The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в PHP, позволяющая обойти ограничения, заданные в php.ini"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в PHP, позволяющая обойти ограничения, заданные в php.ini"  +/
Сообщение от opennews (??), 07-Окт-21, 09:57 
Опубликован метод обхода в интерпретаторе PHP ограничений, заданных при помощи директивы disable_functions и других настроек в php.ini. Напомним, что директива disable_functions даёт возможность запретить использование в скриптах определённых внутренних функций, например можно запретить "system, exec, passthru, popen, proc_open и shell_exec" для блокирования вызова внешних программ, "eval" для защиты от выполнения строк с PHP-кодом и fopen для запрета открытия файлов...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55935

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +10 +/
Сообщение от Аноним (1), 07-Окт-21, 09:57 
>разработчикам PHP было сообщено более 10 лет назад, но они посчитали её несущественной проблемой, не влияющей на безопасность.

Ну вот шо это такое? И вот опять...

Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +5 +/
Сообщение от nelsonemail (??), 07-Окт-21, 10:09 
> Ну вот шо это такое?

"Философия" PHP.

Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от InuYasha (??), 07-Окт-21, 15:50 
Философия ПХП: "Давайте пыхнем" )
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  –25 +/
Сообщение от QwertyReg (ok), 07-Окт-21, 11:09 
А кому это надо-то? Мёртвый язык.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

58. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +1 +/
Сообщение от Аноним (58), 07-Окт-21, 18:44 
Пффф. Сотня другая компаний экономит на программистах нанимая школоту на пыхе
Я бы даже сказал что это определенного отметка качества компании
Если вижно что сайт на пыхе то сразу понятно многое
Ответить | Правка | Наверх | Cообщить модератору

73. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +5 +/
Сообщение от fg (??), 08-Окт-21, 02:09 
И что же тебе понятно?
Что в каждом первом сервисном центре работают далеко не сертифицированные гении.
Или что в каждой первой больничке доктора далеко не светила медицины
Или что не каждый электрик знаком с дифференциальным закомом ома

Че ты чушь несешь, давай перестреляем всех плохих специалистов, а оставшиеся будут обслуживать 5% населения, а остальные будут сидеть при лучине и со шкур псалмы читать, вот тогда то заживем..

Ответить | Правка | Наверх | Cообщить модератору

88. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от kissmyass (?), 08-Окт-21, 18:56 
знаю несколько контор которые дурные деньги влили в проекты на пхп, но код да получился говном все равно
Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

100. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +1 +/
Сообщение от Онаним (?), 09-Окт-21, 23:00 
Да, всего-то каких-то 75-80% вёба, если верить w3c. Без тенденции на понижение, чуть волатилен, но уже много лет всё те же 70-80%.

Я бы сказал, он единственный живой, при таком раскладе.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

106. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  –1 +/
Сообщение от QwertyReg (ok), 11-Окт-21, 15:04 
> Да, всего-то каких-то 75-80% вёба, если верить w3c. Без тенденции на понижение,
> чуть волатилен, но уже много лет всё те же 70-80%.
> Я бы сказал, он единственный живой, при таком раскладе.

Да давайте уж 100%, чего вы. 100% всего веба работает на мёртвом языке.

Ответить | Правка | Наверх | Cообщить модератору

112. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Онаним (?), 11-Окт-21, 23:06 
Ну я же говорю, ошибка в исходном посыле, поэтому ёрничай - не ёрничай, а фак есть фак.
Ответить | Правка | Наверх | Cообщить модератору

114. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Онаним (?), 11-Окт-21, 23:19 
График на W3C выглядит для всех кроме PHP вообще печально. Особенно для MS.
https://w3techs.com/technologies/history_overview/programmin...
Жива пожалуй только жаба, ну и народ как-то с ASP.NET стал переползать не только на PHP, но и на рельсы, поэтому у рельс внезапно неожиданный ренессанс из могилы, но надолго ли.
Ответить | Правка | К родителю #106 | Наверх | Cообщить модератору

23. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  –1 +/
Сообщение от arzeth (ok), 07-Окт-21, 13:05 
И вот опять: https://bugs.php.net/bug.php?id=73122 пофиксили 2021-08-18 спустя сообщения 2016-09-20 и присвоения CVE в 2017-11-13. То есть 1793 дня (4.91 года) не фиксили.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

60. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Умпа (?), 07-Окт-21, 19:02 
>> Ну вот шо это такое? И вот опять...

Пили на Си. Вот дался тебе этот ПХП. Проходи мимо.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

62. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +3 +/
Сообщение от Аноним (62), 07-Окт-21, 20:26 
>>разработчикам PHP было сообщено более 10 лет назад, но они посчитали её несущественной проблемой, не влияющей на безопасность.
>Ну вот шо это такое? И вот опять...

Ну так для php и не должно влиять на безопасность - тут вам не js и не nodejs, тащить к себе х пойми что и исполнять как-то не принято.
А ограничения на использование функций исключительно для себя же и накладывают.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

63. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +1 +/
Сообщение от Аноним (62), 07-Окт-21, 20:30 
Ах, да  поделки вроде вордрпесс забыл
Там как раз левый код плагинов исполняют на ура
Но их за нормальных программистов вроде и не считают
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  –1 +/
Сообщение от привет (ok), 07-Окт-21, 10:00 
еваль в пхп это не функция, запретить через эту конструкцию нельзя ( можно модулем ), однако, workaround есть какой нить? Весьма печальный баг
Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +2 +/
Сообщение от Аноним (11), 07-Окт-21, 11:29 
Это бессмысленно, есть миллион способов обойти такие запреты.
Надо запускать от изолированного пользователя в чруте (php-fpm умеет).
От взлома же макакокода типа вордпресс-плагинов не обезопасит ничто, вопрос в том чтобы ущерб был изолирован.
Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  –1 +/
Сообщение от привет (ok), 07-Окт-21, 13:03 
пару скиньте способов обойти запрещеные функции (из миллиона) не используя
уязвимостей. Я запишу и буду иметь их ввиду (условие - я могу загрузить свой код на шаред, допустим), open_basedir естественно задействован.

Мне реально интересно тк есть шареды.


Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Аноним (35), 07-Окт-21, 14:59 
Открыть файл в tmpdir, sessiondir или вообще в php://memory, записать туда код, проинклюдить.
Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Аноним (35), 07-Окт-21, 15:00 
Для shared единственное решение с учетом необходимости поддержки htaccess - mpm itk.
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

37. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Аноним (35), 07-Окт-21, 15:04 
Ещё можно просто записать в сессию и проинклюдить session file, полный путь к нему вычисляется легко.

Ограничения типа openbasedir обходятся разными стримами, тем же imap+file:/

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

40. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  –2 +/
Сообщение от привет (ok), 07-Окт-21, 15:21 
> Ещё можно просто записать в сессию и проинклюдить session file, полный путь
> к нему вычисляется легко.
> Ограничения типа openbasedir обходятся разными стримами, тем же imap+file:/

долгоже вы гуглили.

сессии на шаредах никто не хранит в файлах, для этого есть специальные обработчики.
tmpdir на шаредах тоже у каждого свой.

imap ? Речь полагаю о CVE-2018-19518 ?

вообщем нет никаого мильона - это все громкие необдуманный слова
и зачем было минусовать первый месседж, что это вам дало?

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +2 +/
Сообщение от Аноним (35), 07-Окт-21, 15:54 
Я ничего не минусовал.
Какая разница, свой или чужой tmpdir? Главное чтобы было куда записать. На большинстве хостов вообще всегда можно найти куда, какой-нибудь upload dir с выставленными туда 777, потому что в наркоманской схеме с modphp под юзером капча иначе никак.
Шареды, где сессии не в файлах, можно пересчитать по пальцам.
CVE тот, а сколько ещё стрим врапперов в php? Вы лично все проверили?

Подход с modphp под апачевым юзером и попытки заткнуть дыру фиговым листком в виде open basedir и disabled functions - это как пытаться перечислить места, где в общаге могут спрятать незаконные вещества. Да везде могут.

Либо itk, либо fpm с отдельными пулами, чрутом и каким-нибудь эмулятором htaccess. Все остальное - дыра по определению.

Ответить | Правка | Наверх | Cообщить модератору

98. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Онаним (?), 09-Окт-21, 22:54 
itk, да. Лучше пока не придумано.
fpm можно, но в рамках шареда это обречено :D
Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Аноним (35), 07-Окт-21, 16:04 
Гуглить мне нафиг не надо, это такие школохостеры гуглят идиотские списки для disabled functions, выпиливая безобидные функции типа parse_ini_file, но оставляя create_function или proc_open. А задизейблить reflection вообще никому в голову не придёт, потому что все di-контейнеры поотваливаются типа ларавела, но через ReflectionFunction прекрасно делается eval.

Короче, дайте название вашего хостинга, чтобы обходить стороной. Не то, чтобы мне когда-либо в жизни понадобился шаред, но чтобы хоть люди знали.

Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

96. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Онаним (?), 09-Окт-21, 22:52 
Самое поганое - это выпиливание set_time_limit().
Пара новых клиентов таки нарвалась и ноет, но раз давно собирался - на днях буду все версии движка на шаредах патчить, чтобы функция не выпиливалась, но и лимит не меняла.
Ответить | Правка | Наверх | Cообщить модератору

97. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Онаним (?), 09-Окт-21, 22:53 
(preload с эмуляцией не предлагать - это отдельные грабли)
Ответить | Правка | Наверх | Cообщить модератору

111. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Онаним (?), 11-Окт-21, 23:00 
Слепил мелкопатч, добавляющий опцию strict_time_limit, в три строчки, не считая пустой.

Для 8.0 тут: https://pastebin.com/t8DszAH2
Для остальных лепится по образу и подобию.

Не забываем заодно патчить флаги переменных для ini_set, иначе можно будет объехать через ini_set('max_execution_time'), а отключать ini_set - ну так себе затея, его каждый второй для display_errors использует.

Ответить | Правка | К родителю #96 | Наверх | Cообщить модератору

113. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Онаним (?), 11-Окт-21, 23:09 
С другой стороны флаги можно не патчить, а просто забить как admin_value, но я предпочитаю на хостингах оба действия сразу, для надёжности.
Ответить | Правка | Наверх | Cообщить модератору

99. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Онаним (?), 09-Окт-21, 22:57 
Сессии на шаредах как раз и хранят в файлах в основном. Потому что это единственный вариант с предсказуемой совместимостью.

Всё остальное налетает на проблему с блокировкой этих самых сессий, если её нет - сюрпризов будет море. Я как-то подкостыливал сессии в MySQL с блокировкой через сам MySQL, но мне не понравилось, надо лишний коннект держать всё исполнение, а MySQL не резиновый.

Как вариант ещё хранить в каком-нибудь KV (memcached например), а блокировать продолжать пустыми файлами, но пока лень возиться с доработкой, всё и так работает.

Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

104. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от привет (ok), 11-Окт-21, 10:52 
использую как раз memcached, где это возможно, с проблемами вроде не сталкивался (форумы, разного рода шареды, просто хостинги)
тут, конечно, мильон экспертов локалхоста, но у меня еще и винты шифрованы, потому
иметь большое кол-во мелких и вообщем то ненужных файлов не слишком эффективно для io (на мой, конечно, взгляд), зачем, когда можно иначе.
Ответить | Правка | Наверх | Cообщить модератору

105. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Онаним (?), 11-Окт-21, 14:08 
Большинство типового софта на PHP ожидает, что сессия будет блокирующая, и пишет состояние по ходу всего выполнения, получается транзакция. Где не надо - выдаётся session_write_close() эксплицитно. Если сессия неблокирующая - два параллельных сеанса запишут сериализованные данные сессии в неизвестном порядке, более поздняя сессия может отписать данные раньше более ранней, и данные от поздней сессии будут потеряны. Слишком явного проявления у данной фигни может не быть, но более свежие данные от последнего запроса могут теряться.
Ответить | Правка | Наверх | Cообщить модератору

107. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от привет (ok), 11-Окт-21, 15:06 
тут Вы правы, такое действительно может случится, особенно если в сессии счетчики всякие и тп, я как то не сталкивался с подобной проблемой, но информация очень полезна - спасибо,
вообще идеально конечно поюзать редис для этих дел (там есть своя блокировка)
Ответить | Правка | Наверх | Cообщить модератору

108. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Онаним (?), 11-Окт-21, 18:27 
С редисом то же самое, что с мускулем - придётся коннект удерживать всё время выполнения скрипта, до session_write_close() или завершения. Короче либо файл, либо пара сокетов к RDBMS/DDBMS/KVDBMS, хрен редьки не слаще. Всё зависит от того, где узкое место.
Ответить | Правка | Наверх | Cообщить модератору

109. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Онаним (?), 11-Окт-21, 18:27 
(пара сокетов - в смысле один на запрос на клиенте, один на запрос на сервере)
Ответить | Правка | Наверх | Cообщить модератору

110. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Онаним (?), 11-Окт-21, 18:31 
Ну и с DBMS обычно выходит неприятно, если они кластерные - нетранзакционные блокировки типа мускульного GET_LOCK() как правило действительны только в пределах ноды, а транзакционные блокировки в кластерных RDBMS как правило разрешаются через lock timeout на коммите, что в случае сессий уже слегка поздновато.
Ответить | Правка | К родителю #107 | Наверх | Cообщить модератору

4. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  –8 +/
Сообщение от Аноним (4), 07-Окт-21, 10:13 
>в предложенном эксплоите используется уязвимость, о которой разработчикам PHP было сообщено более 10 лет назад, но они посчитали её несущественной проблемой, не влияющей на безопасность

Ну вот. Пхп безопасен, говорили они. Это код макак говорили они  цукер все вылизал, уповали они...

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +2 +/
Сообщение от anonymous (??), 07-Окт-21, 12:38 
Кто говорил, что PHP безопасен? А в Facebook изначально культивировались move fast and break things и лишь несколько лет назад приоритеты поменялись. Кроме того в Facebook используют Hack, а не PHP.
Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Сцукенберг (?), 07-Окт-21, 12:46 
Так в НАШЕЙ hhvm никаких уязвимостей и не найдено!
Мои макаки все вылизали, сперва еще и хвостами подметя.

Но не для вас.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

24. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  –1 +/
Сообщение от n00by (ok), 07-Окт-21, 13:10 
Хвостиком задели, оно и упало.
Ответить | Правка | Наверх | Cообщить модератору

67. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от пох. (?), 07-Окт-21, 21:53 
Ну ведь безопастно же ж!
Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  –1 +/
Сообщение от Нанобот (ok), 07-Окт-21, 10:32 
а не проще будет открыть /proc/self/mem на запись и пропатчить интерпретатор на игнорирование disable_functions?
Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  –1 +/
Сообщение от Аноним (7), 07-Окт-21, 10:59 
Такой себе баг конечно... Я не представляю кому в нынешние времена вообще может потребоваться disabled_functions. Я бы эту фичу лет 5 назад уже deprecated сделал бы.
Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  –3 +/
Сообщение от Аноним (4), 07-Окт-21, 13:13 
И почему фанатики всегда говорят: такой себе баг конечно...
И ни в какую не хотят видеть, что строян есть и давно был?
Ответить | Правка | Наверх | Cообщить модератору

115. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Аноним (115), 12-Окт-21, 22:40 
Не знаю кто там чего говорит, я просто изначально считаю бредом возможность отключать какие-то функции и классы языка средствами самого же языка, я такого вообще нигде кроме пыха не видел. Во времена шаред-хостингов оно может и имело какой-то смысл, но сейчас когда всё в контейнерах по большей части крутиться у всех да в виртуалках нафига чё-то там ограничивать. Формально это баг, да, но на деле я таковым его не считаю, как видимо и разработчики php судя по давности дней )
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +3 +/
Сообщение от Вежливое сообщество ROSA Linux (?), 07-Окт-21, 11:13 
Немедленно требуем прекратить публикацию подобных новостей!

После них сервер НАШЕГО Научного Технического Центра становится частью ботнета!

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +2 +/
Сообщение от Аноним (12), 07-Окт-21, 11:30 
Пишите на Rust - самый безопасный язык с вежливым сообществом.
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +5 +/
Сообщение от Вежливое сообщество ROSA Linux (?), 07-Окт-21, 11:35 
Что значит "пишите"? У нас открытое и сообщество! Скорее становитесь активистом и присылайте пулл-реквест!
Ответить | Правка | Наверх | Cообщить модератору

89. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Аноним (89), 08-Окт-21, 18:56 
Нет ни одной темы чтобы кто-то не нагадил этой карозией.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

10. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +2 +/
Сообщение от Аноним (11), 07-Окт-21, 11:13 
Тот, кто пользуется disabled_functions и думает, что это "безопасно" - сам себе злобный буратино.

Давно уже в php-fpm есть возможность запускать изолированные пулы.

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от gogo (?), 07-Окт-21, 13:02 
Толку изолировать пулы, когда злоумышленники могут исполнить свой код?
Как только получается исполнить код, дальше уже все просто.
Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  –1 +/
Сообщение от Аноним (35), 07-Окт-21, 14:57 
Используя пхп, надо исходить из того, что исполнится там любой код. Задача минимизировать ущерб.
Ответить | Правка | Наверх | Cообщить модератору

103. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Онаним (?), 11-Окт-21, 09:55 
Для себя (для "ручных" проектов) disabled_functions значения не имеет.
А на шаредах без оных никуда.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

14. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  –1 +/
Сообщение от Ilya Indigo (ok), 07-Окт-21, 11:38 
Когда они уже догадаются эти костыли disable_functions и disable_classes вообще выкинуть!
Ну какой смысл запрещать system и exec, кроме как доставить геморрой пользователю в результате неожиданного поведения, ввиде запретов этих ф-ий?
Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Sw00p aka Jerom (?), 07-Окт-21, 13:30 
>Ну какой смысл запрещать system и exec

чтобы не исполнять ничего внешнего, кроме самого пхп кода. Мне интересно, почему они эти функции в отдельный подключаемый модуль не вывели до сих пор, а сделали костыль со списком отключаемых функций, который как показывает практика себя не оправдывает.

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Ilya Indigo (ok), 07-Окт-21, 13:56 
>>Ну какой смысл запрещать system и exec
> чтобы не исполнять ничего внешнего, кроме самого пхп кода.

А если нужно в веб-интерфейсе админки:
- получить список crontab, а иногда изменить его?
- получить список и кол-во запущенных процессов pgrep -cf чтобы не плодить больше одного и подключаться к существующему, на котором крутится, например, паблишер на redis для SSE, а если его нет, то запустить?
- получить статус systemd-юнита на котором крутится или redis или websockets и при желании запустить или остановить их?
- изменить режим доступа загружаемых файлов и создаваемых миниатюр? (дать права на чтение/запись группе, chmod тоже системный вызов)

Это только то, что мне нужно было и что без системных вызовов сделать невозможно!

На баше, жабаскрипте, луа, пёрле. пихоне, руби, жабе есть вообще такой функционал обрезания собственного хвоста, в результате чего любой код станет непредсказуемым, ведь запретить можно что угодно, даже например, ф-ии implode()/explode() и класс Exeption?

Предполагаю что нет, такое недоразумение я встретил только в PHP.

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Sw00p aka Jerom (?), 07-Окт-21, 18:30 
>А если нужно в веб-интерфейсе админки:

админки чего? если у вас панель управления сервером на пхп - ок, значить туда по определению будет ограниченный доступ.

пс: а скрипт эксплоита чет не сработал у меня

Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +1 +/
Сообщение от Ilya Indigo (ok), 07-Окт-21, 19:04 
>>А если нужно в веб-интерфейсе админки:
> админки чего? если у вас панель управления сервером на пхп - ок,

Админки сайта.
Ну например, если используется SSE для сообщений или обновления страницы в реальном времени, да ещё и крон для каких-то задач, обычно связанных с очисткой, у меня это типичный веб-проект. и как минимум, контролировать их работу (ну статус что какой-то скрипт или сервис запущен и что в кроне присутствуют такие-то задачи) нужно через админку.
У меня язык не поворачивается это назвать управлением сервера, даже если нужно запускать и останавливать что-то или изменять крон-задачи.

Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Sw00p aka Jerom (?), 07-Окт-21, 21:37 
> У меня язык не поворачивается это назвать управлением сервера, даже если нужно
> запускать и останавливать что-то или изменять крон-задачи.

админ тогда для чего нужен?


Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Ilya Indigo (ok), 07-Окт-21, 21:39 
>> У меня язык не поворачивается это назвать управлением сервера, даже если нужно
>> запускать и останавливать что-то или изменять крон-задачи.
> админ тогда для чего нужен?

Админ сайта а не сервера. :-)

Ответить | Правка | Наверх | Cообщить модератору

74. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Аноним (74), 08-Окт-21, 05:35 
На shared-хостингах где режут функции, крона тоже обычно нет. Нет крона, нет и потребности с ним взаимодействовать. SSE на php у которого время выполнения запроса от Apache ограничено 30 секундами и запрещён запуск демонов? Забудьте. Сайт на зарезанном shared хостинге это только файлы и локальная база-данных, доступа к крону, файлам за пределами директории сайта, сети быть не может. Функции режут только на Ultra low cost хостингах.
Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

87. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +1 +/
Сообщение от Онаним (?), 08-Окт-21, 18:42 
Для всего вышеперечисленного есть VPS'очки, но там порожек вхождения немножко другой.
А тем, кто VPS'очкой баловаться не хочет - обычно не нужен никакой крон, они его и готовить-то не умеют.
Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  –1 +/
Сообщение от Аноним (15), 07-Окт-21, 11:45 
>Предложенный метод атаки основан на изменении значений параметров в памяти процесса

Действительно, несущественная атака. Если у вас есть возможность модифицировать саму виртуальную машину, контролирующую безопасность, то о какой безопасности можно вести речь?

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  –2 +/
Сообщение от Ананоним (?), 07-Окт-21, 11:55 
Шо, опять?
Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +4 +/
Сообщение от Массоны Рептилоиды (?), 07-Окт-21, 12:03 
Аноним: PHP, у вас дыра в безопасности!
PHP: Хоршо, что у нас хоть что-то в безопасности.
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от gogo (?), 07-Окт-21, 12:30 
если злоумышленник может выполнить этот код, то какая разница, запрещены какие-то функции или нет?
Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Sw00p aka Jerom (?), 07-Окт-21, 13:32 
>если злоумышленник может выполнить этот код

ну код пхп и исполнения внешнего бинарника - разные понятия.

Ответить | Правка | Наверх | Cообщить модератору

80. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Редкий уебок (?), 08-Окт-21, 12:42 
Внешний код можно и через FFI вызвать.
Ответить | Правка | Наверх | Cообщить модератору

83. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Sw00p aka Jerom (?), 08-Окт-21, 13:41 
> Внешний код можно и через FFI вызвать.

ну так в пхп это отключаемый модуль, который появился относительно недавно.

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Аноним (26), 07-Окт-21, 13:24 
to big to fail ....
Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Gemorroj (ok), 07-Окт-21, 13:42 
поправили, кстати https://github.com/php/php-src/commit/15197702888f0641c1e9f6...
а вообще, как выше упоминалось, полагаться на disable_functions само по себе глупость.
Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Аноним (4), 07-Окт-21, 14:09 
Здравствуйте. Меня зовут Вадик, мне 9 лет. Я очень хочу стать хакером, потому что мне поставили двойку и мне нужно ее удалить. Потому что мама будет ругать и не даст денег на поход в аквапарк с друзьями.
Дневник электронный написан на php. Подскажите что делать и как быть! Буду очень благодарен за помощь!
Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +3 +/
Сообщение от suffix (ok), 07-Окт-21, 14:23 
Дорогой Вадик !

Несколько дней внимательно понаблюдай за папой и 100% ты увидишь места где он прячет заначку. Возьмёшь оттуда 10 тысяч рублей (больше не бери - папа заметит !) и относишь учительнице прося удалить двойку - уверен что она не откажет такому смышлённому мальчику.

Хороошего тебе отдыха в аквапарке !

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +1 +/
Сообщение от Аноним (4), 07-Окт-21, 15:11 
Уважаемый suffix, спасибо Вам за предложение! И у Вас классная аватарка!
Но воровать у мамы деньги - это не хорошо! Это в двойне мне будет больно, когда вскроется пропажа. Да и у мамы на карточке все.

Я хотел бы попробовать по-взрослому исправить ошибку и разобраться по-мужски. Мне мама говорит, что мужчина должен решать проблемы сам. Поэтому я пришел к вам и обратился за помощью.

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Вежливое сообщество ROSA Linux (?), 07-Окт-21, 14:36 
Вадик! Вышла НАША новейшая ОС ROSA 12, она полностью готова для дома! Расскажи учительнице про важность суверенитета. Что бы его обеспечить, она должна установить её на компьютер с дневником и протестировать. Так у тебя останутся папины 10 тысяч и одноклассники тебе ещё добавят! В качестве благодарности добровольно пожертвуй их НАМ!
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

39. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Аноним (4), 07-Окт-21, 15:19 
Уважаемое сообщество вежливых пользователей Rosa Linux, зачем дома? Сервер с электронным дневники в гороно находится. Мария Ивановна (учительница) не сможет там его установить. У нее полномочий таких нет. Хоть она и учитель по информатике, но говорит все время про windows,и что он лучше всех. Потому что windows честно зарабатывают, а все эти спо, которые ее заставляет кто-то изучать, они не честные.

У меня нет ни 10тыс ни папы. Он ушел от нас, сказав, что ответственность - это слишком сложно и ему приятнее ходить с друзьями в баню. Собрал свои принадлежности для укладки бороды и ушел.

Я конечно Вам очень благодарен, но чтобы пожертвовать, надо это сперва получить.

Как мне исправить оценку в дневнике на php? Я готов отдать 5 тыс из маминого вознаграждения на аквапарк!

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Вежливое сообщество ROSA Linux (?), 07-Окт-21, 15:51 
Вадик! Гороно - это ещё лучше. Расскажи им про важность суверенитета. Что бы его обеспечить, они должны установить новейшую ОС ROSA 12 на все компьютеры и протестировать. И про учительницу, которая не понимает важность суверенитета, расскажи. Тогда одноклассники не только добавят за дневник, но и оплатят твой поход в аквапарк. А мамины 5 тысяч пожертвуешь нам, главное - добровольно, тогда всё будет честно, без обмана.
Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Аноним (4), 07-Окт-21, 16:08 
Вежливое сообщество ROSA Linux, а в данном случае суверенитет кого от кого, я не очень понимаю?
Вот в этом слове Linux и даже Rosa не русские буквы. Мне интуиция подсказывает, что-то тут не так!
Я не хочу денег одноклассников. Мне нравится девочка Оля, она сидит со мной за одной партой. Я хочу отвести ее в аквапарк. Как это будет выглядеть, когда она будет знать, что весь класс на это скинулся.
Она говорит о том, что ей нравятся благородные и честные рыцари на белых пони.
Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Вежливое сообщество ROSA Linux (?), 07-Окт-21, 16:33 
Вадик! Решай, что для тебя важнее: понять, или девочка Оля. Решил? Вот и молодец! Просто повторяй про важность суверенитета! Расскажи в гороно, что ROSA означает Russian Operation System & Application. Рашн, значит Российская, и этим всё сказано! Если же будут дальше противиться, назови их либералами! Это удар ниже пояса, он сработает! Вот где настоящее хакерство - социальная инженерия, а не какой-то там php! Великий Кевин Митник написал про это книгу. Потом объяснишь Оле, что класс не скинулся, а ты честно заработал на Любителях Опенсорсной Халявы своим умом!
Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Аноним (4), 07-Окт-21, 16:58 
Вежливое сообщество ROSA Linux, я начинаю потихоньку понимать, к чему Вы клоните. К нам дядя приходит на внеклассные занятия и рассказывает, как плохо быть либералом.
Но мы с пацанами ниже пояса не бьем, когда в столовке за булочку спорим. Только в лицо ну или в солнышко.
С заработком понял. Дядю Кевина Митника почитаю!
Но как быть с наказанием от мамы?
Ведь Оля в бикини так близка, а тут угол и горох. :(
Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Вежливое сообщество ROSA Linux (?), 07-Окт-21, 17:19 
> Вежливое сообщество ROSA Linux, я начинаю потихоньку понимать, к чему Вы клоните.
> К нам дядя приходит на внеклассные занятия и рассказывает, как плохо
> быть либералом.
> Но мы с пацанами ниже пояса не бьем, когда в столовке за
> булочку спорим. Только в лицо ну или в солнышко.

Так ты же не ногой ударил, значит за удар не считается! Просто сказал, взломал защиту этих упёртых луддитов.

> С заработком понял. Дядю Кевина Митника почитаю!
> Но как быть с наказанием от мамы?
> Ведь Оля в бикини так близка, а тут угол и горох. :(

Забудь про наказание! Когда гороно установят НАШУ новейшую ОС ROSA 12 и протестируют, во всём городе двойки исчезнут! Подумай только! Можно смотреть не только на Олю, у любой девочки не будет двоек!

Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Аноним (4), 07-Окт-21, 17:34 
>Так ты же не ногой ударил, значит за удар не считается! Просто сказал, взломал защиту этих упёртых луддитов.

А вот это уже хак, спасибо! Буду знать!

>во всём городе двойки исчезнут! Подумай только! Можно смотреть не только на Олю, у любой девочки не будет двоек!

Но если двойки исчезнут у всех, то какой смысл Оле смотреть на меня? Или другим девочкам?

А что за такая распрекрамная новейшая ОС ROSA 12? Чем она принципиально отличается скажем от Альт Линукс К рабочей станции 9? Если я ее себе поставлю, я смогу сделать чтобы двойки исчезали у кого я захочу?
Или наоборот что-то у меня будет исчезать?

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Вежливое сообщество ROSA Linux (?), 07-Окт-21, 18:03 
>>Так ты же не ногой ударил, значит за удар не считается! Просто сказал, взломал защиту этих упёртых луддитов.
> А вот это уже хак, спасибо! Буду знать!

Правильно, это как топором, если будут упираться. Если хочешь аккуратнее, скажи им, что надо помочь потестировать, у нас любят помогать.

>>во всём городе двойки исчезнут! Подумай только! Можно смотреть не только на Олю, у любой девочки не будет двоек!
> Но если двойки исчезнут у всех, то какой смысл Оле смотреть на
> меня? Или другим девочкам?

Потому что ты великий хакер и спас всех от двоек. Только скажи Оле заранее.

> А что за такая распрекрамная новейшая ОС ROSA 12? Чем она принципиально
> отличается скажем от Альт Линукс К рабочей станции 9? Если я
> ее себе поставлю, я смогу сделать чтобы двойки исчезали у кого
> я захочу?
> Или наоборот что-то у меня будет исчезать?

ОС ROSA 12 полностью готова для дома, на днях вышел RC1. НАШ инженер по качеству ROSA Linux Володий Потапов обещал где-то вначале следующей недели релиз. Потом два года надо её тестировать. И только после этого начнутся продажи. Значит что? В ней хватает ошибок. При тестировании в гороно исчезнут двойки и всё остальное, но никто не виноват. Ты молодец, агитировал за суверенитет. А если бы что-то делал с сервером, это нарушения уголовного кодекса.

Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +2 +/
Сообщение от Аноним (4), 07-Окт-21, 18:49 
Уважаемое Вежливое сообщество ROSA Linux, пообщавшись с Вами я сегодня многое понял.

Я вижу вы умное сообщество, деловое! Знаете как суверенитетом торговать. И ведь действительно на этом можно заработать и спасибо, что оказали честь влиться в ваши стройные ряды!

Но! Сегодня я продам суверенитет. Отведу Олю в аквапарк.
Завтра Оля скажет, что хочет своего собственного пони, мне что делать? Маму продавать?
А потом Оля захочет в Артек на лето, мне кого или что продавать?
Нет, так дело не пойдет.

Я понял, что двойка - это моя заслуга и получил я ее для того, чтобы ощутить на себе всю последовательность факторов, от небрежного отношения к своей работе, которая сейчас для меня учеба.
Я честно отстою свои два часа в углу на горохе, помогу Оле донести тяжелый портфель после уроков, а аквапарк подождет до лучих времен.

Я изучу информатику, математику и другие предметы, чтобы стать хакером, когда стану взрослым. С тем чтобы ловить тех, кто продает наш суверенитет и подвергать их суровому но справедливому суду, который к тому времени я думаю таковым станет.

Потому что Оль, и прочего много, а мама и суверенитет одни.

Всем спасибо за советы и что уделили мне время!

Ответить | Правка | Наверх | Cообщить модератору

90. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от n00by (ok), 09-Окт-21, 11:16 
> Я изучу информатику, математику и другие предметы, чтобы стать хакером, когда стану
> взрослым.

Не обижайся, Вадик, но не судьба. "Хакер" способен сам найти информацию.

Изучай лучше химию. Катализ, ректификацию, вот это вот всё. Тогда тебе не придётся торговать суверенитетом и глупо палиться на баражничестве штатовского газолина по цене бенза, как одному здешнему пустозвону, за державу обиженному.

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Аноним (4), 07-Окт-21, 17:03 
А еще подскажите, почему название все на английском языке?
Почему не Русская Операционная Система и Аппликации? Вот смотрю машины все uaz patriot, lada vesta, lada niva travel итд.
Мне вот не понятные эти взрослые игры в суверенитет. У мамы вот лада нива, там по-русски еще написано все. Вот русская машина. До сих пор бегает, хотя 90х годов выпуска. И по-русски называется. А вот что не нашими буквами, оно какое-то все не надежное. Это как-то связано с этим суверенитетом?
Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

54. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +2 +/
Сообщение от Вежливое сообщество ROSA Linux (?), 07-Окт-21, 17:31 
Вадик, будь мужиком, ты уже сделал правильный выбор! Не трать время на ерунду! Тебя ждут Оля и будущее без двоек!
Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  –2 +/
Сообщение от СеменСеменыч777 (?), 07-Окт-21, 16:01 
дорогой Вадик.

есть очень специальные дяди, которые за определенные виды услуг дадут тебе денег на аквапарк, на мороженное, на смузи и на многое еще. если дядя высокопоставленный, то с его помощью можно сделать хорошую карьеру: в зеленом банке, в юриспруденции, в ЗАО "РПЦ", в силовых структурах, в госуправлении, в искусстве и даже в науке (нет, в ИТ не получится).

а двойка - да плевать на нее. хакерство - тяжелый и неблагодарный труд, если слишком успешно хакерить чужие деньги, то можно попасть в тюрьму или к силовикам на кукан.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

47. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +1 +/
Сообщение от Аноним (4), 07-Окт-21, 16:17 
Уважаемый СеменСеменыч777

>есть очень специальные дяди, которые за определенные виды услуг дадут тебе денег на аквапарк, на мороженное, на смузи и на многое еще. если дядя высокопоставленный

Я не понимаю что это за специальные дяди и что мне за это надо делать!
Раз Вы знаете, наверное сами это делали. Расскажите пожалуйста!

>а двойка - да плевать на нее

Это Вам плевать, а меня мама будет в углу держать на горохе пару часов и выговаривать неприятные вещи.
А я с Олечкой в аквапарк хочу. Хочу посмотреть на нее в купальнике. Мне вот это интересно!

>хакерство - тяжелый и неблагодарный труд, если слишком успешно хакерить чужие деньги, то можно попасть в тюрьму или к силовикам на кукан.

Я плохо учился на информатике и теперь нужно тяжело и неблагодарно потрудиться, чтобы исправить положение. Я не хочу чужие деньги! Я хочу мамины плюс не стоять в углу. И Олечку хочу порадовать.
Неужели за какуб-то двойку меня посадят в тюрьму? Тем более я в новости прояитал, что решить мою задачу вроде бы просто. Вон сколько лет эксплойт был. А наши пожилые администраторы в гороно они любят старые программы. Новые версии не ставят, говорят, что это не нужно. Поэтому я уверен, что этот эксплойт справится.
Подскажите, где его найти и как с его помощью 2 исправить на 5?!

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  –2 +/
Сообщение от СеменСеменыч777 (?), 07-Окт-21, 16:35 
дорогой Вадик.

я подумал над твоими вопросами. и вот что предлагаю: идешь в церковь, ищещь там священника который самый красивый, ухоженный и чтобы от него хорошо пахло, подходишь к нему и говоришь: здравствуйте, я Вадик, мне 9 лет, хочу тоже стать священником. что мне для этого надо делать ? кроме того мне не хватает денег на православные книжки с картинками (про аквапарк и Олечку говорить не надо !), что я мог сделать для этого прямо сейчас ?

то же самое - к чиновникам-госуправленцам, только на что не хватает денег - придумай сам. чем выше должность тем лучше. к остальным с улицы лучше не лезть, могут не понять.

если ты правильно выбрал дядю-спонсора (называется "папик"), то он тебе сам все покажет, расскажет и научит.

а ко мне лучше не приставай, я не по этим делам.

> Неужели за какуб-то двойку меня посадят в тюрьму

нет. но на учет возьмут. потом могут заставить делать нехорошее.

Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +1 +/
Сообщение от Аноним (4), 07-Окт-21, 17:23 
Уважаемый СеменСеменыч777, у нас священники все с красивыми, светлыми, одухотворенными лицами и благоухают благовониями.
В 9 лет нельзя стать священником, можно податься в монастырь по благословению, чтобы посвятить свою жизнь служению Господу. Но тогда мне придется забыть о Оле.
Поэтому план мне видится неэффективным.
Если сказать, что мне на православные книжки не хватает, батюшка даст мне православную книжку и угостит вкусной бездрожжевой выпечкой.
Делу это тоже не поможет :(

Чиновники госуправленцы ездят в больших черных машинах и на улице не встречаются.

А про "папика" я слышал от маминых подружек, когда они на кухне общались, что это когда она берет что-то в рот у своего друга, а тот ей деньги платит.
Это Вы так вот мне предлагали и говорили, что знаете мол как это работает? А я старшим верю, если говорят, значит пробовали.
СеменСеменыч777 я так не могу. Спасибо за совет, но я не готов на это пойти даже ради Олечки. Я лучше в углу на горохе постою. И Вам таким бы больше не советовал заниматься! Батюшка в храме нам говорил, что за это в геене огненной гореть. И Вы знаете, я ему верю. От него исходит такая доброта, что просто завораживает. А злые люди они отталкивают.
Не делайте так больше, мне будет очень грустно, если бесы Вас на сковородке жарить будут!

>а ко мне лучше не приставай, я не по этим делам.

А к кому мне приставать? Я пришел на форум и задал вопрос. Вы ответили в числе других дядей. Там вот дяди мне разные советы давали, правда с php не связанные, но по крайней мере ничего противоестественного человеческому естеству мужскому.
А Вы сперва дали совет, а мне мама говорила слушай взрослых, они знают что говорят, потому что все что я спрашиваю, они попробовали на себе. А потом говорите не приставай.

Я Вас не понимаю.

>нет. но на учет возьмут. потом могут заставить делать нехорошее.

А им самим двойки не ставили и они лезвием аккуратно из дневника бумажного не вырезали? Это же тоже хакерство получается?
Но их не в тюрьму же забрали, а вон как в серьезных учреждениях бдят покой граждан теперь, от всякой империалистической заразы нас охраняют! О суверенитете рассказывают!

Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  –1 +/
Сообщение от Михрютка (ok), 07-Окт-21, 21:36 
псссст, пацан!

не хочешь попробовать немношко FreeBSD?

Ответить | Правка | Наверх | Cообщить модератору

68. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Аноним (4), 07-Окт-21, 22:02 
Доброго времени суток, Михрютка.
У Вас очень забавный никнейм.
А чем мне поможет FreeBSD? Да и я уже решил, что буду исправлять двойку честным трудом. А хакером буду когда подросту и постигну азы точных и других наук. Мне помогло вежливое сообщество ROSA Linux это понять. Продавать суверенитет мне не по совести.
Ответить | Правка | Наверх | Cообщить модератору

69. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  –1 +/
Сообщение от Михрютка (ok), 07-Окт-21, 22:16 
> Доброго времени суток

вот ты и спалился, проклятый фидошник


Ответить | Правка | Наверх | Cообщить модератору

70. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Аноним (4), 07-Окт-21, 22:33 
Уважаемый Михрютка, просто у меня вечер. А в каком Вы часовом поясе я не знаю. А мама учила меня проявлять уважение к старшим. Поэтому чтобы не ставить Вас в неловкое положение своим добрый вечер, я употребил более нейтральное приветствие.

Какой Вы агрессивный. Михрютка - это как челмедведосвин?

Ответить | Правка | Наверх | Cообщить модератору

71. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Аноним (4), 07-Окт-21, 23:00 
Посмотрел в яндексе что такое фидошник.
Не понял кто и за что проклял эту старую сеть?
У меня вот vk есть, telegram и whatsapp. Мы даже с учителями там общаемся и получаем задания, потому что школьный наш портал знаний на php давно лег, когда на удаленку перешли.
А что плохого в фидо?
Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

75. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от BratishkaErik (ok), 08-Окт-21, 09:44 
Дорогой вадик,

Попробуй разобраться в коде PHP, мб и найдёшь новую уязвимость. Интерпретатор написан на C, так что придётся его выучить (это не сложно).

Ответить | Правка | К родителю #68 | Наверх | Cообщить модератору

79. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Аноним (4), 08-Окт-21, 11:21 
Уважаемый BratishkaErik, Мария Ивановна учит нас на уроках python. Рассказывает о том, что так по стандарту министерскому положено, но при этом говорит, что самые классные вещи пишут на ассемблерах и с/с++. Очень уважительно отзывается об этих людях. Говорит о их уме и всесторонней развитости. Закатывает глаза когда о них говорит.

А что php? Вот у нас учебный портал на moodle и он не работает. Мы с пацанами считаем, что еслибы его на plone/zope написали, такого бы не было.

Ответить | Правка | Наверх | Cообщить модератору

91. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от n00by (ok), 09-Окт-21, 11:19 
> если ты правильно выбрал дядю-спонсора (называется "папик"), то он тебе сам все
> покажет, расскажет и научит.

Сёма, таки с одной стороны это статья, а с другой - зашквар. Посему пшло вон отсюда.

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

72. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Alex_Kemail (??), 08-Окт-21, 00:49 
Пересобрал PHP 5.3-8.0.
Похоже, что на PHP 5.3 проблема не воспроизводится.
Ответить | Правка | Наверх | Cообщить модератору

77. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Онаним (?), 08-Окт-21, 09:50 
Хреновый баг, да...
Надо будет тоже заткнуть во всех сборках (у нас 5.2-8.1rc :D), даже если не воспроизводится.
С другой стороны, я давно подумываю, не открыть ли юзерам всё вплоть до shell_exec, всё равно они изолированы, поэтому не так критично.
Ответить | Правка | Наверх | Cообщить модератору

78. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +1 +/
Сообщение от Аноним (78), 08-Окт-21, 10:35 
У вас тут клуб некрофилов чтоли ?
Ответить | Правка | Наверх | Cообщить модератору

86. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Онаним (?), 08-Окт-21, 18:40 
> У вас тут клуб некрофилов чтоли ?

Легаси - это полный ппц.
Куча клиентских сайтов на 5.2, работающих (!), и обновлять их пока никто не собирается, естественно. Некоторые из них даже на 5.3 не заведутся.

Ответить | Правка | Наверх | Cообщить модератору

76. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Анон2 (?), 08-Окт-21, 09:49 
Без PHP не было бы сейчас половины сайтов. Сидели бы все в консолях терминалов
Ответить | Правка | Наверх | Cообщить модератору

82. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Аноним (4), 08-Окт-21, 13:35 
Половина сайтов не нужна. Та самая причем половина, на пыхапы.
Ответить | Правка | Наверх | Cообщить модератору

84. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от anonymous (??), 08-Окт-21, 15:03 
За что ж вы так Wikipedia?
Ответить | Правка | Наверх | Cообщить модератору

85. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Аноним (4), 08-Окт-21, 16:20 
Нам в школе Мария Ивановна запрещает использовать википедию в качестве источника при проведении внеклассной работы.
Говорит, что там все кому не лень пишут. И много чего еще говорит.
Ответить | Правка | Наверх | Cообщить модератору

92. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от anonymous (??), 09-Окт-21, 12:45 
Было исследование на нравнение количества допускаемых ошибок и неточностей в wikipedia и обычных энциклопедиях. Марие Ивановне надо бы ознакомиться :)
Ответить | Правка | Наверх | Cообщить модератору

93. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от anonymous (??), 09-Окт-21, 12:46 
s/нравление/сравнение/
Ответить | Правка | Наверх | Cообщить модератору

94. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +1 +/
Сообщение от макар иванович завуч (?), 09-Окт-21, 15:43 
Кто исследовал и за кокой прайс?
Посмотри даже по софтинам, насколько все разнится даже от англ варианта. Да.
Ответить | Правка | К родителю #92 | Наверх | Cообщить модератору

101. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +1 +/
Сообщение от Онаним (?), 09-Окт-21, 23:02 
И не только сайтов.
Из примеров - про FreePBX, думаю, все слыхали.
На пыхе не только сайты пыхают, уже давно.
Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

102. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Онаним (?), 09-Окт-21, 23:03 
(код этого FreePBX, правда, лютый отстой, наколенное самоделкино, ещё хуже вротпресса... НО... работает, и работает хорошо)
Ответить | Правка | Наверх | Cообщить модератору

95. "Уязвимость в PHP, позволяющая обойти ограничения, заданные в..."  +/
Сообщение от Ornlo (ok), 09-Окт-21, 19:41 
Ну это таки не баг а фича! Можно реализовывать phpшные штучки, даже если хостер ограничил их в php.ini!
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру