- Раскрыты детали уязвимости в WordPress 5.0.0, Аноним, 14:07 , 20-Фев-19 (1) –5 [V]
- Раскрыты детали уязвимости в WordPress 5.0.0, Аноним, 14:17 , 20-Фев-19 (2) +2
- Раскрыты детали уязвимости в WordPress 5.0.0, Аноним, 14:26 , 20-Фев-19 (5) +10 [^]
- Раскрыты детали уязвимости в WordPress 5.0.0, Аноним Анонимович, 15:45 , 20-Фев-19 (15)
- Раскрыты детали уязвимости в WordPress 5.0.0, пп, 23:36 , 20-Фев-19 (39)
- Раскрыты детали уязвимости в WordPress 5.0.0, Аноним, 14:19 , 20-Фев-19 (3)
- Раскрыты детали уязвимости в WordPress 5.0.0, Анончик999999, 14:52 , 20-Фев-19 (8)
- Раскрыты детали уязвимости в WordPress 5.0.0, Аноним, 15:20 , 20-Фев-19 (10) +3
- Раскрыты детали уязвимости в WordPress 5.0.0, Аноним3, 15:26 , 20-Фев-19 (11) –2
- Раскрыты детали уязвимости в WordPress 5.0.0, YetAnotherOnanym, 16:47 , 20-Фев-19 (21)
- Раскрыты детали уязвимости в WordPress 5.0.0, нах, 16:58 , 20-Фев-19 (24)
- Раскрыты детали уязвимости в WordPress 5.0.0, Аноном, 17:16 , 20-Фев-19 (26)
- Раскрыты детали уязвимости в WordPress 5.0.0, Vitaliy Blats, 12:56 , 22-Фев-19 (79)
> Ээээ.. а зачем вообще такой функционал - декодить картинку в код? Кто-нибудь может подсказать вменяемый юзкейс для такого?О, я тебе подскажу целых три юзкейса. Ну, в чем смысл ты понимаешь, да? У тебя в каталоге ./uploads/ лежит безобидный файлик favicon.ico, на который всем насpать, пушо это картинка. А потом в дырявом файлике темы functions.php у тебя лежит строчка @include('./uploads/favicon.ico'); или более хитропопые варианты как через GD: eval(gunzip(gd_бла_бла_бла('./uploads/favicon.ico'))) А потом: 1. Твой Hetzner тебя банит за то что твой VPS создает слишком жирную активность криптомайнером. Ты теряешь бабло на засуспенженом хостинге, а кто-то получает бабло на намайненной крипте за твой счет; 2. Твой Hetzner тебя банит за то что с твоего IP было отправлено 50000 enlargeyourpenisoв за последние 24 часа. Ты теряешь бабло на забаненном хостинге, а кому-то заплатили по 10 центов за каждый отправленный email; 3. Твой Hetzner тебя банит за то что с твоего IP был отправлен миллион ICMP-пакетов нестандартной длины кому-то на аплинк. Ты как обычно теряешь бабло, а кто-то получает 10 косарей бакинских за час DDOS'а, используя зомбей вроде твоего Вордпресса. После чего тебе дают рекавери (пушо сеть уже отключена) и ты анализируешь файл за файлом, все несколько тысяч PHP-гогнокода в поисках малваря, но не находишь его, а поискать в картинках у тебя не хватит догадливости. Вот тебе юзкейс.
- Раскрыты детали уязвимости в WordPress 5.0.0, Аноном, 17:14 , 20-Фев-19 (25)
- Раскрыты детали уязвимости в WordPress 5.0.0, Аноним, 17:49 , 20-Фев-19 (27) +1
- Раскрыты детали уязвимости в WordPress 5.0.0, th3m3, 18:00 , 20-Фев-19 (28) +2
- Раскрыты детали уязвимости в WordPress 5.0.0, robot228, 22:35 , 20-Фев-19 (36) +2
- Раскрыты детали уязвимости в WordPress 5.0.0, Аноним, 00:30 , 21-Фев-19 (41)
- Раскрыты детали уязвимости в WordPress 5.0.0, трурль, 09:46 , 21-Фев-19 (50)
- Раскрыты детали уязвимости в WordPress 5.0.0, domov0y, 10:31 , 21-Фев-19 (51)
- Раскрыты детали уязвимости в WordPress 5.0.0, нах, 10:59 , 21-Фев-19 (57)
- Раскрыты детали уязвимости в WordPress 5.0.0, трурль, 15:35 , 21-Фев-19 (70)
- Раскрыты детали уязвимости в WordPress 5.0.0, трурль, 15:38 , 21-Фев-19 (71)
- Раскрыты детали уязвимости в WordPress 5.0.0, Vitaliy Blats, 14:04 , 22-Фев-19 (81)
> Кстати, неплохая идея хранить пользовательские файлы на диске с хэшированными именамиПока что-то не наенбется, и не понадобится это отыскать среди нескольких тысяч файлов с непонятными именами. Переменным и файлам лучше давать осмысленные структурированные имена. Иначе эти имена вообще не нужны, можно тупо брать HEX-заголовок из ФС.
- Раскрыты детали уязвимости в WordPress 5.0.0, Аноним, 09:38 , 23-Фев-19 (82)
- Раскрыты детали уязвимости в WordPress 5.0.0, Аноним, 20:51 , 27-Фев-19 (83)
|