужным таблицам. Не уверен, конечно, что они хэшировались именно голым md5, но, во всяком случае, в открытых базах данных совпадений ни к одному хэшу не нашлось. Или я что-то не умею.

Мог бы я продолжить и получить доступ в систему? Смог бы я сам изменять записи и добавлять свои? Вполне возможно, но я решил этого не делать. Да и сессию надо закрывать, без диплома-то никак…


Развернуть

хабрахабр информационная безопасность 

На хабре выложили статью о программе, контролирующей доступ к резиденции президента. Вы хотите сплавать к путину в гости?

http://habrahabr.ru/post/273249/
хабрахабр,информационная безопасность
Развернуть

осциллограф как нарисовать хабрахабр песочница 

Как нарисовать осциллограф 1. Рисуем кубик 2. Дорисовываем детальки,осциллограф,как нарисовать,хабрахабр,песочница
сама статья здесь - http://habrahabr.ru/company/mailru/blog/247983/
Развернуть

Роскомнадзор FakeFactFelis habrahabr троллинг 

Замглавы Роскомнадзора избежал исполнения закона о блогерах?

^0 Twitter / ?
^ С I Q Twitter, Inc. [US] I https://twitter.com/mksenzov
=
Home
Sorry, that page doesn’t exist!
You can search TWitter using the search box below or return to the homepage
mksenzov
Search
Dansk Deutsch English EngiishUK Español Suomi Filipino français Bahasa Indonesia

Согласно российскому закодательству, владелец блога с более, чем 3000 подписчиками, должен зарегистрироваться в Роскомнадзоре и соблюдать ряд ограничений, к примеру, не материться.

Алексей Венедиктов предложил добить до нужного числа счётчик подписчиков твитера Максима Ксензова, заместителя главы РКН.

В последние дни аккаунт @mksenzov действительно начал быстро набирать фолловеров. Но исполнения законных обязанностей не случилось — аккаунт был удалён.

Каких-либо комментариев на странице Ксензова или в аккаунтах Роскомнадзора пока не было. В профиле «ВКонтакте» замглавы РКН всё ещё указан нерабочий Twitter-аккаунт @mksenzov.

Развернуть
В этом разделе мы собираем самые смешные приколы (комиксы и картинки) по теме habrahabr (+71 картинка, рейтинг 606.9 - habrahabr)