forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Уязвимость в панели управления хостингом Vesta, позволяющая ..., opennews (ok), 04-Ноя-17, (0) [смотреть все]

Ух ты, как раз искал подобный интерфейс, Zenitur (ok), 11:44 , 04-Ноя-17, (1) –3 //

Веб-макака и эникейщик , МОИ ГЛАЗА РАЗВИДЕТь (?), 01:10 , 05-Ноя-17, (27)
Эникейщик и админ локалхоста Хотя, если успешно пройду собеседование, то стану , Zenitur (ok), 09:44 , 05-Ноя-17, (31)
А в чем проблемы Запусти nginx под рутом, укажи ФС как сервера и включи Dir, Аноним (-), 11:05 , 05-Ноя-17, (32) //

Жги, кульхацкep code root 6 OdsJxgN8 2hcptDn0GYgpAHDQzhp0i7qMwNTE5YRX UHauP2O, pavlinux (ok), 00:17 , 06-Ноя-17, (48) +1

Там какой-то взрыв мозга от их подхода к безопасности, давно я такой беспечности, Аноним (-), 11:54 , 04-Ноя-17, (2) +1 //

кто не понял, вводите в форме аутентификации вместо пароля код и запускайте н, Аноним (-), 11:56 , 04-Ноя-17, (3) +6 //

Хреновый с тебя безопасник v_password - это путь до временного файла, в которы, Аноним (-), 14:38 , 04-Ноя-17, (13) +1 //

Это они уже поправили - Было if isset _POST user isset _POST passwor, Аноним (-), 20:00 , 04-Ноя-17, (23) +5

v_password exec mktemp -p tmp Мощную ты там уязвимость нашел, мой юный ха, Аноним (-), 19:53 , 04-Ноя-17, (22) –2

Нормальный подход к безопасности За все время существования проекта уязвимостей, imperio (?), 15:16 , 05-Ноя-17, (35) –1 //

Так их imperio наносит ответный удар , Led (ok), 18:14 , 05-Ноя-17, (36)

Я всегда говорил, что все эти панели до добра не доведут Консолька наше всё , th3m3 (ok), 12:36 , 04-Ноя-17, (4) +1 //

Почитай про уязвимости в ssh, консольщик , Аноним (-), 12:41 , 04-Ноя-17, (6) –20 //

И кто же это минус за ssh поставил Он наверное им тоже не пользуется для подклю, Аноним (-), 13:14 , 04-Ноя-17, (10) –5 //

Веб-макаки, сэр , Аноним (-), 17:15 , 04-Ноя-17, (18) –1

Макаки те, кто бездумно повторяет за другими Ты, например Занятно, что в мире , Аноним (-), 19:13 , 05-Ноя-17, (39) +1

Ну да, такой широкий простор для идотских опечаток, приводящих в серьёзным после, A.Stahl (ok), 12:48 , 04-Ноя-17, (7) //

cmdname --help набрать очень сложно, ага, der_fenix (?), 12:54 , 04-Ноя-17, (8) +1 //

Совсем не сложно Но зачем , A.Stahl (ok), 13:01 , 04-Ноя-17, (9) +2
Не помнишь к чему это консольничество привело в случае с GitLab К удалению БД в, Аноним (-), 14:52 , 04-Ноя-17, (15) –1

ню-ню а тач чтобы в конец заё ый админ в оснастке управления да хоть тем , . (?), 21:16 , 04-Ноя-17, (25) –3

Бывает всякое Но в гую интерфейсе начудить значительно сложнее, лет через 10 по, Аноним (-), 19:16 , 05-Ноя-17, (40) –1

Ну так похмелиться надо перед тем, как садиться за консольку, чтобы руки не тряс, YetAnotherOnanym (ok), 13:55 , 04-Ноя-17, (11) –3 //

Начальник твой одобряет это твое поведение , Аноним (-), 19:38 , 05-Ноя-17, (41)

и прикованный к ней раб, 24 7 исполняющий команды примерно полутысчонки юзеров s, рабовладелец (?), 14:35 , 04-Ноя-17, (12) –1 //

Ты загибаешь палку Если на то пошло, можно написать утилиты автоматизации для т, th3m3 (ok), 20:47 , 04-Ноя-17, (24) //

лично я в недетской песочнице спокойно дам разработчику возможность править конф, пох (?), 22:27 , 04-Ноя-17, (26) –1

Бесплатный свободный , Аноним (-), 02:25 , 05-Ноя-17, (28)

Гугли Shellshock Bashdoor , Аноним (-), 14:58 , 04-Ноя-17, (16) –2

Куча дыр, кривизна - но лицензия лицензия Всем быстро ставить , Аноним (-), 14:51 , 04-Ноя-17, (14) –3 //

как будто коммерческие панели прямые и без дырок зато лицензии у них - как над, Аноним (-), 15:19 , 04-Ноя-17, (17)

Оно ещё и на php , th3m3 (ok), 17:26 , 04-Ноя-17, (19) –1
Блин, это наверное самая смешная уязвимость за этот год Мне казалось, что поним, angra (ok), 19:16 , 04-Ноя-17, (21) //

Так-то можно, только клиентский конфиг должен генерироваться из возможных тщател, KonstantinB (ok), 05:15 , 05-Ноя-17, (29) //

И, конечно, не лежать в пользовательском каталоге с uid пользователя - , KonstantinB (ok), 05:15 , 05-Ноя-17, (30) //

Скажу по секрету, даже если он будет принадлежать root, пользователь может его л, angra (ok), 20:22 , 05-Ноя-17, (44)

Разработчики решили замолчать это событие Примечательно что в оригинальной новос, Вася (??), 11:58 , 05-Ноя-17, (33)
Никто с нами не связывался по этому поводу Про уязвимость сообщили совсем недав, imperio (?), 12:40 , 05-Ноя-17, (34) –2
Проблема касается только связки nginx php-fpmСмотрите чтобы chown для auth con, imperio (?), 18:40 , 05-Ноя-17, (37) –3 //

chown root root нужен не только на файл auth conf и даже не только на директорию, Аноним (-), 00:05 , 06-Ноя-17, (47)

Лучше пока изменить chown для папки stats, imperio (?), 18:49 , 05-Ноя-17, (38) –5

Сообщения [Сортировка по времени | RSS]

24. "Уязвимость в панели управления хостингом Vesta, позволяющая ..." +/–

Сообщение от th3m3 (ok), 04-Ноя-17, 20:47

Ты загибаешь палку. Если на то пошло, можно написать утилиты автоматизации для типовых задач.
Я и не про детскую песочницу(хостинги) говорю.

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в панели управления хостингом Vesta, позволяющая ..." –1 +/–

Сообщение от пох (?), 04-Ноя-17, 22:27

> Я и не про детскую песочницу(хостинги) говорю.
лично я в недетской песочнице спокойно дам разработчику возможность править конфиги - самая серьезная диверсия, которую он может совершить, это стереть/изгадить собственную разработку, доступ к которой у него по определению есть. (правда, ему придется придумать, зачем оно ему надо, уж не ради конфигурирования авторизации точно) Да и конфиг будет, скорее всего, от веб-сервера, в котором кроме него никто не живет, поскольку это либо виртуалка, либо контейнер, какой дятел в недетской будет мешать разные проекты в один сервер?
"панели" нужны именно для old-style хостингов, когда эти "разработчики" во-первых, из разных недружественных контор, во-вторых, работают не из защищенного периметра офиса, а хз откуда, соответственно, пароли и логины еще и без конца утекают вообще левым кульхацкерам.
Ну и когда настройками вместо разработчика вообще рулит владелец сайта, далекий от всего этого - ему сказали куда нажать, он примерно туда и нажал.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	24. "Уязвимость в панели управления хостингом Vesta, позволяющая ..."	+/–
	Сообщение от th3m3 (ok), 04-Ноя-17, 20:47
	Ты загибаешь палку. Если на то пошло, можно написать утилиты автоматизации для типовых задач. Я и не про детскую песочницу(хостинги) говорю.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Уязвимость в панели управления хостингом Vesta, позволяющая ..."	–1 +/–
	Сообщение от пох (?), 04-Ноя-17, 22:27
	> Я и не про детскую песочницу(хостинги) говорю. лично я в недетской песочнице спокойно дам разработчику возможность править конфиги - самая серьезная диверсия, которую он может совершить, это стереть/изгадить собственную разработку, доступ к которой у него по определению есть. (правда, ему придется придумать, зачем оно ему надо, уж не ради конфигурирования авторизации точно) Да и конфиг будет, скорее всего, от веб-сервера, в котором кроме него никто не живет, поскольку это либо виртуалка, либо контейнер, какой дятел в недетской будет мешать разные проекты в один сервер? "панели" нужны именно для old-style хостингов, когда эти "разработчики" во-первых, из разных недружественных контор, во-вторых, работают не из защищенного периметра офиса, а хз откуда, соответственно, пароли и логины еще и без конца утекают вообще левым кульхацкерам. Ну и когда настройками вместо разработчика вообще рулит владелец сайта, далекий от всего этого - ему сказали куда нажать, он примерно туда и нажал.
	Ответить \| Правка \| Наверх \| Cообщить модератору