forum.opennet.ru

"OpenNews: Новая уязвимость в PHP раскрывает двери спамерам"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Ссылки "<<" и ">>" открывают первые и последние 10 сообщений.

"OpenNews: Новая уязвимость в PHP раскрывает двери спамерам"	+/–
Сообщение от opennews (?), 08-Апр-07, 14:48
В PHP 5.2.1 и 5.2.0 обнаружена возможность (http://www.securityfocus.com/bid/23359) вставки символа новой строки через email адрес переданный в функцию отправки сообщения. Ошибка в regex выражении для проверки валидности email адреса в фильтре ext/filter (функция filter_var с параметром FILTER_VALIDATE_EMAIL), позволяет добавить дополнительные заголовки в тело письма, что может быть использовано для массовой рассылки спама через различные web-формы. Проблема связана с отсутствием D модификатора в сочетании с символом проверки конца строки $ (если поставить \n - то выражение после \n не попадет в область видимости регулярного выражения) в PCRE выражениях используемых в ext/filter, также отмечается, что ошибка типична для большого числа скриптов в которых используется функция preg_match(). URL: http://www.securityfocus.com/bid/23359 Новость: https://www.opennet.ru/opennews/art.shtml?num=10401
Ответить \| Правка \| Cообщить модератору

Оглавление

OpenNews: Новая уязвимость в PHP раскрывает двери спамерам, opennews, 08-Апр-07, 14:48 [смотреть все]

Уже даже не смешно , Keeper, 08-Апр-07, 19:04 (2)
Как они уже заеб ли уже со своими дырами, а , Dyr, 08-Апр-07, 19:24 (3)
Хм для этой уязвимости необходимо чтобы выполнились условия1 PHP 5 2 x2 Испо, Аноним, 08-Апр-07, 20:21 (4) //
- 1Хотя, безусловно, новость - не из приятных , Spec, 09-Апр-07, 06:36 (7)
Супер - , GraywinD, 08-Апр-07, 20:22 (5)
Честно говоря я не очень понял в чём заключается уязвимость такая прям страшная , aTz, 08-Апр-07, 23:30 (6) //
- Я так понял, что после n можно скрипт хитрый напихать и он выполнится , SubGun, 09-Апр-07, 10:56 (8)
О фильтрах ещё даже мало кто знает пока, не говоря уже об использовании , bolk, 09-Апр-07, 11:53 (9)
А что мешает использовать собственный валидатор Религия не позволяет Как прави, Iscander, 09-Апр-07, 17:24 (10) //
- А еще через пару месяцев, когда программист становится НОРМАЛЬНЫМ он прекращает , Anatoliy, 11-Апр-07, 14:14 (17)
Esli kazhdiy budet pisat sobstvenniy validator mi daleko ne uidem v etom mire , lopux, 09-Апр-07, 18:08 (11)
Больше всего меня улыбает читая новости на опеннете, это очередные вести о дырка, Аноним, 09-Апр-07, 23:27 (12)
Коллеги, просвятите плз - это на mod_php как-то распостраняется , bugzilla, 10-Апр-07, 10:53 (13)
Одним смешно, другим не смешно http www google com codesearch q FILTER_, Аноним, 10-Апр-07, 11:24 (14) //
- А ты preg_match ищи Results 1 - 10 of about 49,300 FILTER_VALIDATE_EMAIL лишь о, Антон, 10-Апр-07, 12:32 (15) //
  - Вполне согласен, достаточно просто от этого защититься filter_var trim var , FI, balex, 12-Апр-07, 11:08 (18)
filter_var это такое нововведение в PHP5 , Apocalepse, 10-Апр-07, 23:58 (16)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру