forum.opennet.ru

"Уязвимость, позволяющая удалённо выполнить код на сервере PH..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Уязвимость, позволяющая удалённо выполнить код на сервере PH..."	+/–
Сообщение от пох (?), 30-Авг-18, 08:24
> Для безопасного вызова внешних бинарников есть семейство функций exec*, которые позволяют не > заботится об экранировании вообще и решить проблему принципиально обалдеть. Нет, дружище, это не решение проблемы. Это признание твоего неумения программировать, и перекладывание ее решения на других. Причем оно закрывает один узкий сегмент этой уязвимости, оставляя все остальные нараспашку, да еще и при ложной уверенности что ты сделал все правильно и можно уже не проверять данные из внешних источников. Молодец, так держать. И нет, надо не экранировать, а фильтровать. P.S. до кучи, еще один такой же звоночек - использование sn/strn вместо s/str - в надежде что уж тут-то буфер точно не переполнится.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость, позволяющая удалённо выполнить код на сервере PH..., opennews, 29-Авг-18, 22:44 [смотреть все]

Загадка что общего у дешёвого китайского роутера и крупнейшего репозитория паке, Китайский кулхацкер, 29-Авг-18, 22:44 (1) //
- Голая жопа торчащая в интернет , Аноним, 29-Авг-18, 23:07 (2)
Ну вот, мироздание опять пришло в равновесие А то непорядок, сайт на PHP был, а, anonymous, 30-Авг-18, 00:26 (4) //
- Прям бальзам Типичные пыхеры, с типичным решением , хоть кол на голове теши , anonymous, 30-Авг-18, 00:29 (5) //
  - То есть типичных рубистов и питонщиков мы игнорим, а пыхари-то козлы налажали П, Аноним, 30-Авг-18, 04:25 (10) //
    - Как скажешь Веб дерьмо и дерьмом останется Все кто пишут для веба нелюди Так , Аноним, 30-Авг-18, 06:09 (11)
      - Согласно концепции web2 0 ты сейчас тоже пишешь для веба Нежнее надо быть, Ан, Leah, 31-Авг-18, 00:24 (43)
    - Питонщиков, слава богу, приучили не пользоваться system и передавать аргументы м, anonymous, 30-Авг-18, 07:16 (15)
      - да-да, фильтровать untrusted data не надо, за вас позаботится массив аргументов , пох, 30-Авг-18, 08:20 (20)
        
        Я такого не говорил И фильтровать надо, и передавать массивом Безопасности мно, anonymous, 30-Авг-18, 08:32 (24)
Фееричный фикс Не удивлюсь, если они до сих пор не видят никаких проблем в само, Аноним, 30-Авг-18, 01:51 (7) //
- в самом использовании php, Отражение луны, 30-Авг-18, 02:11 (8) //
  - А что с PHP не так Мне правда интересно , istepan, 30-Авг-18, 06:24 (12) //
    - мне не менее интересно, что не так с system , если, конечно, не тянуть в параме, пох, 30-Авг-18, 07:02 (13)
      - Вот ты лалка, а таким спецом выставлялся, прям гуру админства и проектирования с, anonymous, 30-Авг-18, 07:13 (14)
        
        Да тут 99 такие и 99 не знают, как GNU расшифровывается , Агин, 30-Авг-18, 07:26 (16)
        
        Зато вы, как узнали, сразу илитой себя ощутили, да , Тот_Самый_Анонимус, 30-Авг-18, 18:19 (39)
        так оно у тебя ещё и зашифровано , Leah, 31-Авг-18, 00:31 (44)
        
        обалдеть Нет, дружище, это не решение проблемы Это признание твоего неумения пр , пох, 30-Авг-18, 08:24 (21)
        
        Ребята из Drupal могут много рассказать про их надежную многоуровневую фильтраци, anonymous, 30-Авг-18, 08:38 (25)
        
        в смысле У них ее отродясь как раз и не было - фильтруют где попало и когда поп, пох, 30-Авг-18, 10:39 (33)
        
        кстати, я тормоз - пишу про php, думаю про си впрочем, кажется, автор исходной , пох, 30-Авг-18, 10:34 (31)
      - Например, накладные расходы, связанные с запуском внешней программы, которых мож, Аноним, 30-Авг-18, 10:28 (29)
        
        предусмотренно, конечно, только если тебе надо из пехепе запустить, как тут, svn, пох, 30-Авг-18, 10:36 (32)
        
        А почему бы и нет Если на сайт заходят в день полтора анонимуса, можно и через , Аноним, 30-Авг-18, 14:12 (37)
    - Можно было бы заморочится в систему типов, введя безопасные и небезопасные строк, Аноним, 31-Авг-18, 14:25 (45)
Хипсталюбители тянуть всё автоматом из овнореп опять страдают Ну удивительно ж, Аноним, 30-Авг-18, 08:25 (23) //
- Вы не поверите, но тянуть автоматом из овнореп - это единственный путь, общий , Аноним, 30-Авг-18, 10:34 (30) //
  - Окей, корректировочка тянуть код автоматом из слабо верифицированных реп Дальш, Аноним, 30-Авг-18, 12:22 (35) //
    - Что, в принципе, тоже вполне себе модель разработки, имеющая доказанную примерам, Аноним, 30-Авг-18, 16:07 (38)
кек, трындеть все горазды, а вы бы лучше код свой показали, Аноним, 30-Авг-18, 08:45 (26)
Звучит так, как будто иметь возможность компрометации это ожидаемо, да вот баг м, Blind Vic, 30-Авг-18, 09:22 (27) //
- видимо это нужно понимать как при таком раздолбайстве со стороны разработчиков , Cradle, 30-Авг-18, 09:39 (28) //
  - а потом сраться в комментариях о гендере и прочем sjw, имя, 30-Авг-18, 12:38 (36)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру