Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Критическая уязвимость в системе управления web-контентом Dr..., opennews (??), 16-Окт-14, (0) [смотреть все] Я ни разу не удивлён Но думал, что Джумлу вряд ли переплюнут , Аноним (-), 00:20 , 16-Окт-14, (1) +5 // Есть сервер с голой джумлой Взламываешь 100 баксов твои Надо больше говори, н, Джон (?), 04:54 , 16-Окт-14, (12) +1 // Ну это смотря насколько больше Если вы 31337 баксов как гугля предложите - у, Аноним (-), 05:56 , 16-Окт-14, (13) +1 Если вас еще не взломали - это не значит, что ваша система неуязвима Возможно в, XakRu (ok), 10:46 , 16-Окт-14, (23) +3 А теперь объясняю, как выглядит в жизни Некую CMS засунули на хостинг, активно з, Michael Shigorin (ok), 12:20 , 16-Окт-14, (25) +12 // Прям за меня сказал , Аноним (-), 13:06 , 16-Окт-14, (26) +1 А имеется ли разница между 100 потенциальными уязвимостями Жумлы или одной найд, Vov (?), 14:50 , 16-Окт-14, (29) Разница в том, что 50 из тех 100 могут быть известны только тем, кто ими пользуе, Сергей (??), 15:03 , 16-Окт-14, (32) +2 Если она одна и закрыта, потенциальные злоумышленники переключатся на ПО, в кото, YetAnotherOnanym (ok), 15:25 , 16-Окт-14, (34) +1 Видите ли, практика показывает, что на условную сотню найденных уязвимостей жумл, Michael Shigorin (ok), 14:23 , 17-Окт-14, (44) тут от мозга админа больше зависит, чем от скриптов как рассчитал безопасность с, yutoks (?), 11:05 , 17-Окт-14, (43) вот, значит, как теперь называется склеивание строчек в sql запрос на коленке в , all_glory_to_the_hypnotoad (ok), 00:23 , 16-Окт-14, (2) +2 // Давно пора запретить передачу SQL от клиента middleware к серверу СУБД и реа, Нимо Ан (?), 00:48 , 16-Окт-14, (8) –1 // чур тебя, vitalif (ok), 01:56 , 16-Окт-14, (10) +3 fixed Bobby Tables meets John The Scripter , Аноним (-), 05:57 , 16-Окт-14, (14) +3 Мдя, как всё тяжко то у людей , Аноним (16), 09:35 , 16-Окт-14, (16) +2 // Так ты марсианин , Обычный аноним (?), 09:53 , 16-Окт-14, (20) +1 А ты комменты читаешь по одному, не обращая внимания на иерархию , Аноним (16), 10:02 , 16-Окт-14, (22) Промах Руки трясутся , Обычный аноним (?), 14:03 , 16-Окт-14, (28) сколько еще таких сюрпризов на просторах любителей экономить на prepare-парам, manster (ok), 00:27 , 16-Окт-14, (4) // Вообще-то эта уязвимость как раз в коде обработки prepare-параметров - Drupal , uldus (ok), 00:35 , 16-Окт-14, (5) // gt оверквотинг удален Возможно, это предположение только Надо смотреть код С, manster (ok), 01:16 , 16-Окт-14, (9) +1 // Да у них просто видимо этот prepare эмулируется их же кодом , vitalif (ok), 01:58 , 16-Окт-14, (11) +3 Там у них для облегчения есть функция expandArguments которая перед pdo-ным pr, Аноним (16), 09:50 , 16-Окт-14, (18) gt оверквотинг удален А то что при prepare запроса, prepared запрос на серве, Аноним (16), 09:39 , 16-Окт-14, (17) prepared statements так не работает, это что-то похожее по api на него Как уже , Аноним (-), 11:03 , 16-Окт-14, (24) Можно еще сказать, что данная ошибка есть следствие дизайна PHP, в котором нет р, angra (ok), 17:20 , 16-Окт-14, (36) // Да есть такое Типизированные массивы и списки тогда уж Само по себе числовые и, manster (ok), 18:16 , 16-Окт-14, (38) ни что ни у чего тут не частный случай это не универсальность, а головная боль о, all_glory_to_the_hypnotoad (ok), 20:13 , 16-Окт-14, (40) +1 Вы бы в патч посмотрелиили хотя бы новость внимательно прочли, чтобы понять в че, demimurych (ok), 00:38 , 16-Окт-14, (6) // http www opennet ru openforum vsluhforumID3 99431 html 18, Аноним (16), 09:51 , 16-Окт-14, (19) Интересно whitehouse gov и london gov uk уже пропатчили Они когда-то громко кри, Аноним (-), 00:42 , 16-Окт-14, (7) Загуглите prepared statement in - удивитесь количеству одинаковых вопросов на , йцу (?), 08:52 , 16-Окт-14, (15) // Оно не нужно, не дело СУБД разгребать коллекции, и реализация такого алгоритма д, Аноним (16), 09:56 , 16-Окт-14, (21) –3   // Ну алгоритм-то зачастую один и тот же - взять список чисел строк и впихнуть в IN, йцу (?), 13:45 , 16-Окт-14, (27)   // вы же сами ответили - разный уровень Если вы пришете в запросе in param , то, Аноним (16), 15:01 , 16-Окт-14, (31)   хм почему то думал что in param это из mysql -кого синтаксиса, по сути в др, Аноним (16), 15:05 , 16-Окт-14, (33)   PERL DBI, Zontus (?), 14:51 , 16-Окт-14, (30) –1 // Perl-Pg и нормальная логика SQL с хранимыми процедурами, триггерами и т д Неуби, Прохожий (??), 17:40 , 16-Окт-14, (37) +1 Вот дурачье На кой вообще было изобретать 7-ю версию, которое ничего общего не , chuk (ok), 20:00 , 17-Окт-14, (45) 1,2,4,7,15,45

Сообщения

[Сортировка по времени | RSS]

	21. "Критическая уязвимость в системе управления web-контентом Dr..."	–3 +/–
	Сообщение от Аноним (16), 16-Окт-14, 09:56
	> Загуглите "prepared statement in" - удивитесь количеству одинаковых вопросов на stackoverflow > (речь не только о PHP). Есть вообще БД API, которое поддерживает > из коробки биндинг коллекций к одному плейсхолдеру? А ведь достаточно часто > возникающий кейс. Оно не нужно, не дело СУБД разгребать коллекции, и реализация такого алгоритма должна зависеть от ситуации а не "сейчас мы регулярками преобразуем строку запроса..." p.s. старое утверждение про невозможность выполнения всех 3-х критериев разработки работает :)
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Критическая уязвимость в системе управления web-контентом Dr..."	+/–
	Сообщение от йцу (?), 16-Окт-14, 13:45
	Ну алгоритм-то зачастую один и тот же - взять список чисел/строк и впихнуть в IN выражение. Не дело СУБД - ok, но почему в тех же PDO, JDBC и т.п. API не добавить соответствующий метод? В DQL (doctrine) и HQL (hybernate) к примеру такая возможность есть (я понимаю, что это несколько более высокоуровневые штуки, но не вижу причину чтобы не реализовать это уровнем ниже - ну ведь нужная же вещь).
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Критическая уязвимость в системе управления web-контентом Dr..."	+/–
	Сообщение от Аноним (16), 16-Окт-14, 15:01
	> Ну алгоритм-то зачастую один и тот же - взять список чисел/строк и > впихнуть в IN выражение. > Не дело СУБД - ok, но почему в тех же PDO, JDBC > и т.п. API не добавить соответствующий метод? В DQL (doctrine) и > HQL (hybernate) к примеру такая возможность есть (я понимаю, что это > несколько более высокоуровневые штуки, но не вижу причину чтобы не реализовать > это уровнем ниже - ну ведь нужная же вещь). вы же сами ответили - разный уровень. Если вы пришете в запросе in ( :param ), то :param - это то что выдерается при подготовке запроса ( построении плана и т.д. ), по уму в том же drupal должно бы быть 2 варианта in ( :param ) и in ( #суперидентификатонедопустимыйдляsqlзапроса#paramscollection ) тут же в унификации можно зайти очень далеко, в некоторых системах применяют что то вроде "Select &fields from &table &whereparam", но в этом случае все понимают что нельзя просто так что угодно в параметры передавать, такой usecase вы тоже предлагаете в jdbc/pdo встроить?
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Критическая уязвимость в системе управления web-контентом Dr..."	+/–
	Сообщение от Аноним (16), 16-Окт-14, 15:05
	>по уму в том же drupal должно бы быть > 2 варианта > In ( :param ) > и > in ( #суперидентификатонедопустимыйдляsqlзапроса#paramscollection ) хм почему то думал что in ( :param ) это из mysql -кого синтаксиса, по сути в друпале и есть второй вариант, просто с ошибкой в реализации.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема