Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Критическая уязвимость в платформе электронной коммерции Magento, opennews (?), 17-Фев-22, (0) [смотреть все] это что за костыль , полураспад (?), 11:07 , 17-Фев-22, (1) –2 // Шел похапешник по _REQUEST Видит - eval и include простаивают без дела Вз, Аноним (3), 11:28 , 17-Фев-22, (3) +30 // Хорошая шутка , bugmenot (??), 13:53 , 17-Фев-22, (18) А я всегда отправляю пользовательский ввод в eval, без всяких там фильтров И да, Аноним (28), 11:33 , 18-Фев-22, (28) Фильтрация входных данных это не костыль, Аноним (7), 12:18 , 17-Фев-22, (7) +3 // Фильтрация ниправильных символов - это именно костыль Который выскальзывает и, пох. (?), 13:16 , 17-Фев-22, (10) +1 Судя по регулярному выражению какие-то сырые данные протекают в шаблонизатор и, userd (ok), 16:29 , 17-Фев-22, (23) +1   // Ну да, не ограничивать же данные допустимыми символами сразу на входе Это не по, . (?), 17:17 , 17-Фев-22, (24)   Что, опять страдания по типизации Или отрицательное количество посчитали D, InuYasha (??), 11:23 , 17-Фев-22, (2) –4 // Зачем, когда можно просто попытаться их выполнить как код Вдруг там что хорошее, пох. (?), 14:00 , 17-Фев-22, (19) +4 Дыркомагнито http www opennet ru keywords magento html, Michael Shigorin (ok), 11:32 , 17-Фев-22, (4) +5 // Классный злодей в людях-Х, Аноним (5), 11:38 , 17-Фев-22, (5) // В людях xxx разве что, Дормидонт (?), 13:29 , 17-Фев-22, (12) // Люди xxy, kusb (?), 13:43 , 17-Фев-22, (17) Подождите, я что-то не понял Magento, Mageia, и Manjaro -- это разное , Аноним (6), 12:01 , 17-Фев-22, (6) –1 // Угу Даже не однофамильцы , ryoken (ok), 12:51 , 17-Фев-22, (8) +6 Сидели вместе , Аноним (9), 12:59 , 17-Фев-22, (9) +2 Есть ещё магнетто - движок для портала dcpp, kusb (?), 13:40 , 17-Фев-22, (14) +1 Ясна панятна , жявамэн (ok), 18:14 , 17-Фев-22, (25) // Вот жабам бы не квакать , Аноним (27), 02:31 , 18-Фев-22, (27) +3 1,2,4,6,25

Сообщения

[Сортировка по времени | RSS]

	23. "Критическая уязвимость в платформе электронной коммерции Mag..."	+1 +/–
	Сообщение от userd (ok), 17-Фев-22, 16:29
	Судя по регулярному выражению какие-то сырые данные "протекают" в шаблонизатор и там могут выполняться как код. Template injection. Правильное исправление требует времени, поскольку нужно найти все проблемные места, а пока только простая затычка.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	24. "Критическая уязвимость в платформе электронной коммерции Mag..."	+/–
	Сообщение от . (?), 17-Фев-22, 17:17
	Ну да, не ограничивать же данные допустимыми символами сразу на входе. Это не по пацански!
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема