https://mobile.opennet.me/openforum/vsluhforumID3/120082.html Компания RiskSense опубликовала результаты анализа 1622 уязвимостей во фреймворках и платформах для Web, выявленных с 2010 по ноябрь 2019 года. Некоторые выводы:...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52562<br> https://mobile.opennet.me/openforum/vsluhforumID3/120082.html#77 Mon, 23 Mar 2020 06:28:48 GMT &gt;&gt; Говоря об относительно простых сайтах / структуре, я, как пользователь, ожидаю попасть ровно на одну и ту же страницу, вне зависимости от того, заканчиваю я адрес слешем или нет( или к слову о том, что, даже у яндекса и гугла, yandex.ru, yandex.ru/ и google.ru, google.ru/ - это одни и те же страницы, но никак не Главная и Почта/Новости/Итп ).<br><br>Оно, конечно, так, за одним большим НО:<br>Согласно спецификации, yandex.ru и yandex.ru/ - это два разных URL. Да, в подавляющем большинстве случаев на один из них вешается редирект, либо миддлварина, которая отпиливает/допиливает / в конце урлы. Но утверждать, что разные урлы, ведущие на разные страницы - это плохо... Ну, такое себе. Тем более, что в 99% случаев руками никакую урлу никто вводить не будет, будут тупо кликать в адрес, или, в самых хардкорных случаях, копи-пастить.<br><br>&gt;&gt; Да ты просто гений. Только вот.. почему такая маленькая лекция об HTTP и 404-м коде, если речь вообще шла о странице-заглушке на сайте ?)<br>&gt;&gt; Обычно на сайтах есть и одноименная страниц https://mobile.opennet.me/openforum/vsluhforumID3/120082.html#76 Fri, 20 Mar 2020 06:55:55 GMT Изначально в сайте это не задумывалось, т.к на этот счет была целая куча запросов на багфикс.<br><br>Ну вообще-то нет.<br>Говоря об относительно простых сайтах / структуре, я, как пользователь, ожидаю попасть ровно на одну и ту же страницу, вне зависимости от того, заканчиваю я адрес слешем или нет( или к слову о том, что, даже у яндекса и гугла, yandex.ru, yandex.ru/ и google.ru, google.ru/ - это одни и те же страницы, но никак не Главная и Почта/Новости/Итп ).<br><br>Да ты просто гений. Только вот.. почему такая маленькая лекция об HTTP и 404-м коде, если речь вообще шла о странице-заглушке на сайте ?)<br>Обычно на сайтах есть и одноименная страница-заглушка, сообщающая, что вы хз куда попали и идите ка на главную страницу / пишите в поддержку. В общем-то, это одна из само-собой разумеющихся вещей на сайте, чтобы не вываливать дефолтное пустое браузерное окно с соотв. текстом.<br>Если что, речь не о каком-то REST / JSON-RPC и прочих штуковинах, никакого апи сервак не предоставляет - он только выдает самописный сайт на пл https://mobile.opennet.me/openforum/vsluhforumID3/120082.html#75 Thu, 19 Mar 2020 22:43:00 GMT Джумла конечно хороша...вот только когда там находят очередную дыру диапазон уязвимых версий обычно примерно такой 3.0-3.9, иными словами большая часть уязвимостей тянется с сааамого начала текущей "мажорной" версии, а это значит что дырам ГОДЫ...<br> https://mobile.opennet.me/openforum/vsluhforumID3/120082.html#74 Thu, 19 Mar 2020 12:56:47 GMT &gt;&gt; Просто глючная и совершенно не поддерживаемая куча д.ерьма, где со слешем в конце адреса и без него, можно оказаться на совершенно разных страницах( как и в случаях разного регистра букв. И далеко не факт, что одна из них будет 404-й - это может оказаться что угодно, вплоть до админ. панели )..<br><br>Не понял, где обещаный криминал-то?<br><br>&gt;&gt; где со слешем в конце адреса и без него, можно оказаться на совершенно разных страницах<br><br>2 разных URL могут вести на разные страницы.Спецификация тут: https://www.w3.org/TR/url/<br><br>&gt;&gt; как и в случаях разного регистра букв<br><br>Ничего не изменилось: 2 разных URL могут вести на разные страницы. Спецификация все еще там же.<br><br>&gt;&gt; И далеко не факт, что одна из них будет 404-й<br><br>Кхм. 404 - это вообще не страница. 404 - это код возврата HTTP. "404 Not Found - The server has not found anything matching the Request-URI." Спецификация тут: https://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html<br><br>На всякий случай переведу: "404 Не Найдено - сервер не нашел ничего, соответствующего U https://mobile.opennet.me/openforum/vsluhforumID3/120082.html#73 Thu, 19 Mar 2020 04:48:24 GMT Опять таки меня все заклюют в который уже раз.<br><br>Но в плане именно безопасности очень неплох Битрикс (входящий в него по умолчанию бесплатный модуль "Проактивная защита" если настроен на 3-ий "параноидальный" уровень защищает от всего и вся. Фактически это WAF вполне приличный).<br> https://mobile.opennet.me/openforum/vsluhforumID3/120082.html#72 Thu, 19 Mar 2020 02:09:56 GMT давненько пох про phar не заводил волынку<br> https://mobile.opennet.me/openforum/vsluhforumID3/120082.html#71 Thu, 19 Mar 2020 01:28:00 GMT &gt; Despite the severity of the SMB bug, there's no evidence that it's being exploited in the wild.<br><br>Ну так шансы около нуля для пользователя.<br>Это надо прям SMB сервис наружу прокинуть &#8211; тогда может повезёт.<br>И то с прошлыми всякими Петями бабахнуло спустя несколько месяцев после того, как вышла заплатка.<br>Ну бабахнуло, потому что апдейты не ставят (на это тоже есть причины).<br><br><br> https://mobile.opennet.me/openforum/vsluhforumID3/120082.html#70 Wed, 18 Mar 2020 23:45:28 GMT Устаревший фреймворк для Java, сайтам на котором лень мигрировать на что-нибудь по современней. Типа банков и прочих ынтерпрайзов, которым дешевле, если ваши деньги украдут через эти уязвимости, чем обновиться.<br> https://mobile.opennet.me/openforum/vsluhforumID3/120082.html#69 Wed, 18 Mar 2020 22:44:34 GMT &gt; Просто не надо ставить софт со свалок. И ставить секурные обновления (а <br>&gt; это вообще по умолчанию). Всё.<br>&gt; Чудес не бывает - через карму не прилетит.<br><br>Конечно! Значит пора поверить в чудеса: https://thehackernews.com/2020/03/smbv3-wormable-vulnerability.html<br>