The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

07.01.2018 09:55  В сетевых хранилищах WDMyCloud выявлен бэкдор

В выпускаемых компанией Western Digital сетевых хранилищах My Cloud обнаружены опасная уязвимость и бэкдор, позволяющие получить привилегированный доступ к устройству. Уязвимость даёт возможность выполнить код с правами root через отправку удалённого запроса без выполнения штатной процедуры аутентификации. Бэкдор проявляется в наличии скрытой учётной записи администратора с предопределённым паролем, который невозможно изменить. Проблемы присутствуют в прошивках до версии 2.30.165 включительно (кроме ветки MyCloud 04.X) и устранены в обновлении 2.30.174.

Уязвимость присутствует в скрипте multi_uploadify.php и связана с некорректной обработкой параметров. Сервер для аутентификации определялся в скрипте путём использования имени хоста, переданного в HTTP-заголовке Host, который может быть изменён пользователем. В сочетании с отсутствием кода для обработки ошибок при вызове gethostbyaddr(), атакующий может успешно пройти все проверки аутентификации, не зная параметров входа. Атака сводится к отправке POST-запроса к скрипту с изменённым HTTP-заголовком Host и параметрами "Filedata[0]" и "folder" для загрузки файла. Таким образом можно без аутентификации записать любой файл в каталог "/var/www/", например, загрузить PHP webshell, который при обращении будет выполнен с правами root.

Дальнейшее изучение прошивки показало, что для внешних запросов доступен скрипт /usr/local/modules/cgi/nas_sharing.cgi, в коде которого жестко прошит логин "mydlinkBRionyg" и пароль "abc12345cba". Более того, скрипт содержит уязвимость, позволяющую передать и выполнить произвольный shell-код. Например, для запуска команды "touch /tmp/test.txt" от пользователя root достаточно отправить запрос "/cgi-bin/nas_sharing.cgi?dbg=1&cmd=51&user=mydlinkBRionyg&passwd=YWJjMT IzNDVjYmE&start=1&count=1;touch+/tmp/test.txt;".

В ходе изучения прошивки исследователь также заметил упоминание несуществующего файла "mydlink.cgi", после чего выяснил, что прошивка устройств WDMyCloud во многом пересекается с прошивкой сетевого хранилища D-Link DNS-320L ShareCenter NAS, в которой аналогичных бэкдор был устранён в 2014 году в обновлении прошивки 1.0.6.

Кроме того, в WDMyCloud найдено несколько менее опасных уязвимостей. В частности скрипты в интерфейсе администратора подвержены возможности подстановки shell-кода, а web-интерфейс не имеет средств для защиты от XSRF-атак. Подобная особенность даёт возможность атакующему встроить на свой сайт запрос iframe или картинки со ссылкой вида "http://wdmycloud/web/dsdk/DsdkProxy.php?;touch+/tmp/test.txt;" и при посещении данной страницы пользователем, у которого не закрыт сеанс в web-интерфейс WDMyCloud, на устройстве будет выполнена команда "touch /tmp/test.txt". Также имеется уязвимость в реализации API, позволяющая удалённо посмотреть список пользователей устройства через отправку запроса "/api/2.1/rest/users?".

  1. Главная ссылка к новости (http://gulftech.org/advisories...)
  2. OpenNews: Western Digital делает ставку на открытую архитектуру RISC-V
  3. OpenNews: Выявлено шпионское ПО, скрывающееся в прошивках жестких дисков
  4. OpenNews: В межсетевых экранах FortiGate выявлен бэкдор
  5. OpenNews: Бэкдор в отладочном коде модифицированного ядра Linux для систем Allwinner
  6. OpenNews: В оборудовании Siklu EtherHaul выявлен общедоступный root-бэкдор
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: wdmycloud
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, AlexYeCu_not_logged (?), 11:18, 07/01/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +72 +/
    Собственно, это всё, что нужно знать о «готовых NAS».
     
     
  • 2.7, Анчик (?), 11:50, 07/01/2018 [^] [ответить]    [к модератору]
  • +/
    этоже хомячковое решение аля внешний диск с примочками.
    нетгир и прочие кунапы кто-то исследовал?
     
     
  • 3.28, Аноним (-), 14:58, 07/01/2018 [^] [ответить]    [к модератору]
  • +/
    Нахрена вообще готовые NAS, если для однодисковых есть платы на Allwinner A20, а для многодисковых можно взять плату от неттопа?
     
     
  • 4.31, нах (?), 15:13, 07/01/2018 [^] [ответить]     [к модератору]
  • +3 +/
    нахрена горбатиться, зарабатывать какие-то там деньги , когда есть натуральное ... весь текст скрыт [показать]
     
     
  • 5.36, Аноним (-), 15:32, 07/01/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Если магазин скатывается и начинает продавать жрат пополам с крысиной отравой, н... весь текст скрыт [показать]
     
     
  • 6.53, нах (?), 18:10, 07/01/2018 [^] [ответить]     [к модератору]  
  • +5 +/
    его, в этом случае, вероятно, все же быстро прикроют И директора - на пару лет ... весь текст скрыт [показать]
     
     
  • 7.66, Аноним (-), 21:57, 07/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Почему-то не прикрывают Для 650МГц 256Мб не тяжеловат, а для 1ГГц 1ГБ тяжеловат... весь текст скрыт [показать]
     
     
  • 8.78, нах (?), 00:23, 08/01/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    ну тогда просто не стоило звездить, как ты за пять минут с легкостью заменишь то... весь текст скрыт [показать]
     
     
  • 9.88, Аноним (-), 04:12, 08/01/2018 [^] [ответить]     [к модератору]  
  • +/
    А кто сказал, что я не в курсе функционала owncloud Не нуждаюсь - не значит ... весь текст скрыт [показать]
     
     
  • 10.95, нах (?), 12:04, 08/01/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    судя по писанине - вы не в курсе функционала упомянутой железки, а не то что own... весь текст скрыт [показать]
     
     
  • 11.107, Аноним (-), 19:46, 08/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Туалетная бумага - как раз таки Ваш рацион, а не мой, я предпочитаю еду из натуральных продуктов.
     
  • 11.108, Аноним (-), 20:00, 08/01/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    Вам - нет, а себе, если с фармацевтикой всё станет совсем плохо - да Не вперво... весь текст скрыт [показать]
     
     
  • 12.119, нах (?), 13:26, 09/01/2018 [^] [ответить]     [к модератору]  
  • +/
    имеющие хотя бы парамедицинское образование - печально ухмыльнулись В общем, пр... весь текст скрыт [показать]
     
     
  • 13.124, Аноним (-), 16:51, 09/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Пусть ухмыляются хоть до пареза, хоть до судороги Сантехник, который когда-то з... весь текст скрыт [показать]
     
  • 12.123, Аноним (-), 15:31, 09/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > Или пенициллин по Флемингу. Короче - найду.

    Неужели современные штаммы всем желающим присылают по почте?

     
     
  • 13.125, Аноним (-), 16:52, 09/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > Неужели современные штаммы всем желающим присылают по почте?

    А Флемингу штамм плесени кто прислал?

     
     
  • 14.127, Аноним (-), 18:36, 09/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Понимаешь, я совсем не фармацевт и наверняка там еще 100500 нюансов и подводных ... весь текст скрыт [показать]
     
  • 4.116, vz (?), 11:50, 09/01/2018 [^] [ответить]    [к модератору]  
  • +/
    для Orange PI есть NAS-дистрибутив или Rasbian надо насаживать?
     
     
  • 5.117, Djam (ok), 12:50, 09/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Есть armbian, а поставить дополнительно пару пакетов не составляет труда.
     
  • 3.34, Аноним (-), 15:26, 07/01/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    За время исследования можно пять раз успеть купить цацу на allwinner с хардварны... весь текст скрыт [показать]
     
     
  • 4.67, Аноним (-), 21:57, 07/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Не, один диск — не серьёзно, USB — тормоза. Но есть GnuBee (ему бы ещё корпус, вмещающий 3,5"-диски), вот-вот будет Helios4 (очень жалею, что проморгал предзаказ).
     
     
  • 5.135, Аноним (-), 19:33, 10/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Народ цепляет 2 диска в usb на отдельных контроллерах 1 в SATA, на этом пускае... весь текст скрыт [показать]
     
  • 4.94, Аноним (-), 12:03, 08/01/2018 [^] [ответить]    [к модератору]  
  • +/
    По случаю спрошу (не сарказма ради), какие корпуса доступны (мне как рядовому россиянину) на 4-5 дисков, ну что бы еще и красиво как у synology и подобных ?
     
     
  • 5.98, нах (?), 12:14, 08/01/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    никакие, у рядового россиянина зарплата 7000 рублей А так - поройтесь в окрестн... весь текст скрыт [показать]
     
  • 5.126, Аноним (-), 16:59, 09/01/2018 [^] [ответить]     [к модератору]  
  • +/
    25-литровый алюминиевый бидон для молока Оригинально, антуражно и вообще хэндме... весь текст скрыт [показать]
     
     
  • 6.129, нах (?), 00:02, 10/01/2018 [^] [ответить]    [к модератору]  
  • +/
    да, но я в него не помещаюсь :-(
     
     
  • 7.136, Аноним (-), 19:38, 10/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > да, но я в него не помещаюсь :-(

    Этого не было в изначальной постановке задачи. Если надо чтобы ты помещался, используй бочку.

     
  • 2.75, EHLO (?), 22:50, 07/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Собственно, это всё, что нужно знать о «готовых NAS».

    О любом закрытом софте в принципе тоже

     
     ....нить скрыта, показать (27)

  • 1.2, anomymous (?), 11:22, 07/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    WD MyCloud
    "mydlinkBRionyg"
    mydlink
    my DLink???
    WTF????
     
     
  • 2.4, anomymous (?), 11:24, 07/01/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    А, ну то есть с DNS-320L сдёрнули. Хитрые перцы.
     
     
  • 3.42, Vkni (ok), 16:53, 07/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну, то есть WD - это уже "та самая китайщина".
     
  • 1.3, Аноним (-), 11:23, 07/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –5 +/
    > Уязвимость присутствует в скрипте multi_uploadify.php

    Полон опасностей похапе-мирок.

     
     
  • 2.5, anomymous (?), 11:24, 07/01/2018 [^] [ответить]    [к модератору]  
  • +15 +/
    > Полон опасностей похапе-мирок.

    Это не похапе-мирок. Это мирок илитных кодерков, которые на любом языке такие илитные.

     
     
  • 3.6, Аноним (-), 11:38, 07/01/2018 [^] [ответить]    [к модератору]  
  • +8 +/
    И это конечно же чистое совпадение, что концентрация таких рукожопов в похапе-мирке бъёт все рекорды.
     
     
  • 4.8, Порог (?), 11:54, 07/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Низкий порог вхождения!
     
     
  • 5.37, Аноним (-), 15:38, 07/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > Низкий порог вхождения!

    В NAS это вообще не php может быть, просто название паги "традиционное".

     
     
  • 6.58, anomymous (?), 19:15, 07/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Если PHP есть в VoIP-шлюзах и телефонах, что мешает ему быть в NAS?
     
     
  • 7.74, Аноним (-), 22:44, 07/01/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    как минимум, здравый смысл.
     
     
  • 8.91, anomymous (?), 11:03, 08/01/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Здравый смысл говорит о том, что рантайм достаточно удобный и легковесный, чтобы... весь текст скрыт [показать]
     
     
  • 9.93, пох (?), 11:47, 08/01/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    это, видимо - выключить все экстеншны, потом удивляться, почему ничего не работ... весь текст скрыт [показать]
     
     
  • 10.97, Gemorroj (ok), 12:10, 08/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    php-то тут при чем?
    такое ощущение что пишут люди бесконечно далекие от веб разработки.
     
     
  • 11.99, пох (?), 12:19, 08/01/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    вот ровно при том, что для современного веба, даже совсем простенького чего там... весь текст скрыт [показать]
     
  • 10.102, anomymous (?), 13:09, 08/01/2018 [^] [ответить]     [к модератору]  
  • +/
    opcache метра на 32 Вы уж хотя бы размер рантайма без кэша измеряли бы тогда, ч... весь текст скрыт [показать]
     
  • 10.103, anomymous (?), 13:18, 08/01/2018 [^] [ответить]     [к модератору]  
  • +/
    И вообще при чём тут экстеншны Надлежащий подход , в частности, для встраиваем... весь текст скрыт [показать]
     
     
  • 11.104, пох (?), 16:35, 08/01/2018 [^] [ответить]     [к модератору]  
  • +/
    потому что гражданин зачем-то показавши нам длину своего хе ой, простите, разме... весь текст скрыт [показать]
     
     
  • 12.105, anomymous (?), 16:45, 08/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Речь выше идёт про интерфейсы управления Там как раз нужен CLI, в т ч в кроне ... весь текст скрыт [показать]
     
  • 12.106, anomymous (?), 16:47, 08/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > показал, что банальный хомяк на друпале (или что оно там было,

    Хрен знает, чего там на друпале наворотили, но страничка на b2evo жрёт на x86-64 вполне себе порядка 25мб, см. выше.

     
     
  • 13.120, пох (?), 13:30, 09/01/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    сайт как сайт, без особых сложностей очередное квадратноколесное ненужно Какая... весь текст скрыт [показать]
     
  • 5.114, twilight (ok), 06:44, 09/01/2018 [^] [ответить]    [к модератору]  
  • +/
    друг другу
     
  • 4.10, я (?), 12:09, 07/01/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    Вы все просто завидуете, что не знаете похапе!
     
     
  • 5.48, Порог (?), 17:35, 07/01/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Пыху знают все, просто большинство об этом не догадывается :)
     
     
  • 6.55, тоже Аноним (ok), 18:28, 07/01/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Мир удивительно гармоничен те, кто гонит на пыху, и те, кто гонит на ней гoвнок... весь текст скрыт [показать]
     
  • 6.60, пох (?), 19:48, 07/01/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    большинство догадывается, что exec - это еще не весь язык классы, name... весь текст скрыт [показать]
     
     
  • 7.68, Аноним (-), 21:59, 07/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > даже не 6.

    Спалился, эксперт.

     
     
  • 8.71, тоже Аноним (ok), 22:27, 07/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Точно - он? Или вы, не знающий ничего об этой версии?
     
     
  • 9.80, пох (?), 00:42, 08/01/2018 [^] [ответить]     [к модератору]  
  • +/
    не-не, я имел в виду 5 6 мне казалось, тем кто в теме, это должно быть очевидно... весь текст скрыт [показать]
     
     
  • 10.86, rpm (?), 03:39, 08/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/

    > не-не, я имел в виду 5.6 (мне казалось, тем кто в теме,

    Поздно оправдываться, "эксперт".

     
     
  • 11.100, пох (?), 12:23, 08/01/2018 [^] [ответить]     [к модератору]  
  • +/
    да где тут, среди экспертов опеннета, отлично знающих версии php в анонсах и на... весь текст скрыт [показать]
     
     
  • 12.111, тоже Аноним (ok), 22:47, 08/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Вы говорили о вещах, существующих даже в уже устаревших версиях То, что вы имел... весь текст скрыт [показать]
     
     
  • 13.122, пох (?), 14:17, 09/01/2018 [^] [ответить]     [к модератору]  
  • +/
    хренассе древне-актуальную это ж язык программирования, а не просто набор з... весь текст скрыт [показать]
     
     
  • 14.128, тоже Аноним (ok), 22:22, 09/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Я потому и счастливчик, что все, что на сайте не завязано на Битрикс, писал сам,... весь текст скрыт [показать]
     
     
  • 15.130, EHLO (?), 03:41, 10/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Зачем вообще Битрикс нужен Давно вопрос этот не дает покоя, а тут внезапно сраз... весь текст скрыт [показать]
     
     
  • 16.131, тоже Аноним (ok), 08:19, 10/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Адепты Битрикса на опеннете не сидят Мы все тут - пострадавшие Я бы с насл... весь текст скрыт [показать]
     
     
  • 17.133, пох (?), 15:57, 10/01/2018 [^] [ответить]     [к модератору]  
  • +/
    ему еще меньше интересно искать потом специалиста по этой экзотике А специалист... весь текст скрыт [показать]
     
     
  • 18.134, тоже Аноним (ok), 17:49, 10/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Чем-то мне специалист, восхваляющий Битрикс, считающий Ларавель малоизвестной эк... весь текст скрыт [показать]
     
  • 16.132, пох (?), 15:56, 10/01/2018 [^] [ответить]     [к модератору]  
  • +/
    ну вот у того сайта, с которым я неделю мучаюсь, есть до-битриксовая версия, 200... весь текст скрыт [показать]
     
     
  • 17.137, Аноним (-), 20:03, 10/01/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Офигеть, из поха даже вебмакака не получилась Таки да, вебмакаки в темпе вальса... весь текст скрыт [показать]
     
     
  • 18.139, пох (?), 20:51, 10/01/2018 [^] [ответить]     [к модератору]  
  • +/
    сайт из одной страницы сейчас так модно , жрущий 500 мег на каждое обращение А... весь текст скрыт [показать]
     
     
  • 19.142, тоже Аноним (ok), 21:23, 10/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Например, типичный битриксовский template php - это один входящий arResult с ди... весь текст скрыт [показать]
     
     
  • 20.143, пох (?), 23:25, 10/01/2018 [^] [ответить]     [к модератору]  
  • +/
    ну да, ну да Но в общем-то понятно, почему оно так - когда этот коран писали, д... весь текст скрыт [показать]
     
  • 21.144, тоже Аноним (ok), 23:49, 10/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Это объяснимо циклом разработки сделали новую фичу, реализовали в ней самый баз... весь текст скрыт [показать]
     
  • 4.14, anomymous (?), 12:22, 07/01/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    В рабирастомирках рукожопов тоже достаточно, просто их поделки до паблик продакшна доходят гораздо реже.
     
  • 3.27, бгг (?), 14:57, 07/01/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    тут прикол как раз в том, что у wd не было никаких кодерков - вообще Купили пра... весь текст скрыт [показать]
     
     
  • 4.52, Vkni (ok), 17:48, 07/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > тут прикол как раз в том, что у wd не было никаких
    > кодерков - вообще.

    Именно! Т.е. WD - это и дорого, и хуже, чем у кетайцев.

     
     
  • 5.59, нах (?), 19:23, 07/01/2018 [^] [ответить]     [к модератору]  
  • +/
    почему дорого Он младшие модели, по крайней мере стоит чуть дороже собственно... весь текст скрыт [показать]
     
  • 2.16, commiethebeastie (ok), 12:24, 07/01/2018 [^] [ответить]    [к модератору]  
  • +/
    >Полон опасностей похапе-мирок.

    Разработка в стиле php + denwer + putty.exe + vmware.exe и не такие сюрпризы даёт.

     
     
  • 3.17, anomymous (?), 12:30, 07/01/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    Скорее, разработка в стиле "работаетже, страницу показывает, чоещёнадо".
     
  • 2.30, Аноним (-), 15:10, 07/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Полон опасностей похапе-мирок.

    Кагбэ, в уёб-фреймворке на любом языке можно сделать запуск в шелл команды, слепо взятой из аргументов запроса. Вопрос не в мирке, а в людях в нём.

     
  • 2.43, Vkni (ok), 16:55, 07/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Нет, тут веселее - тут WD продаёт за достаточно большие деньги откровенное деpьм... весь текст скрыт [показать]
     
  • 2.63, Gemorroj (ok), 20:45, 07/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    так и знал, что найдутся бездарные илитные кодеры, со своими 5 копейками.
     
     
  • 3.81, Аноним (-), 02:09, 08/01/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    так и знал, что появится коммунист-апологет похапе. Похапе -- это язык того же качества, каким бывает качество жизни при захвате власти коммуняками.
     
     
  • 4.83, angra (ok), 02:36, 08/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Дай догадаюсь, по семейным преданиям твой прадедушка был крепким хозяйственником... весь текст скрыт [показать]
     
     
  • 5.87, Аноним (-), 03:40, 08/01/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Нет, ты что! Коммуняки никого не расстреливали. Это все госдеповский обман.
     
     
  • 6.109, angra (ok), 20:49, 08/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Расстреливали еще как Особенно от начала интервенции и до победы в ВоВ, так как... весь текст скрыт [показать]
     
     
  • 7.113, Аноним (-), 05:28, 09/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Согласен! Коммуняки никого не расстреливали, а если и расстреливали - то за антиреволюционное дело! Кто не согласен со мной - я бы их сам расстрелял!
     
     
  • 8.115, angra (ok), 10:20, 09/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Судя по всему, ты даже первое предложение не успел понять, как уже бросился строчить саркастический ответ. В таком случае дальнейший диалог теряет смысл.
     
  • 7.138, Аноним (-), 20:26, 10/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Ты еще про кулаков забыл Оказывается, жить не как бомж - это было что-то плохое... весь текст скрыт [показать]
     
     
  • 8.140, Аноним (-), 20:52, 10/01/2018 [^] [ответить]     [к модератору]  
  • +/
    С большущим Даже платить не надо было 8211 с песнями и за черточки трудодней... весь текст скрыт [показать]
     
     
  • 9.141, Аноним (-), 21:05, 10/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Еще были гениальные агрономные решения и эксперименты, типа выращивания риса н... весь текст скрыт [показать]
     
     ....нить скрыта, показать (57)

  • 1.11, я (?), 12:12, 07/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Это ж надо было додуматься и запихнуть похапе туда! Зачем?! Неужели такая большая экономия на похапе-программере?
     
     
  • 2.15, anomymous (?), 12:24, 07/01/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Пых очень удобен для вёбморд и прочего, примерно как был удобен перл, только луч... весь текст скрыт [показать]
     
     
  • 3.21, Аноним (-), 13:54, 07/01/2018 [^] [ответить]    [к модератору]  
  • –3 +/
    >Пых очень удобен для вёбморд и прочего

    как там в двухтысячном? обязательно съезди посмотреть на wtc и предупреди матросов чтоб не совались на курск

     
  • 2.25, Аноним (-), 14:23, 07/01/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    В том то и дело, что экономия. Но PHP тут не при чём. Квалификация нужна и человеческое время до дедлайна.
     
  • 1.12, я (?), 12:14, 07/01/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –4 +/
    Все сделано в лучших традициях похапе - взяли чужой код и запихнули туда, куда н... весь текст скрыт [показать]
     
     
  • 2.45, Аноним (-), 17:10, 07/01/2018 [^] [ответить]    [к модератору]  
  • +/
    leftpad тчк.
     
  • 2.73, тоже Аноним (ok), 22:28, 07/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Копи-паст в похапе это наше все.

    Ваше - да...

     
  • 1.13, Аноним (-), 12:18, 07/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    mydlink Service еще один бэкдор.
     
  • 1.19, Аноним (-), 13:33, 07/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –7 +/
    Не вижу ничего критичного, все равно девайс практически всегда скрыт за NAT от интернетов.
     
     
  • 2.23, Аноним (-), 14:02, 07/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    До конца не дочитал?
     
     
  • 3.38, Аноним (-), 15:47, 07/01/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Дочитал. Опять же, ничего критичного. Пример как это будет использовано дайте.
     
     
  • 4.47, Аноним (-), 17:34, 07/01/2018 [^] [ответить]    [к модератору]  
  • +/
    ну либо reverse shell запустить там либо еще чего подобного. варианты есть.
     
     
  • 5.76, angra (ok), 00:10, 08/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Я правильно понимаю, что ты собираешься взламывать хранилище в своей же домашней сетке?
     
     
  • 6.77, EHLO (?), 00:21, 08/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > Я правильно понимаю, что ты собираешься взламывать хранилище в своей же домашней
    > сетке?

    web-интерфейс не имеет средств для защиты от XSRF-атак

     
     
  • 7.84, angra (ok), 02:41, 08/01/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Туше
     
  • 2.57, нах (?), 19:05, 07/01/2018 [^] [ответить]     [к модератору]  
  • +/
    э, и нафиг он тебе такой нужен Там весь прикол в том, чтоб он был доступен извн... весь текст скрыт [показать]
     
     
  • 3.72, Аноним (-), 22:27, 07/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Сетевое хранилище в основном в домашней сетке используется для шаринга файлов на несколько компов. Ну и раздача торрентов пока ПК выключен.
     
     
  • 4.79, нах (?), 00:33, 08/01/2018 [^] [ответить]     [к модератору]  
  • +/
    перечитай внимательней его название - может, дойдет, что это вообще-то не совсем... весь текст скрыт [показать]
     
  • 1.20, Аноним (-), 13:44, 07/01/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –7 +/
    Ну а чего еще ожидать от шаблонизатора Personal Home Page ___ Если вспом... весь текст скрыт [показать]
     
     
  • 2.26, Crazy Alex (ok), 14:57, 07/01/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    то, что писалось для шпблонтзатора на современном php и не заработает Сюрприз... весь текст скрыт [показать]
     
     
  • 3.61, пох (?), 19:56, 07/01/2018 [^] [ответить]     [к модератору]  
  • +/
    foreach поправишь - заработает То есть можно писать и как для шаблонизатора - ... весь текст скрыт [показать]
     
  • 3.62, тоже Аноним (ok), 20:42, 07/01/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    Другой сюрприз - популярные языки несут крест совместимости Например, неконсист... весь текст скрыт [показать]
     
     
  • 4.121, anomymous (?), 13:57, 09/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Угу.

    Вот bazaar - отличный пример, как загибаются проекты на хипста трендах.

     
  • 1.22, Аноним (-), 13:56, 07/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > который при обращении будет выполнен с правами root

    То есть веб-сервер работает от рута и, надо понимать, это в обновлении не исправили. При таком подходе остальные дыры уже не удивляют.

     
     
  • 2.29, Нанобот (ok), 15:04, 07/01/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Обычная практика для встраиваемых систем. В том же openwrt/lede тоже от рута
     
  • 2.32, нах (?), 15:16, 07/01/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    он в любом случае работает от пользователя, имеющего полный неограниченный досту... весь текст скрыт [показать]
     
  • 1.24, Аноним (-), 14:21, 07/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Тестеров, как поймают, на кол посадить! А кодеров отправить к мамке на довзросление.
     
     
  • 2.35, Нанобот (ok), 15:28, 07/01/2018 [^] [ответить]    [к модератору]  
  • +/
    А тестеры тут при чём? Не протестировали работу скрипта со всеми возможными 16-символьными логинами паролями? Это скорее некоторых комментаторов нужно отправить на довзросление...
     
  • 2.44, Vkni (ok), 16:56, 07/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > Тестеров, как поймают, на кол посадить! А кодеров отправить к мамке на
    > довзросление.

    Какие тестеры/кодеры? В о чём? Прошивка-то стянута с DLink'а.

     
     
  • 3.46, Аноним (-), 17:14, 07/01/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Те, кто хотя бы скопипастил и поставил пароль Тестеры не те, что кликают на юза... весь текст скрыт [показать]
     
     
  • 4.50, Vkni (ok), 17:45, 07/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Там история, если правильно понимаю, такова - DLink и наняли китайского инженегр... весь текст скрыт [показать]
     
  • 1.33, VINRARUS (ok), 15:25, 07/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    >abc12345cba

    Ну шо за безответственность в выборе пароля?
    Неужели так трудно использовать этот, на порядки более надежный пароль: Zbc92045cbz ?

     
     
  • 2.56, dlink (?), 18:30, 07/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > Неужели так трудно использовать этот, на порядки более надежный пароль

    охренел? Да я пока до сортира дошел, уже его забыл.

     
  • 1.70, username (??), 22:20, 07/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    >multi_uploadify.php

    Ясно понятно

     
  • 1.82, Мураками (?), 02:09, 08/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    эта песня будет вечной - Meltdown, Spectre а теперь ПЕ-ХЕ-ПЕ
     
  • 1.85, Аноним (-), 03:20, 08/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Это еще никто прошивки контроллеров самих дисков не смотрел...
     
     
  • 2.89, Аноним (-), 04:21, 08/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Эээ а там есть какое-то разделение полномочий, пароли, root и не-root, открыв... весь текст скрыт [показать]
     
     
  • 3.90, Senior Proprietary WC Manager (?), 06:05, 08/01/2018 [^] [ответить]    [к модератору]  
  • +/
    NDA уже подписал? нет? вот и разговаривать с вами не будем.
     
  • 1.92, Аноним (-), 11:07, 08/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    WD MyCloud это какая то тормозная жесть, уж не говорю про программную, часть стоял в офисе еле избавились, начальство не хотело. Не покупайте не когда WD MyCloud не ведитесь на дешевизну.
     
     
  • 2.101, username (??), 12:53, 08/01/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    судя по тому что там похапе))
     
  • 1.110, Stop (?), 21:32, 08/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Партия ПХП выросла и возмужала. Спокойно минусит все комментарии про дэноязык. я даже рад - нормальным парням пепепадёт больше нормальной работы вместо копания в этом.
     
     
  • 2.112, я (?), 23:14, 08/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Люто плюсую!
     
  • 1.118, Djam (ok), 12:52, 09/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Хорошо когда есть тот же LEDE, который лишен таких недостатков.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor