forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Уязвимость в WordPress-дополнении Contact Form 7, насчитывающем 5 млн установок, opennews (?), 18-Дек-20, (0) [смотреть все]

отличная новость , хацкер (?), 13:25 , 18-Дек-20, (2) +9 //

Оооо да , srgazh (ok), 19:19 , 20-Дек-20, (78)

безопасность -- это не про похапешников, Аноним (3), 13:28 , 18-Дек-20, (3) +3 //

Очень хотелось бы посмотреть на твои безопасные поделки если ими пользуется х, OpenEcho (?), 13:56 , 18-Дек-20, (8) +4 //

А вот и классический 171 аргумент 187 171 Сперва добейся 187 подъехал , Аноним (3), 13:58 , 18-Дек-20, (9) +10 //

Больше сказать нечего Я так и думал что у тебя поделок мильёнов на 5 поменьше б, OpenEcho (?), 14:38 , 18-Дек-20, (11) –5

Простое повторение 171 аргумента 187 171 Сперва добейся 187 не имеет ни, Аноним (3), 14:48 , 18-Дек-20, (12) +5

Но поделки ты нам так и не показал , microsoft (?), 21:20 , 18-Дек-20, (34) –2

Тот же 171 аргумент 187 , но под другим ником Это даже жалко , Аноним (36), 21:59 , 18-Дек-20, (36) +5

Ну так подумай Внимательно Человек потратил свое время, вложил свое думание , OpenEcho (?), 02:39 , 19-Дек-20, (44) –1

5,000,000,000 Больше половины населения планеты , Нате (?), 21:07 , 19-Дек-20, (72)

Я скажу Дело в том, что порог вхождение в PHP ниже И его часто даже не учат, а, Аноним (17), 15:38 , 18-Дек-20, (17)

Здесь вопрос не ПХП, и не в качестве кода, вполне возможно что тот японец вообщ, OpenEcho (?), 02:46 , 19-Дек-20, (45) +5

Ты просто не понимаешь скромности анонимов , InuYasha (??), 11:23 , 20-Дек-20, (76)

И да, у поделок на той же Java не меньше пользователей, а скорее больше Если , Аноним (17), 15:40 , 18-Дек-20, (18)

Посмотрев на нутро типичной поделки на Java под названием Jira и Confluence - не, Аноним (32), 18:26 , 18-Дек-20, (32) +7
Вопрос не измерении - у кого больше, толще и длинее , а в низости некоторых ко, OpenEcho (?), 02:53 , 19-Дек-20, (46) +1
в java тоже легко сесть в лужу при разборе строк Например из-за того что кодовы, Аноним (66), 16:35 , 19-Дек-20, (66)

Да именно так Испражняться в комментариях любой олигофрен может, а писать безоп, Аноним (66), 16:27 , 19-Дек-20, (65)

В том чем пользуется полтора человека никто не ищет уязвимости То чем пользуютс, VEG (ok), 15:36 , 18-Дек-20, (16) +11 //

Но сохранять файлы по хэшу мы всё равно не будем , Ковид2024 (?), 16:34 , 18-Дек-20, (20) +4
Если им так много пользуются почему бы просто не подтянуть качество продукта, на, Аноним (36), 22:03 , 18-Дек-20, (37) +3

Ошибка допущена программистом, который писал обработчик входных данных При чём , Аноним Анонимович Анонимов (?), 17:26 , 18-Дек-20, (25) +10 //

Действительно, а причем тут PHP Ибо я говорил не о PHP, а о похапешниках , Аноним (3), 18:07 , 18-Дек-20, (29) –3 //

PHP мог вы увеличить дуракопрочность ака дуракобезопасность, но не стал этого де, Аноним (49), 10:51 , 19-Дек-20, (49) –5

Код на РНР python perl nodejs можно писать безопасным, только этому научиться сп, Аноним Анонимович Анонимов (?), 14:32 , 19-Дек-20, (54) +6

Ну напишите функцию валидации имени файла и пути, которая будет работать и в win, Аноним (66), 15:41 , 19-Дек-20, (59) –2

Во-первых, вы изначально подошли к вопросу неправильно Сами себя озадачиваете, , Аноним Анонимович Анонимов (?), 21:17 , 19-Дек-20, (73) +4

Видимо, сарказм подразумевался на слове программистом Хотя и да, человеку всё , Michael Shigorin (ok), 14:52 , 19-Дек-20, (55) –3 //

Вы видимо не пишите код даже на php и по-этому не делаете ошибок , Аноним (66), 15:30 , 19-Дек-20, (58) –1

Вы конечно пишете код без ошибок А авторы подумали о том что могут быть ошибки и, Аноним (66), 15:26 , 19-Дек-20, (57)

Никогда такого небыло, и вот, опять , Аноньимъ (ok), 13:38 , 18-Дек-20, (4) +3 //

Сегодня еще не было , Аноним (6), 13:47 , 18-Дек-20, (6) +4 //

Да было уже и не раз Не о каждой же из миллиона дыр новости делают Имхо, вордпре, Аноньимъ (ok), 13:51 , 18-Дек-20, (7) –2
Гыыы Тонко, тонко Не все поймут , Алекс (??), 17:26 , 18-Дек-20, (24) //

Но ты понял и всем рассказал, вот он герой опнянета, microsoft (?), 21:23 , 18-Дек-20, (35) –1

А ты Майкрософт и ты, сам по себе, дыра в безопасности , Аноним (52), 13:13 , 19-Дек-20, (52) +3

На Раст надо было переписывать , Аноним (6), 13:47 , 18-Дек-20, (5) –2
Отличная новость Надеюсь, когда-нибудь это похоронят и на смену придёт нормальн, ДмитрийСССР (?), 14:00 , 18-Дек-20, (10) –2 //

При разработке на нормальных CMS надо голову включать, а на WP можно всё делат, YetAnotherOnanym (ok), 14:53 , 18-Дек-20, (13) –1
Ты про Друпал ничего не слышал , ДимаРоссийскаяИмперия (?), 15:00 , 18-Дек-20, (14) +1 //

Ну они не так уж и сильно отличаются https www cvedetails com product 4096 Wor, Бутерброд с рутением (?), 15:24 , 18-Дек-20, (15) –1 //

ну кроме того, что у drupal чуть ли не наименьшее кол-во уязвимостей из всех, ск, Алеша (?), 17:44 , 18-Дек-20, (26) +1

но я не говорю что друпал конфетка, не подумайте ничего такого все это дерьмо и , Алеша (?), 17:57 , 18-Дек-20, (27)
https www cvedetails com product 2387 Drupal-Drupal html, Дима (??), 18:03 , 18-Дек-20, (28) –7

и что, это как-то идет в разрез с тем что я сказал там как раз таки все подтверж, Алеша (?), 18:45 , 18-Дек-20, (33) +1

Про шестой слышал, про седьмой лучше бы уже не слышал А так -- TYPO3 , Michael Shigorin (ok), 14:53 , 19-Дек-20, (56) –1 //

Что так с седьмым Говорят, там даже интеграцию с LDAP завезли , InuYasha (??), 11:27 , 20-Дек-20, (77)

А имя давать в виде хэша нельзя , Ковид2024 (?), 16:33 , 18-Дек-20, (19) //

Можно, но для современных борзописцев это слишком сложно , Аноним (38), 22:14 , 18-Дек-20, (38) +2
В самом унылом случае - просто dechex кодировать , Аноним (38), 22:15 , 18-Дек-20, (39) //

bin2hex, Аноним (38), 22:15 , 18-Дек-20, (40)

Это уже вторая критическая уязвимость в этом плагине на моей памяти , Аноним (21), 16:53 , 18-Дек-20, (21) //

Юзаю этот плагин Увидел новость - сразу обновил на всех своих сайтах Впервые ме, BlackRot (ok), 22:49 , 18-Дек-20, (41) –1 //

жаль , Led (ok), 20:06 , 19-Дек-20, (71) +3

Вся проблема в сишных дыренях говорили растоманы Вся проблема в указателях гово, Аноним (22), 17:15 , 18-Дек-20, (22) +2
Сколько раз говорилось ээээ обезьянкам - НЕ СОХРАНЯЙТЕ ФАЙЛЫ С ПЕРЕДАННЫМ , Аноним (32), 18:15 , 18-Дек-20, (30) //

Ну конечно же, ведь файловая система - она ж точно не для сохранения имен файлов, пох. (?), 00:14 , 19-Дек-20, (42) –2 //

А в вашу деревню PDO, видимо, не завезли Такие имена замечательно сохраняются , unuser (?), 12:19 , 19-Дек-20, (51) //

в wordpress можно использовать PDO , Аноним (66), 16:07 , 19-Дек-20, (63)

Это если не использовать дырявый сабж, то за использование при обработке пользов, unuser (?), 23:23 , 19-Дек-20, (74)

Сферическая файловая система в вакууме - да Но у файловых систем у самих есть о, Аноним (38), 15:58 , 19-Дек-20, (60) //

Есть, и что с того У sql тоже есть некоторые ограничения, если, конечно, не сра, пох. (?), 16:21 , 19-Дек-20, (64)

Я не понял, выявили уязвимость в 5 3 2 или в 5 3 2 устранили уязвимость 5 3 2 , Атон (?), 18:17 , 18-Дек-20, (31)
Nginx как я понимаю впролете с CMS, которые намертво прибиты к фичам типа htacce, Аноним (43), 01:16 , 19-Дек-20, (43) +1 //

nginx и с динамикой без костылей типа unit или CGI в пролёте, так-то , Аноним (38), 15:59 , 19-Дек-20, (61)
Как запускать wordpress в nginx от разработчиков wordpress https wordpress or, Аноним (66), 16:51 , 19-Дек-20, (69)

А где уязвимость, если она неэксплуатируемая Уязвимость - она по определению эк, Аноним (47), 09:16 , 19-Дек-20, (47) //

Ты не понимаешь это другое , Аноним (49), 10:49 , 19-Дек-20, (48)
Где ты взял это определение уязвимости Я вот, допустим, ни разу не сталкивался , Ordu (ok), 10:55 , 19-Дек-20, (50)
в nginx - php-fpm можно , Аноним (66), 16:36 , 19-Дек-20, (67) //

если успеть путь к файлу подобрать, Аноним (66), 16:36 , 19-Дек-20, (68)

но ведь это корректное имя файла Почему из него нужно разделитель вырезать и ка, Аноним (66), 16:06 , 19-Дек-20, (62)
Постоянно идут новости про уязвимости WordPress С ним определённо что-то не так, Корец (?), 18:19 , 19-Дек-20, (70) //

это потому, что на безопасном попыхе, с растом так же будет , Аноним (75), 05:10 , 20-Дек-20, (75)

Сообщения [Сортировка по времени | RSS]

42. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..." –2 +/–

Сообщение от пох. (?), 19-Дек-20, 00:14

Ну конечно же, ведь файловая система - она ж точно не для сохранения имен файлов.
Сколько ж вас, идиотов...
P.S. да, сохраняйте имена в тазе банных. Как вам, кстати, мой файл "image.gif'; delete * from users" ?

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..." +/–

Сообщение от unuser (?), 19-Дек-20, 12:19

А в вашу деревню PDO, видимо, не завезли? Такие имена замечательно сохраняются.

Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..." +/–

Сообщение от Аноним (66), 19-Дек-20, 16:07

в wordpress можно использовать PDO?

Ответить | Правка | Наверх | Cообщить модератору

74. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..." +/–

Сообщение от unuser (?), 19-Дек-20, 23:23

Это если не использовать дырявый сабж, то за использование при обработке пользовательских запросов mysql_ и mysqli_, место pdo, сечь розгами. Да и в wordpress никто не запрещает, вместо wpdb использовать pdo, обращаясь к бд напрямую, правда, с потерей некоторой функциональности.
А для сабжа есть wpdb::prepare(...) и кто не использует, тот сам себе злобный Буратино.

Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..." +/–

Сообщение от Аноним (38), 19-Дек-20, 15:58

Сферическая файловая система в вакууме - да. Но у файловых систем у самих есть ограничения по содержимому имён - это раз, а два - имена могут быть любые, и вовсе не обязательно давать те, что могут внезапно стать исполняемыми или "не вписаться в стандарт ОС/FS/софта".

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

64. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..." +/–

Сообщение от пох. (?), 19-Дек-20, 16:21

> Но у файловых систем у самих есть ограничения по содержимому имён
Есть, и что с того? У sql тоже есть некоторые ограничения, если, конечно, не сразу в blob эти имена складывать.
Намек был - что user input валидировать надо в _любом_ случае - и проявления фантазии ограничивать, а за попытки типа предложенной - и вовсе сразу блокировать учетку, поскольку ничего хорошего от такого юзера ждать не приходится - не найдет дырку здесь, поищет рядом -и рано или поздно таки добьется своего.
При этом файловая система посложнее msdos fat - вполне таки пригодна и эффективная для сохранения имен файлов вместе с файлами, без необходимости плодить сущности и создавать новые уязвимости в другом месте. Она вообще-то именно для этого и предназначена. Причем ее писали люди, чья квалификация явно повыше типового phpшника будет.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	42. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."	–2 +/–
	Сообщение от пох. (?), 19-Дек-20, 00:14
	Ну конечно же, ведь файловая система - она ж точно не для сохранения имен файлов. Сколько ж вас, идиотов... P.S. да, сохраняйте имена в тазе банных. Как вам, кстати, мой файл "image.gif'; delete * from users" ?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."	+/–
	Сообщение от unuser (?), 19-Дек-20, 12:19
	А в вашу деревню PDO, видимо, не завезли? Такие имена замечательно сохраняются.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	63. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."	+/–
	Сообщение от Аноним (66), 19-Дек-20, 16:07
	в wordpress можно использовать PDO?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	74. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."	+/–
	Сообщение от unuser (?), 19-Дек-20, 23:23
	Это если не использовать дырявый сабж, то за использование при обработке пользовательских запросов mysql_ и mysqli_, место pdo, сечь розгами. Да и в wordpress никто не запрещает, вместо wpdb использовать pdo, обращаясь к бд напрямую, правда, с потерей некоторой функциональности. А для сабжа есть wpdb::prepare(...) и кто не использует, тот сам себе злобный Буратино.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	60. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."	+/–
	Сообщение от Аноним (38), 19-Дек-20, 15:58
	Сферическая файловая система в вакууме - да. Но у файловых систем у самих есть ограничения по содержимому имён - это раз, а два - имена могут быть любые, и вовсе не обязательно давать те, что могут внезапно стать исполняемыми или "не вписаться в стандарт ОС/FS/софта".
	Ответить \| Правка \| К родителю #42 \| Наверх \| Cообщить модератору


	64. "Уязвимость в WordPress-дополнении Contact Form 7, насчитываю..."	+/–
	Сообщение от пох. (?), 19-Дек-20, 16:21
	> Но у файловых систем у самих есть ограничения по содержимому имён Есть, и что с того? У sql тоже есть некоторые ограничения, если, конечно, не сразу в blob эти имена складывать. Намек был - что user input валидировать надо в _любом_ случае - и проявления фантазии ограничивать, а за попытки типа предложенной - и вовсе сразу блокировать учетку, поскольку ничего хорошего от такого юзера ждать не приходится - не найдет дырку здесь, поищет рядом -и рано или поздно таки добьется своего. При этом файловая система посложнее msdos fat - вполне таки пригодна и эффективная для сохранения имен файлов вместе с файлами, без необходимости плодить сущности и создавать новые уязвимости в другом месте. Она вообще-то именно для этого и предназначена. Причем ее писали люди, чья квалификация явно повыше типового phpшника будет.
	Ответить \| Правка \| Наверх \| Cообщить модератору