Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимости в PHP и PHPMailer, opennews (ok), 08-Дек-18, (0) [смотреть все] Бывают приятные уязвимости , Blind Vic (ok), 11:09 , 08-Дек-18, (1) +1 // В айфонах которые , commiethebeastie (ok), 11:31 , 08-Дек-18, (5) +16 то-то я удивлялся, чего это php_imap после установки не включается автоматически, пох (?), 11:11 , 08-Дек-18, (2) // зато можно сделать бложик с комментиками , annual slayer (?), 11:28 , 08-Дек-18, (3) +1 Ну согласись, передавать юзеринпут в параметры модуля имап да и в любые другие , Онаним (?), 11:26 , 09-Дек-18, (49) +2 // воркер просто обломится об out of memory, и ничего интересного не произойдет есл, пох (?), 13:15 , 09-Дек-18, (55) // 1 Зависит от контекста Окей, подбираем значения под размер памяти, и дальше уж, Онаним (?), 13:36 , 09-Дек-18, (61) +2 ну хз - вот были генераторы во времена дисплеев 800x600 - генерили превьюшки с п, пох (?), 16:59 , 09-Дек-18, (65) Суть в том, что пых, как и сишечка, кодера от выстрела себе в ногу не защищает н, Онаним (?), 13:39 , 09-Дек-18, (62) +3 Пора на WT , Аноним (4), 11:29 , 08-Дек-18, (4) Дыра с phar так и осталась нерешенной Suhosin вам не поможет, только смена язык, Аноним (7), 12:29 , 08-Дек-18, (7) +1 // фффпринципе, полагаю, там хватит однострочного патча в легко находимом месте код, пох (?), 12:50 , 08-Дек-18, (12) Нахрен он его вообще распаковывает Чтобы проверить файлы унутре file_exists , Аноним (32), 19:28 , 08-Дек-18, (32) // да во всяком случае семантика такая А что это нахрен никому не надо - авторов н, пох (?), 12:52 , 09-Дек-18, (51) Вы передаёте поданное пользователем имя файла phar в файловые операции, Онаним (?), 11:22 , 09-Дек-18, (47) –1 // да, передаем, потому что этот файл создан пользователем и имеет придуманное этим, пох (?), 13:01 , 09-Дек-18, (52) // Не надо хранить в базе то, что надо хранить в ФС Но вот 100 валидации пользова, Онаним (?), 13:18 , 09-Дек-18, (56) anon 1025 mkdir phar anon 1026 touch phar test jpganon 1027 ls -la, пох (?), 18:15 , 09-Дек-18, (70) В данном случае невалиден мозг, разрешивший передавать аж целые каталоги в юзери, Онаним (?), 18:43 , 09-Дек-18, (71) понятно все с вашими мозгами, гражданин пхп-обезьян юзер не должен передавать ка, пох (?), 18:46 , 09-Дек-18, (74) +1 Это может понадобиться, когда ты используешь phar для доступа к собранным в о, Онаним (?), 13:21 , 09-Дек-18, (57) и зачем оно вдруг имеет расширение jpg Отдельный вопрос - зачем вы используете, пох (?), 17:04 , 09-Дек-18, (66) Будем проверять все конкретные расширения Сегодня жпг, завтра гиф, послезавтра , Онаним (?), 18:44 , 09-Дек-18, (72) да Очевидно, что если файл имеет расширение jpeg, а внутри postscript - это ху, пох (?), 18:49 , 09-Дек-18, (76) а, кстати, почему нет, может он бэкап своего контейнера выложил Разумеется, ниж, пох (?), 19:31 , 09-Дек-18, (84) В имени файла, переданном пользователем типовому публичному web-приложению, вооб, Онаним (?), 09:27 , 11-Дек-18, (98) И вот тут ты очень правильно попал в этом случае выбранное валидируется согласн, Онаним (?), 18:46 , 09-Дек-18, (73) функцией file_exists, да менюшечка была в форме, сейчас нам POST пришел - с па, пох (?), 18:54 , 09-Дек-18, (78) Менюшечка из libastral so Если нет, то описатель этой менюшечки есть сервер-сай, Онаним (?), 20:15 , 09-Дек-18, (88) ну ок, храни ее вечно - пока пользователь то ли нажмет submit, то ли передумает,, пох (?), 23:00 , 09-Дек-18, (91) Да, правда PHP - очень удачная обёртка в виде небольшого рантайма с динамическо, Онаним (?), 09:09 , 10-Дек-18, (92) +1 Это - не уязвимость Это - бекдор , Аноним (8), 12:35 , 08-Дек-18, (8) // Извиняюсь, невнимательно прочитал Это не уязвимость и не бэкдор Это странный д, Аноним (8), 12:47 , 08-Дек-18, (11) // Функция может проверить содержится до файл в архиве или на фтп, что удобноНесомн, Аноним (41), 04:43 , 09-Дек-18, (41) Там ведь можно еще заюзать udp tcp stream и tls верно , Аноним (7), 13:08 , 08-Дек-18, (14) Это не бэкдор, это очень удобный механизм К сожалению, в кривых руках, привыкши, Онаним (?), 11:23 , 09-Дек-18, (48) –1 // Ага я сам язык ниучём неуноват , Аноним (86), 20:08 , 09-Дек-18, (86) // А никто вам защиту от выстрела в ногу не гарантировал , Онаним (?), 20:15 , 09-Дек-18, (87) Слово гарантировал в разработке ПО не используется Поэтому аргумент не засчит, Аноним (86), 22:15 , 09-Дек-18, (89) Интересно было бы узнать, где и с чем работают все эти немногочисленные хейтеры , Аноним (15), 14:05 , 08-Дек-18, (15) –3 // ErlangVM, Rust, Python3, Golang, NodeJS, Ruby , Аноним (7), 14:14 , 08-Дек-18, (16) // И шо, уже есть нормальные известные проекты на этом , Vitaliy Blats (?), 14:34 , 08-Дек-18, (17) // Есть Только никто не признаётся, на чём его проект, а то мамкины хацкеры, если , Аноним (20), 16:05 , 08-Дек-18, (20) –1 скачают типовой эксплойт для поделок на ror, node и что там у вас еще за хлам, а, пох (?), 16:17 , 08-Дек-18, (22) +1 ROP Gadget в твою вордпреску, скомпилят как модуль ядра и подгрузят , Аноним (24), 16:48 , 08-Дек-18, (24) Это все варианты, которые вам известны , Аноним (31), 18:58 , 08-Дек-18, (31) не, это что я сходу у себя в логе нашел, помимо coldfusion а и миллиона чего э, пох (?), 21:49 , 08-Дек-18, (34) поищи че нить такое 24 7B 28 23_memberAccess 5B 22allowStaticMethodAccess 22 , Sw00p aka Jerom (?), 01:10 , 09-Дек-18, (39) а, точно, cpyt-c же ж Не, такие продвинутые ко мне редко ходют, им проще подава, пох (?), 09:28 , 09-Дек-18, (43) Значит нету Что в принципе и требовалось доказать Почти все фронтенды пишутся н, Vitaliy Blats (?), 16:39 , 08-Дек-18, (23) Угу Чтоб он РАБОТАЛ так, как нужно заказчику не только на момент приёмки от , Аноним (31), 18:51 , 08-Дек-18, (29) через год этот заказчик уже банкрот и сдает квартиру, благо ипотеку выплатил в ж, пох (?), 21:54 , 08-Дек-18, (36) Так не бывает Поддерживать и исправлять уязвимости нужно постоянно и на любом я, Аноним (41), 08:26 , 09-Дек-18, (42) Дык отож Только одно дело раз в день по диагонали просматривать письма от log an, Аноним (64), 14:13 , 09-Дек-18, (64) более дешевле , да ПыХаПэ-культура в двух словах, ага Портрет явления, тскз, User (??), 22:51 , 08-Дек-18, (37) +2 фронтенды на пхп не пишут , Sw00p aka Jerom (?), 19:46 , 09-Дек-18, (85) +1 Если вы ничего не слышали о CloudFlare, GitHub, dl google и Netflix, то у меня д, Аноним84701 (ok), 17:47 , 08-Дек-18, (27) +1 окей, любитель приятных новостей - ни в какой из этих я работать не хочу, они ту, пох (?), 09:38 , 09-Дек-18, (44) Держите нас в курсе Нам ведь почти интересно Заметим, что тут еще и ловкая по, Аноним84701 (ok), 13:28 , 09-Дек-18, (59) ну ок, так и запишем - в основном - нигде, основная ниша - внутренняя кухня аж , пох (?), 17:07 , 09-Дек-18, (67) github com , НяшМяш (ok), 02:45 , 09-Дек-18, (40) Иными словами - в основном, нигде , Аноним (19), 16:00 , 08-Дек-18, (19) // Пыхапистам виднее, ведь эти мамкины разработчики уже всему научены , Аноним (24), 16:50 , 08-Дек-18, (25) Если язык для своего понимания, требует какие-то особые скиллы и особую уличную , Vitaliy Blats (?), 16:56 , 08-Дек-18, (26) –2 Если разработчик не имеет хотя бы минимальной подготовки и набора скиллов, он УЖ, Аноним (31), 18:53 , 08-Дек-18, (30) +1 Осторожнее, эта братия при сильном негодовании не только бананами закидать может, Анонн (?), 19:31 , 08-Дек-18, (33) как это не нужен А кто мне будет за пиццот рублев чинить сдохший битрикс Мне ч, пох (?), 21:52 , 08-Дек-18, (35) ып ып ып ыбуэээ , Аноним (64), 13:45 , 09-Дек-18, (63) буэ свое можешь откладывать сколько влезет, только не на мой столик - мне чтоб з, пох (?), 18:57 , 09-Дек-18, (80) Это все, что ты смог нагуглить о языках , vedronim (?), 23:06 , 08-Дек-18, (38) // Erlang Ruby - Elixir CrystalNimElmDlangHaskellScalaKotlinSwiftPonylang, Аноним (7), 12:15 , 09-Дек-18, (50) Определение слова хейтер и статистику по многочисленности - в студию А то есть, Аноним (86), 22:18 , 09-Дек-18, (90) Уязвимость выглядит как дерьмо, и реально дерьмо, но причина таковой - передача , Онаним (?), 11:09 , 09-Дек-18, (45) // проверку как производить будем - высунем окошко и будем ждать модератора-человек, пох (?), 13:09 , 09-Дек-18, (53)   // В данном конкретном случае - регэкспом Валидный формат доменного имени вполне с, Онаним (?), 13:23 , 09-Дек-18, (58) +1   // ну и зачем, зачем тогда вы накрутили в imap_open какие-то другие операции с этим, пох (?), 17:16 , 09-Дек-18, (69)   А затем, что у imap_open овердохера применений И накрутили не совсем в пхп, а в, Онаним (?), 18:48 , 09-Дек-18, (75)   честно говоря, применение в виде imap over rsh мне представляется требующим при , пох (?), 19:03 , 09-Дек-18, (81)   Что же до пыхмейлера - 250 кб кода, чтобы банально сформировать и отправить MIM, Онаним (?), 11:17 , 09-Дек-18, (46) –1 // где посмотреть на твои 25 строк кода, делающих то же самое exec metamail не ка, пох (?), 13:10 , 09-Дек-18, (54) +1 // Широкой публике - нигде Чекнул у себя Email php - 344 строки кода, 13 5 кб Уме, Онаним (?), 13:30 , 09-Дек-18, (60) –1 // ну молодец, возьми с полки пирожок Судя по отсутствию у тебя желания публиковат, пох (?), 17:12 , 09-Дек-18, (68) +1 Насчёт скорее всего по DKIM и POP - нет, в пхпмейлере там всё ногами, то есть , Онаним (?), 18:52 , 09-Дек-18, (77) –1 так его писали десять лет назад, если не больше - там еще много чего руками, что, пох (?), 19:07 , 09-Дек-18, (82) Ну и да, никаких нюансов , влияющих на функционирование, там нет Просто с пове, Онаним (?), 18:57 , 09-Дек-18, (79) –2 ну фиг знает - если код хороший - есть смысл его выложить, один использовавший в, пох (?), 19:09 , 09-Дек-18, (83) да трендишь 100 , наверняка там вагон и телега багов будет с юникодом каким-нибу, Gemorroj (ok), 12:57 , 10-Дек-18, (94) imap_open не имеет прямого отношения к отправке почты, которой занимается PHPMai, ваш КО (?), 14:55 , 10-Дек-18, (95) –1 Всё куда проще, я _GET в вызовы не передаю, предварительно не обработав во все , Аноним (97), 15:33 , 10-Дек-18, (97) –1 новость об уязвимостях написали, а об релизе пхп 7 3 нет совпадение не думаю , Gemorroj (ok), 12:51 , 10-Дек-18, (93) –1 // Вы рандомом что-ли новости для чтения выбирайте Новость про PHP 7 3 была за ден, Аноним (99), 12:26 , 11-Дек-18, (99) 1,2,4,7,8,15,45,46,93

Сообщения

[Сортировка по времени | RSS]

	53. "Уязвимости в PHP и PHPMailer"	+/–
	Сообщение от пох (?), 09-Дек-18, 13:09
	> Кодер, помни: если ты забираешь что угодно ($server) с юзеринпута и фигачишь в вызовы > библиотек (imap_open) без проверки на соответствие формата и валидность проверку как производить будем - высунем окошко и будем ждать модератора-человека, чтоб одобрил? Иначе где гарантия, что код, используемый при этих проверках, сам не попытается выполнить передаваемые аргументы, как вот с file_exists (это ведь тоже была проверка на валидность, казалось бы, вполне нормальная - если бы функция не имела ложного названия)? Может все же где-то в консерватории поправить, а? Например, в $server принимать только и исключительно - server, а любые дополнительные параметры протокола передавать дополнительными аргументами? Не, не модно, не молодежно, мы любим прекрасные псевдо-uri ?
	Ответить | Правка | Наверх | Cообщить модератору

	58. "Уязвимости в PHP и PHPMailer"	+1 +/–
	Сообщение от Онаним (?), 09-Дек-18, 13:23
	> проверку как производить будем В данном конкретном случае - регэкспом. Валидный формат доменного имени вполне себе описан. Никаких посторонних символов типа / в переданном пользователем $server для imap_open быть не должно. Попали опять не желающие проверять пользовательский ввод, впрочем, они попадают на любых языках, в любых ОС и всегда.
	Ответить | Правка | Наверх | Cообщить модератору

	69. "Уязвимости в PHP и PHPMailer"	+/–
	Сообщение от пох (?), 09-Дек-18, 17:16
	ну и зачем, зачем тогда вы накрутили в imap_open какие-то другие операции с этим $server без явного указания ? Кому оно надо, если от юзера мы такое не принимаем, спрашивается? очередной ненужный и опасный оверинжиниринг, прикрываем регекспами, как всегда. валидный формат доменного имени в эпоху юникодного мусора в dns - нечто уму непостижимое, если что. Я хз как его на валидность проверять (разьве что развернув сперва в punicode)
	Ответить | Правка | Наверх | Cообщить модератору

	75. "Уязвимости в PHP и PHPMailer"	+/–
	Сообщение от Онаним (?), 09-Дек-18, 18:48
	А затем, что у imap_open овердохера применений. И накрутили не совсем в пхп, а в либц-клиенте. Ещё раз: не "прикрываем регекспами", а именно валидируем. Если может быть только хостнейм - валидируем регэкспом на соответствие. Если может быть только полтора сервера из менюшечки - проверяем присутствие. Передавать голый юзеринпут сторонней библиотеке без валидации опасно в любом языке и любом контексте.
	Ответить | Правка | Наверх | Cообщить модератору

	81. "Уязвимости в PHP и PHPMailer"	+/–
	Сообщение от пох (?), 09-Дек-18, 19:03
	> А затем, что у imap_open овердохера применений. честно говоря, применение в виде imap over rsh мне представляется требующим при сборке -DIWANNATHISSHITFULLMOUTH и еще пятнадцати рандомных чисел в правильной последовательности. применение в виде imap over rsh replaced by ssh - ну, может быть, какому-то ретрограду (считающему еще и ssh достаточно безопасным и надежным способом доступа к удаленному серверу без всякого основания) и надо, но скорее всего он mutt через вручную сконфигуренный туннель запустит, а ЭТО вообще ни один нормальный человек не использует. очередной типовой оверинжиниринг - ну ок, на сей раз не в php, видимо. > Если может быть только хостнейм а вдруг не только? Овердохераж  применений, вон, разработчики старались, сколько неведомой фигни туда затолкали, может и эта кому-то нужна (смешно если так сфейлится код, реально валидирующий инпут, но автор счел rsh допустимым инпутом - "вдруг кому-то очень-очень понадобится")
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема