Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в WordPress-дополнении Contact Form 7, насчитывающем 5 млн установок, opennews (?), 18-Дек-20, (0) [смотреть все] отличная новость , хацкер (?), 13:25 , 18-Дек-20, (2) +9 // Оооо да , srgazh (ok), 19:19 , 20-Дек-20, (78) безопасность -- это не про похапешников, Аноним (3), 13:28 , 18-Дек-20, (3) +3 // Очень хотелось бы посмотреть на твои безопасные поделки если ими пользуется х, OpenEcho (?), 13:56 , 18-Дек-20, (8) +4 // А вот и классический 171 аргумент 187 171 Сперва добейся 187 подъехал , Аноним (3), 13:58 , 18-Дек-20, (9) +10 // Больше сказать нечего Я так и думал что у тебя поделок мильёнов на 5 поменьше б, OpenEcho (?), 14:38 , 18-Дек-20, (11) –5 Простое повторение 171 аргумента 187 171 Сперва добейся 187 не имеет ни, Аноним (3), 14:48 , 18-Дек-20, (12) +5 Но поделки ты нам так и не показал , microsoft (?), 21:20 , 18-Дек-20, (34) –2 Тот же 171 аргумент 187 , но под другим ником Это даже жалко , Аноним (36), 21:59 , 18-Дек-20, (36) +5 Ну так подумай Внимательно Человек потратил свое время, вложил свое думание , OpenEcho (?), 02:39 , 19-Дек-20, (44) –1 5,000,000,000 Больше половины населения планеты , Нате (?), 21:07 , 19-Дек-20, (72) Я скажу Дело в том, что порог вхождение в PHP ниже И его часто даже не учат, а, Аноним (17), 15:38 , 18-Дек-20, (17) Здесь вопрос не ПХП, и не в качестве кода, вполне возможно что тот японец вообщ, OpenEcho (?), 02:46 , 19-Дек-20, (45) +5 Ты просто не понимаешь скромности анонимов , InuYasha (??), 11:23 , 20-Дек-20, (76) И да, у поделок на той же Java не меньше пользователей, а скорее больше Если , Аноним (17), 15:40 , 18-Дек-20, (18) Посмотрев на нутро типичной поделки на Java под названием Jira и Confluence - не, Аноним (32), 18:26 , 18-Дек-20, (32) +7 Вопрос не измерении - у кого больше, толще и длинее , а в низости некоторых ко, OpenEcho (?), 02:53 , 19-Дек-20, (46) +1 в java тоже легко сесть в лужу при разборе строк Например из-за того что кодовы, Аноним (66), 16:35 , 19-Дек-20, (66) Да именно так Испражняться в комментариях любой олигофрен может, а писать безоп, Аноним (66), 16:27 , 19-Дек-20, (65) В том чем пользуется полтора человека никто не ищет уязвимости То чем пользуютс, VEG (ok), 15:36 , 18-Дек-20, (16) +11 // Но сохранять файлы по хэшу мы всё равно не будем , Ковид2024 (?), 16:34 , 18-Дек-20, (20) +4 Если им так много пользуются почему бы просто не подтянуть качество продукта, на, Аноним (36), 22:03 , 18-Дек-20, (37) +3 Ошибка допущена программистом, который писал обработчик входных данных При чём , Аноним Анонимович Анонимов (?), 17:26 , 18-Дек-20, (25) +10 // Действительно, а причем тут PHP Ибо я говорил не о PHP, а о похапешниках , Аноним (3), 18:07 , 18-Дек-20, (29) –3   // PHP мог вы увеличить дуракопрочность ака дуракобезопасность, но не стал этого де, Аноним (49), 10:51 , 19-Дек-20, (49) –5   Код на РНР python perl nodejs можно писать безопасным, только этому научиться сп, Аноним Анонимович Анонимов (?), 14:32 , 19-Дек-20, (54) +6   Ну напишите функцию валидации имени файла и пути, которая будет работать и в win, Аноним (66), 15:41 , 19-Дек-20, (59) –2   Во-первых, вы изначально подошли к вопросу неправильно Сами себя озадачиваете, , Аноним Анонимович Анонимов (?), 21:17 , 19-Дек-20, (73) +4   Видимо, сарказм подразумевался на слове программистом Хотя и да, человеку всё , Michael Shigorin (ok), 14:52 , 19-Дек-20, (55) –3 // Вы видимо не пишите код даже на php и по-этому не делаете ошибок , Аноним (66), 15:30 , 19-Дек-20, (58) –1 Вы конечно пишете код без ошибок А авторы подумали о том что могут быть ошибки и, Аноним (66), 15:26 , 19-Дек-20, (57) Никогда такого небыло, и вот, опять , Аноньимъ (ok), 13:38 , 18-Дек-20, (4) +3 // Сегодня еще не было , Аноним (6), 13:47 , 18-Дек-20, (6) +4 // Да было уже и не раз Не о каждой же из миллиона дыр новости делают Имхо, вордпре, Аноньимъ (ok), 13:51 , 18-Дек-20, (7) –2 Гыыы Тонко, тонко Не все поймут , Алекс (??), 17:26 , 18-Дек-20, (24) // Но ты понял и всем рассказал, вот он герой опнянета, microsoft (?), 21:23 , 18-Дек-20, (35) –1 А ты Майкрософт и ты, сам по себе, дыра в безопасности , Аноним (52), 13:13 , 19-Дек-20, (52) +3 На Раст надо было переписывать , Аноним (6), 13:47 , 18-Дек-20, (5) –2 Отличная новость Надеюсь, когда-нибудь это похоронят и на смену придёт нормальн, ДмитрийСССР (?), 14:00 , 18-Дек-20, (10) –2 // При разработке на нормальных CMS надо голову включать, а на WP можно всё делат, YetAnotherOnanym (ok), 14:53 , 18-Дек-20, (13) –1 Ты про Друпал ничего не слышал , ДимаРоссийскаяИмперия (?), 15:00 , 18-Дек-20, (14) +1 // Ну они не так уж и сильно отличаются https www cvedetails com product 4096 Wor, Бутерброд с рутением (?), 15:24 , 18-Дек-20, (15) –1 // ну кроме того, что у drupal чуть ли не наименьшее кол-во уязвимостей из всех, ск, Алеша (?), 17:44 , 18-Дек-20, (26) +1 но я не говорю что друпал конфетка, не подумайте ничего такого все это дерьмо и , Алеша (?), 17:57 , 18-Дек-20, (27) https www cvedetails com product 2387 Drupal-Drupal html, Дима (??), 18:03 , 18-Дек-20, (28) –7 и что, это как-то идет в разрез с тем что я сказал там как раз таки все подтверж, Алеша (?), 18:45 , 18-Дек-20, (33) +1 Про шестой слышал, про седьмой лучше бы уже не слышал А так -- TYPO3 , Michael Shigorin (ok), 14:53 , 19-Дек-20, (56) –1 // Что так с седьмым Говорят, там даже интеграцию с LDAP завезли , InuYasha (??), 11:27 , 20-Дек-20, (77) А имя давать в виде хэша нельзя , Ковид2024 (?), 16:33 , 18-Дек-20, (19) // Можно, но для современных борзописцев это слишком сложно , Аноним (38), 22:14 , 18-Дек-20, (38) +2 В самом унылом случае - просто dechex кодировать , Аноним (38), 22:15 , 18-Дек-20, (39) // bin2hex, Аноним (38), 22:15 , 18-Дек-20, (40) Это уже вторая критическая уязвимость в этом плагине на моей памяти , Аноним (21), 16:53 , 18-Дек-20, (21) // Юзаю этот плагин Увидел новость - сразу обновил на всех своих сайтах Впервые ме, BlackRot (ok), 22:49 , 18-Дек-20, (41) –1 // жаль , Led (ok), 20:06 , 19-Дек-20, (71) +3 Вся проблема в сишных дыренях говорили растоманы Вся проблема в указателях гово, Аноним (22), 17:15 , 18-Дек-20, (22) +2 Сколько раз говорилось ээээ обезьянкам - НЕ СОХРАНЯЙТЕ ФАЙЛЫ С ПЕРЕДАННЫМ , Аноним (32), 18:15 , 18-Дек-20, (30) // Ну конечно же, ведь файловая система - она ж точно не для сохранения имен файлов, пох. (?), 00:14 , 19-Дек-20, (42) –2 // А в вашу деревню PDO, видимо, не завезли Такие имена замечательно сохраняются , unuser (?), 12:19 , 19-Дек-20, (51) // в wordpress можно использовать PDO , Аноним (66), 16:07 , 19-Дек-20, (63) Это если не использовать дырявый сабж, то за использование при обработке пользов, unuser (?), 23:23 , 19-Дек-20, (74) Сферическая файловая система в вакууме - да Но у файловых систем у самих есть о, Аноним (38), 15:58 , 19-Дек-20, (60) // Есть, и что с того У sql тоже есть некоторые ограничения, если, конечно, не сра, пох. (?), 16:21 , 19-Дек-20, (64) Я не понял, выявили уязвимость в 5 3 2 или в 5 3 2 устранили уязвимость 5 3 2 , Атон (?), 18:17 , 18-Дек-20, (31) Nginx как я понимаю впролете с CMS, которые намертво прибиты к фичам типа htacce, Аноним (43), 01:16 , 19-Дек-20, (43) +1 // nginx и с динамикой без костылей типа unit или CGI в пролёте, так-то , Аноним (38), 15:59 , 19-Дек-20, (61) Как запускать wordpress в nginx от разработчиков wordpress https wordpress or, Аноним (66), 16:51 , 19-Дек-20, (69) А где уязвимость, если она неэксплуатируемая Уязвимость - она по определению эк, Аноним (47), 09:16 , 19-Дек-20, (47) // Ты не понимаешь это другое , Аноним (49), 10:49 , 19-Дек-20, (48) Где ты взял это определение уязвимости Я вот, допустим, ни разу не сталкивался , Ordu (ok), 10:55 , 19-Дек-20, (50) в nginx - php-fpm можно , Аноним (66), 16:36 , 19-Дек-20, (67) // если успеть путь к файлу подобрать, Аноним (66), 16:36 , 19-Дек-20, (68) но ведь это корректное имя файла Почему из него нужно разделитель вырезать и ка, Аноним (66), 16:06 , 19-Дек-20, (62) Постоянно идут новости про уязвимости WordPress С ним определённо что-то не так, Корец (?), 18:19 , 19-Дек-20, (70) // это потому, что на безопасном попыхе, с растом так же будет , Аноним (75), 05:10 , 20-Дек-20, (75) 2,3,4,5,10,19,21,22,30,31,43,47,62,70

Сообщения

[Сортировка по времени | RSS]

	29. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."	–3 +/–
	Сообщение от Аноним (3), 18-Дек-20, 18:07
	> При чём тут PHP? Действительно, а причем тут PHP? Ибо я говорил не о PHP, а о похапешниках:     «безопасность -- это не про похапешников»
	Ответить | Правка | Наверх | Cообщить модератору

	49. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."	–5 +/–
	Сообщение от Аноним (49), 19-Дек-20, 10:51
	PHP мог вы увеличить дуракопрочность ака дуракобезопасность, но не стал этого делать.
	Ответить | Правка | Наверх | Cообщить модератору

	54. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."	+6 +/–
	Сообщение от Аноним Анонимович Анонимов (?), 19-Дек-20, 14:32
	Код на РНР/python/perl/nodejs можно писать безопасным, только этому научиться сперва стоит. Неумение использовать инструмент приводит к ошибкам.
	Ответить | Правка | Наверх | Cообщить модератору

	59. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."	–2 +/–
	Сообщение от Аноним (66), 19-Дек-20, 15:41
	Ну напишите функцию валидации имени файла и пути, которая будет работать и в windows и в unix-like, при этом будет работать хотя бы в php 5.6 (а не 5.3 как wordpress поддерживал еще недавно) при этом будет пропускать имена допустимые в ос под которой выполняется (пробелы, \ в gnu/linux, что-то там в windows), национальные символы. а потом говорите про необученных похапешников. скорее всего у вас с 1 раза не получится, и со второго тоже и т.д.
	Ответить | Правка | Наверх | Cообщить модератору

	73. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."	+4 +/–
	Сообщение от Аноним Анонимович Анонимов (?), 19-Дек-20, 21:17
	Во-первых, вы изначально подошли к вопросу неправильно. Сами себя озадачиваете, а как быть в ситуации с пробелами или слешами. Вами допущена уже на начальном этапе ошибка проектирования. В комментариях верно написали, что файлам стоит присваивать хэш-сумму вместо имени, как вариант отличное решение. Если хотите использовать условно персидский язык или эмоджи в именах файлов - фильтруйте допустимые символы в именах файлов соответствующими диапазонами unicode. Во-вторых, озвученный вами функционал не является чем-то сложным. Через предопределённую константу PHP_OS определяем платформу switch(PHP_OS) case "WINNT", case "Linux"... Как определили платформу preg_replace(" здесь шаблон ", " заменяем или вырезаем ", $filename). В-третьих, можете почитать wordpress code reference. Там есть, например, вот такая функция https://developer.wordpress.org/reference/functions/sanitize.../
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема