forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения только ответов первого уровня		[ Отслеживать ]

Оглавление

Критическая уязвимость в обучающей среде Moodle , opennews (??), 22-Мрт-17, (0) [смотреть все]

прошло 22 года с первого релиза похапе В написанном на нём софте всё ещё на, Аноним (-), 12:24 , 22-Мрт-17, (3) +3 //

Будь мужиком, сделай достойную альтернативу без уязвимостей , Аноним (-), 12:37 , 22-Мрт-17, (4) –2 //

Давно уже сделали, это SQL с переменными связывания bind variables Но только , all_glory_to_the_hypnotoad (ok), 22:08 , 22-Мрт-17, (23) +4 //

Господи, ну что за страсть непременно строить велосипеды из костылей Достаточно , DeadLoco (ok), 23:58 , 23-Мрт-17, (32) –1

Не достаточно Во-первых, для пользования хранимками нужна хорошая СУБД умеющая н, all_glory_to_the_hypnotoad (ok), 00:23 , 24-Мрт-17, (33) +1

Почитайте на досуге К Дж Дейту До просветления Ну, или попейте капель для изгн, DeadLoco (ok), 01:12 , 24-Мрт-17, (34)

А подскажи язык, на котором нельзя написать софт с SQL инъекцией, iPony (?), 12:56 , 22-Мрт-17, (5) //

html, Аноним (-), 13:50 , 22-Мрт-17, (6) +4 //

Скорее даже CSS, потому как в HTML есть WebSocket , Аноним (-), 14:44 , 22-Мрт-17, (10)

В HTML нет websockets Они есть в HTML5, который стандарт не только языка размет, angra (ok), 15:36 , 22-Мрт-17, (12)

Почему же На html можно реализовать клеточный автомат с правилом 101, а на нем , Аноним (-), 20:15 , 22-Мрт-17, (21) –1

Тот, на котором вообще невозможна работа с sql Это же очевидно , angra (ok), 15:41 , 22-Мрт-17, (15) –3
Внезапно, Java Если не составлять запросы склеиванием строк, конечно , Аноним (-), 17:49 , 22-Мрт-17, (19) –2 //

Внезапно, на PHP точно такая же ситуация , angra (ok), 20:37 , 22-Мрт-17, (22) +2

А вот и нет В похапе даже это умудрились сделать через жопу https stackoverfl, Аноним (-), 00:57 , 23-Мрт-17, (25)

и причем тут php, если речь о mysql api причем в каком-то уникально уродливом , пох (?), 01:27 , 23-Мрт-17, (26) –1

Ты читать не умеешь , Аноним (-), 02:23 , 23-Мрт-17, (27)
Нет там речь именно о PHP Только непонятно, почему задокументированную фичу PDO, angra (ok), 12:06 , 23-Мрт-17, (31)

Непонятно с чего оппонент пытается выдать PDO за честные prepared statements, хо, Аноним (-), 14:19 , 24-Мрт-17, (36)

внезапно, под капотом всё равно может оказаться склеивание строк где тоже можно , all_glory_to_the_hypnotoad (ok), 22:15 , 22-Мрт-17, (24)

То ли дело С, которому уже скоро полтиник стукнет, а младенческие null pointer d, angra (ok), 15:39 , 22-Мрт-17, (14) –1 //

А они - не младенческие Это ошибки настоящих мужиков, а не простиоспЫдя рубиков, _ (??), 15:58 , 22-Мрт-17, (17) –1
Потому что головой надо думать а не другим местом Это, кстати, ко всем языкам о, Аноним (-), 04:27 , 23-Мрт-17, (28) //

Это ты сейчас мощно всех программистов на С обдал Оказывается они головой не ду, angra (ok), 12:02 , 23-Мрт-17, (30) +2

Господа а объясните мне кто-нибудь в чём суть дыры была А то я полез в коммит и , vitalif (ok), 15:55 , 22-Мрт-17, (16) –2
критическая уязвимость в Moodle позволила досрочно получить аттестаты за среднюю, DmA (??), 16:23 , 22-Мрт-17, (18) +3 //

Школьники же, небось, и писали Именно для того, чтобы аттестаты досрочно получи, YetAnotherOnanym (ok), 18:26 , 22-Мрт-17, (20) //

Если школьники находят уязвимости и могут написать эксплойт - я спокоен за это п, Аноним (-), 04:28 , 23-Мрт-17, (29) +2

Сообщения [Сортировка по времени | RSS]

3. "Критическая уязвимость в обучающей среде Moodle " +3 +/–

Сообщение от Аноним (-), 22-Мрт-17, 12:24

> критическая узявимость (CVE-2017-2641), позволяющая осуществить подстановку SQL-кода
> php
... прошло 22 года с первого релиза похапе. В написанном на нём софте всё ещё находили детские уязвимости...

Ответить | Правка | Наверх | Cообщить модератору
есть ответы, показать

16. "Критическая уязвимость в обучающей среде Moodle " –2 +/–

Сообщение от vitalif (ok), 22-Мрт-17, 15:55

Господа а объясните мне кто-нибудь в чём суть дыры была?
А то я полез в коммит и не очень понял суть фикса. Похоже они добавили очистку user preferenc'ов перед сохранением в базу.
Но то что у них там был injection говорит видимо о том, что они потом где-то в голом виде без экранирования в запросах используются??? И они это не стали править???

Ответить | Правка | Наверх | Cообщить модератору

18. "Критическая уязвимость в обучающей среде Moodle " +3 +/–

Сообщение от DmA (??), 22-Мрт-17, 16:23

критическая уязвимость в Moodle позволила досрочно получить аттестаты за среднюю школу первоклассникам :)

Ответить | Правка | Наверх | Cообщить модератору
есть ответы, показать

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

3. "Критическая уязвимость в обучающей среде Moodle "	+3 +/–
Сообщение от Аноним (-), 22-Мрт-17, 12:24
> критическая узявимость (CVE-2017-2641), позволяющая осуществить подстановку SQL-кода > php ... прошло 22 года с первого релиза похапе. В написанном на нём софте всё ещё находили детские уязвимости...
Ответить \| Правка \| Наверх \| Cообщить модератору

16. "Критическая уязвимость в обучающей среде Moodle "	–2 +/–
Сообщение от vitalif (ok), 22-Мрт-17, 15:55
Господа а объясните мне кто-нибудь в чём суть дыры была? А то я полез в коммит и не очень понял суть фикса. Похоже они добавили очистку user preferenc'ов перед сохранением в базу. Но то что у них там был injection говорит видимо о том, что они потом где-то в голом виде без экранирования в запросах используются??? И они это не стали править???
Ответить \| Правка \| Наверх \| Cообщить модератору

18. "Критическая уязвимость в обучающей среде Moodle "	+3 +/–
Сообщение от DmA (??), 22-Мрт-17, 16:23
критическая уязвимость в Moodle позволила досрочно получить аттестаты за среднюю школу первоклассникам :)
Ответить \| Правка \| Наверх \| Cообщить модератору