| |
| 2.5, Имярек (?), 10:22, 31/07/2013 [^] [^^] [^^^] [ответить]
| +45 +/– |
Потому что большинство сайтов работают на пхп. А когда читаешь про вирусы в большинстве случаев это венда.
| | |
| |
| 3.8, asd (??), 10:30, 31/07/2013 [^] [^^] [^^^] [ответить]
| –5 +/– |
Тогда почему огромное, подавляющее количество серверов на линуксе не завирусовано?
Почему они не кишат вирусами???
Ваша точка зрения ошибочна.
| | |
| |
| 4.10, Аноним (-), 10:36, 31/07/2013 [^] [^^] [^^^] [ответить]
| –25 +/– |
Может хватит рассуждать о своих "вирусах"? Посмотрите на Ubuntu, ну чем не вредоносная, напичканная всяким шпионским ПО? Ну или Android от Google.
| | |
| |
| |
| |
| Часть нити удалена модератором |
| 7.43, Аноним (-), 13:15, 31/07/2013 [ответить]
| +/– |
Что-то я не припоминаю в TOS яху, гугла и прочих строчки что они предоставляют доступ для АНБ.
| | |
| |
| 8.72, Аноним (-), 18:59, 31/07/2013 [^] [^^] [^^^] [ответить] | +/– | Ну и люди Им не нравится АНБ, когда рядом есть вещи и похуже, о которых даже не... текст свёрнут, показать | | |
|
|
|
|
| 4.12, Наивный чукотский юноша (?), 10:38, 31/07/2013 [^] [^^] [^^^] [ответить]
| +7 +/– |
Небольшая часть таки затроянена. А не завирусована по той простой причине, что взлом какого-либо сервера (пусть даже с неплохими мощностями и широким каналом) - занятие достаточно трудоёмкое. Писать трояны под пользовательские win-машины гораздо проще, и охват будет шире.
| | |
| |
| 5.15, Аноним (-), 10:47, 31/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Ты очень верно подметил - затроянена. Ибо троян - не вирус. Он сам не ставится. Его нужно самому поставить в систему - неважно как: по глупости, с апдетами etc.
| | |
| 5.39, asd (??), 12:50, 31/07/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ой ли шире? Да кому нужны, кроме ботнетчиков, обычные домашние машины - сервер с кучей всего и базами и пользователями куда вкуснее...
| | |
| |
| 6.46, NikolayV81 (?), 13:33, 31/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > Ой ли шире? Да кому нужны, кроме ботнетчиков, обычные домашние машины -
> сервер с кучей всего и базами и пользователями куда вкуснее...
так там что ломать то? есть 4 приложения которые в принципе наружу смотреть могут, плюс кусок отвечающий за сеть в ядре и дровах сетевых, они вылизаны по сравнению с настольным ПО практически идеально найти в них дыру весьма проблематично, да и то после этого оказывается что они работают по обрезанным пользователем.
| | |
| 6.83, Pahanivo (ok), 07:32, 01/08/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > Ой ли шире? Да кому нужны, кроме ботнетчиков, обычные домашние машины -
> сервер с кучей всего и базами и пользователями куда вкуснее...
1) где больше вероятность обнаружения? у админамов, которые следят за серваком? или на компе чайника?
2) взлом конкретных сервов (если речь не о массовой дыре) вещь трудоемкая, требующая наличие интеллехта, и васче мазгоф в целом. рассаживание троянов на хомяков - это как два байта написать. особенно думаю прильщает наличие миллионов тупых бухгалтеров с открытыми интернет банками на компе.
3) да и штучные серваки скорее интереснее как самоцель, а не как ресурс для организации ддддддоооооооссссс.
| | |
| 6.87, Аноним (-), 10:25, 01/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
Поэтому их и ломают, как и написано в этой нвости. А если бы не делали "дефейс", хо может еще год никто бы и не заметил. Сколько таких серверов взломано и никто и не знает.
Но вирусов нет да... Просто они неэффективны под данную задачу.
| | |
|
|
| 4.58, _yurkis__ (?), 15:44, 31/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
>Тогда почему огромное, подавляющее количество серверов на линуксе не завирусовано?
>Почему они не кишат вирусами???
На серверах вирусы не эфективны. Зато root получают частенько. Кстате, каждый локальный root может эксплуатироваться вирусами тоже.
| | |
| 4.74, Celcion (ok), 19:29, 31/07/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > Тогда почему огромное, подавляющее количество серверов на линуксе не завирусовано?
Так толсто, что аж в двери не пролазит.
Кишат ли вирусами подавляющее большинство СЕРВЕРОВ на Windows? А Solaris? Или AIX?
Наверное, стоит не забывать, что вирусы (в их современном понимании) - это, все же, удел десктопов и телефонов на Android. На серверах они появляются исключительно при прицельном огне, или клинической жопорукости админов.
| | |
| |
| 5.92, ACCA (ok), 22:59, 02/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Виндовые сервера с вирусами? Легко. Сначала заводится админ - идиот с мышкой. Дальше продолжать?
| | |
|
|
|
| 2.20, Аноним (-), 10:54, 31/07/2013 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Почему когда я читаю про взломы, большинство случаев это PHP?
И прикинь, все серверы подключены к электропитанию!!! Не тут ли причина? Ведь если из розетки выдернуть, то заражения и взлома не будет!!!
| | |
| 2.34, Аноним (-), 12:04, 31/07/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Почему когда я читаю про взломы, большинство случаев это PHP?
Почему когда я читаю подобный комментарий, автор этого комментария либо ненавидит php, либо непосредственно/косвенно пытается очернить php; или просто троллить. Не разобравшись с проблемами в своей голове.
| | |
| |
| 3.40, freehck (ok), 12:50, 31/07/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Плевать я хотел на php, и тратить время на его очернение тоже.
Поверьте, ни что так не позорит php, как использующие его веб-программисты.
Php сам по себе - неплохой язык. Но я так и не смог объяснить вебнику, как реализовать авторизацию через базу данных, хотя про куки, сессии и встроенные в php для этого средства все уши ему прожужжал.
Но нет - он худо-бедно по примерам с ютуба научился сохранять сессии в файл, и с чувством выполненного долга сказал мне, что с заданием справился...
| | |
| |
| 4.42, Boboms (ok), 13:00, 31/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > Поверьте, ни что так не позорит php, как использующие его веб-программисты.
Сударь, что-то странное у вас с восприятием...
Язык (PHP, Piston, C, 1C) нельзя опозорить в принципе. Так как это понятие абстрактное, а не вещественное. Но также нельзя опозорить и животное, котёнка или слоника, например. Не будет и пёс-бульдожка "краснеть от стыда".
Да и с людьми не всё так просто... Индивиды с сильным характером тоже "опозоренными" не бывают. Как-то так...
| | |
| |
| 5.44, Аноним (-), 13:20, 31/07/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
PHP - можно. Только в позорном языке может быть выполнение внешнего кода (include "http://...) и тому подобные конструкции.
| | |
| |
| 6.73, pro100master (ok), 19:02, 31/07/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
 внешний транспорт отключен по-умолчанию и включить его можно только принудительно. В Сях можно было выполнить любой код в любой куче, но никому даже в голову не приходило это ставить ему в вину. И только (подозреваю - у несложившихся) появляются какие-то надуманные претензии к пыху и, что сука, презабавно, в теме по уводу куки через джаваскрипт :)))
| | |
| |
| 7.85, freehck (ok), 08:28, 01/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
> В Сях
> можно было выполнить любой код в любой куче, но никому даже
> в голову не приходило это ставить ему в вину.
Почему же. Очень даже приходит. Уже буквально искричались о том, как в очередной нарвались на переполнения буфера, и нашли эксплуатирующий данную дырку эксплоит.
> И только
> (подозреваю - у несложившихся) появляются какие-то надуманные претензии к пыху и,
> что сука, презабавно, в теме по уводу куки через джаваскрипт :)))
Не к пыху, а к программистам. Особое внимание обращаю на пост #78 - я бы лучше не сказал.
| | |
|
|
| 5.47, NikolayV81 (?), 13:39, 31/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> Поверьте, ни что так не позорит php, как использующие его веб-программисты.
> Сударь, что-то странное у вас с восприятием...
> ...Но также нельзя опозорить и животное,
> котёнка или слоника, например. Не будет и пёс-бульдожка "краснеть от стыда".
Эх а вот многие любители выгуливать любимцев во дворе с вами не согласятся ;)
| | |
| 5.48, бедный буратино (ok), 13:53, 31/07/2013 [^] [^^] [^^^] [ответить]
| –3 +/– |
 > Язык (PHP, Piston, C, 1C) нельзя опозорить в принципе. Так как это понятие абстрактное, а не вещественное.
Можно. Если можно внести уязвимость одним росчерком пера, и таких мест десятки, и за всеми уследить нереально - это небезопасный и дырявый язык (в случае, если это эталонная реализация). В прошлой теме были ссылки, которые это утверждение доказывают сполна (про проверку хэша).
| | |
| 5.86, freehck (ok), 08:35, 01/08/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Язык (PHP, Piston, C, 1C) нельзя опозорить в принципе.
Тем не менее, позиция "я не буду использовать этот язык, потому что его сообщество ведет себя крайне неадекватно", вполне оправдана.
| | |
|
| 4.76, 1 (??), 23:11, 31/07/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> не смог объяснить вебнику
Прочитал как "не смог объяснить ребенку". Если это тест, то заявляю, что я несколько нетрезв.
| | |
|
|
| 2.41, freehck (ok), 12:52, 31/07/2013 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Почему когда я читаю про взломы, большинство случаев это PHP?
Потому что веб-программисты - в основном безграмотные новички, которые в основном начинают с php. (ох и заминусуют же меня за этот пост)
| | |
| |
| 3.56, Аноним (-), 15:23, 31/07/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> в основном начинают с php
И какой-же язык лучше, какой превосходит пхп по всем показателям? Вы все - индивиды на одно лицо. И ваш лозунг ныть "какой пхп плохой, какой он то, это".. Клоуны.
| | |
| |
| 4.64, arisu (ok), 16:58, 31/07/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > И какой-же язык лучше, какой превосходит пхп по всем показателям?
по критерию «количество идиотов, пользующихся данным языком» php превзойти вряд ли получится, да.
| | |
| |
| 5.80, pro100master (ok), 00:43, 01/08/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
так же, как и по критерию "количество идиотов, критикующих данный ЯП". Баланс природы, ага :)
| | |
|
|
|
| 2.53, Аноним (-), 15:10, 31/07/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Почему когда я читаю про взломы, большинство случаев это PHP?
Потому что на брейнфаке не пишут сайты. Поэтому взломов сайтов на брейнфаке не происходит. Сложно взломать то чего нет :)
| | |
| 2.62, Sabakwaka (ok), 16:17, 31/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
 >> Почему когда я читаю про взломы, большинство случаев это PHP?
А почему, когда я читаю про взломы, большинство случаев это «совершена 14 июля и обнаружена ТОЛЬКО 20 июля, ТОЛЬКО после того как злоумышленники выполнили дефейс сайта»?
Какая разница, на чем сайт?
Если админ — шимпанзе, то админ — шимпанзе независимо ни от чего.
>> Почему когда я читаю про взломы, большинство случаев это PHP?
Смотри глубже — большинство случаев это различного рода микропроцессорные системы, а не ножные швейные машинки!!!
| | |
| 2.70, vitalif (ok), 18:35, 31/07/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Потому что на PHP, кроме нормальных людей, пишет ещё и очень много дебилов.
Возможность загрузки КОДА из какого то ни было (админского или юзерского) веб-интерфейса - это же очевидно, что писец изначально.
| | |
| |
| 3.71, arisu (ok), 18:38, 31/07/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Возможность загрузки КОДА из какого то ни было (админского или юзерского) веб-интерфейса
> — это же очевидно, что писец изначально.
как сказать. опция «загрузить и установить плугин» — не такая уж глупая. а вот возможность грузить неподписаное фигзнаетчто фиг знает откуда — это уже ахтунг.
| | |
|
| 2.78, ffirefox (?), 23:16, 31/07/2013 [^] [^^] [^^^] [ответить]
| +2 +/– | |
PHP тут лишь проявление более тяжелой проблемы:
>Опубликовав анонс с вредоносной JavaScript-вставкой и отправив приватное сообщение администраторам с уведомлением об ошибке в форуме, злоумышленники поймали на крючок одного из администраторов
Сколько раз твердили миру: административные полномочия должны использоваться только для административных действий.
| | |
|
| 1.2, Andrew Kolchoogin (ok), 10:18, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
 А вот мне интересно, почему AAA-данные хранятся таким незащищённым образом, что можно их вытащить?
Что мешает AAA-сервер держать на отдельной машине, а движку форума отдавать только сообщения типа "пароль верен"/"пароль неверен".
| | |
| |
| 2.36, VoDA (ok), 12:23, 31/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > А вот мне интересно, почему AAA-данные хранятся таким незащищённым образом, что можно
> их вытащить?
> Что мешает AAA-сервер держать на отдельной машине, а движку форума отдавать только
> сообщения типа "пароль верен"/"пароль неверен".
На это и перешли - SSO ;)
| | |
| |
| |
| 4.81, pro100master (ok), 00:45, 01/08/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Думать не пробовал?
давайте подумаем вместе. Например, про куки с других доменов и как куки связаны с серверами и невозможностью их (в принципе) получить :)
До вас никак не доходит, что если есть XSS, то вас даже SSL не спасет :)
| | |
|
| 3.82, angra (ok), 03:56, 01/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Никак. Более того, от перехвата паролей это тоже бы не помогло. Единственная польза с этого - защита хешей паролей _неактивных_ пользователей. Как по мне, это того не стоит.
| | |
|
|
| 1.3, Анонив (?), 10:21, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
а вот если стояла бы joomla вместо vBulletin, то такой лажи бы не произошло.
| | |
| |
| 2.9, asd (??), 10:30, 31/07/2013 [^] [^^] [^^^] [ответить]
| +10 +/– |
> а вот если стояла бы joomla вместо vBulletin, то такой лажи бы
> не произошло.
Да, было бы ещё более эпично.
| | |
| |
| 3.25, NikolayV81 (?), 11:08, 31/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
Delphi то чем не угодила? Вот тут переходим на VS2012 под Win, неудобно, недостатки редактора кода, до Delphi ему ещё лет 20 в развитии ( если взять delphi 7 который был фиг знает когда ).
| | |
| |
| |
| 5.32, NikolayV81 (?), 11:55, 31/07/2013 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Время не тратьте. Переходите на Qt.
Вот что то нет у меня уверенности что оно хотя бы дотягивает до Delphi 7 по удобству редактора, до этой среды никак руки не доходят т.к. по работе не нужно, но из опробованных "других" систем ( netbeans/eclipse) как то нет аналогов...
p.s. Есть вещи которые появляются с годами в системах, т.к. есть куча мелочей до которых часто у разработчиков не доходят руки ( ибо они мелочи ) но в сумме эти мелочи составляют целое, а вот с цельными продуктами в современном мире есть проблемы.
| | |
| |
| 6.37, Crazy Alex (ok), 12:29, 31/07/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Для стандартных форм и CRUD - оно и не дотягивает. Вот когда хотелось странного - в дельфях/билдере плохо было, это да.
| | |
| 6.66, arisu (ok), 17:02, 31/07/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Вот что то нет у меня уверенности что оно хотя бы дотягивает
> до Delphi 7 по удобству редактора
редактора *чего*? если ты в дельфях занимаешься только формошлёпством, то зачем тогда вообще дельфя было брать? тот же гвидобейсик с биндингами к Qt и базам справится не хуже (если не лучше).
а если в софте таки есть какой-то код окромя формошлёпства, то layout manager в Qt лучше, designer есть. да, не откроет по даблклацу на кнопарике новосозданый обработчик; это настолько мелочь, что даже упоминать не стоит. а автопривязывание слотов по именам есть, это избавляет от кучи ручных connect'ов. заодно есть возможность использовать всякие разные библиотеки без судорожной трансляции хидеров (а для c++ библиотек это задача и вовсе нетривиальная).
| | |
| |
| 7.88, NikolayV81 (?), 11:12, 01/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
>> до Delphi 7 по удобству редактора
> редактора *чего*? если ты в дельфях занимаешься только формошлёпством, то зачем тогда
> вообще дельфя было брать? тот же гвидобейсик с биндингами к Qt
> и базам справится не хуже (если не лучше).
> а если в софте таки есть какой-то код окромя формошлёпства, то layout
> manager в Qt лучше, designer есть. да, не откроет по даблклацу
> на кнопарике новосозданый обработчик; это настолько мелочь, что даже упоминать не
> стоит. а автопривязывание слотов по именам есть, это избавляет от кучи
> ручных connect'ов. заодно есть возможность использовать всякие разные библиотеки без судорожной
> трансляции хидеров (а для c++ библиотек это задача и вовсе нетривиальная).
в начале было что про редактор кода, gui обычно мало времени отнимает, почти везде кроме notepad++. До редактора Qt не добрался, тоже писал, но в остальных не особо хорошо. ( часто нет банальных вещей, в VS2012 нет нормальных виртуальных пробелов с удалением в конце строк Eclipse тормозит регулярно ( VS аналогично, можно пару строк набрать пока у него подсветка ошибок исчезнет ), в netbans-е тоже не всё идеально было. Есть куча разных редакторов, но по удобству и отзывчивости и скорости далеко не все нормально рабртают :( а тут наезд на Delpi был вообще непонятно за что?
p.s. Нативную компиляцию для win не так много сред поддерживают нормально. Сравнивать Delphi ( и язык и модель приложения да и среды) с PHP это вообще не понимать что такое Delphi...
| | |
|
|
|
|
|
| 2.54, Аноним (-), 15:12, 31/07/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> а вот если стояла бы joomla вместо vBulletin,
Казалось бы как CMSина заменяет форум? Тогда уж phpbb3. Он, кстати, достаточно секурный, прецедентов взлома самого phpbb3 я так ни разу и не видел. Всякие сторонние плагины и прочая как максимум.
| | |
| 2.61, Сергей (??), 16:16, 31/07/2013 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> а вот если стояла бы joomla вместо vBulletin
Это был бы уже косяк сам по себе. И повод сразу получить в лицо тухлым помидором.
| | |
|
| 1.6, ИМХО (?), 10:24, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– | |
> Также не удалось выяснить способ, используемый для получения доступа к аккаунту модератора.
значит что выше написано бред
| | |
| 1.23, robux (ok), 11:06, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 > не удалось выяснить способ, используемый для получения доступа к аккаунту модератора.
Всё просто: модератор анонсов глотнул синей пилюли АНБ.
Ну а щас он у Марка в кабинете лапшу вешает:
- Шеф, не понимаю как так случилось!
| | |
| |
| |
| 3.55, Аноним (-), 15:13, 31/07/2013 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Сталина на таких модераторов нету
Да и вас неплохо бы в расход пустить. Ну так, на всякий случай. Мало ли чего.
| | |
| |
| 4.60, ИМХО (?), 16:06, 31/07/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вот и за таких анонимов как ты при Сталине невинные люди страдали
| | |
|
|
|
| 1.27, Аноним (-), 11:29, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
>Перехватив параметры доступа администратора форума (cookies с идентификатором сессии), атакующие получили полный доступ к окружению vBulletin
Разве при проверке сессии по кукам не прикручивают ещё проверку на изменение ip обычно?
| | |
| 1.30, umbr (ok), 11:52, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 >Атака была ... обнаружена ... после того как злоумышленники выполнили дефейс сайта.
Совсем хреново у них с безопасностью.
| | |
| |
| 2.35, Аноним (-), 12:20, 31/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
>>Атака была ... обнаружена ... после того как злоумышленники выполнили дефейс сайта.
> Совсем хреново у них с безопасностью.
А у вас?
| | |
| |
| 3.57, umbr (ok), 15:38, 31/07/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
Как у всех. Чужие соломинки заметнее своих бревен :)
| | |
| 3.67, arisu (ok), 17:05, 31/07/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> Совсем хреново у них с безопасностью.
> А у вас?
а у меня всё хорошо, ещё никто ничего ни разу не сломал. так я им и дал свой локалхост на растерзание!
| | |
|
|
| 1.50, Аноним (-), 14:26, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Даааааа... 6 дней, получается, висел анонс с XSS-кой. 6 дней администратор не догадывался, что его куки уплыли (а ведь при заходе с чужой кукой, хозяина, вроде бы, выкидывает из аккаунта - любое внезапное завершение сеанса и разлогинивание для администратора - повод насторожиться). И только когда их буквально носом ткнули в "ребята, ку-ку" (дефейс)... спецы, да.
| | |
| |
| 2.51, Аноним (-), 14:30, 31/07/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
Модератор тоже хорош - от его имени опубликован анонс, а он даже не поинтересовался "какого хрена от моего имени совершаются какие-то действия".
| | |
|
| 1.77, Аноним (-), 23:14, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Ничего не знаю, но я определенно понимаю, что именно PHP - причина взлома форума.
| | |
| |
| 2.79, ffirefox (?), 23:22, 31/07/2013 [^] [^^] [^^^] [ответить]
| +/– |
PHP - средство. Причина - использование административных полномочий для пользовательских действий
| | |
|
| 1.90, mangust (?), 13:32, 01/08/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
>Далее атакующие воспользовались особенностью настройки движка форума, по >умолчанию разрешающего использование HTML-разметки в тексте анонса, т.е. по сути >допускающего совершение межсайтового скриптинга (XSS).
Возможность получить админские куки, тут PHP ещё не причем
>Далее, используя возможность добавления обработчиков в панель управления, >атакующие смогли организовать выполнение произвольного PHP-кода, что позволило >установить Shell Kit и запускать любые команды на сервере с правами пользователя >"www-data"
а такой финт возможен только с PHP
| | |
| 1.91, klay (??), 02:47, 02/08/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 А почему интересно компания Canonical, обладающая пользовательской базой
> 1.8 млн пользователей
доверила всё это дело vBulletin?
| | |
|
