forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Уязвимость php-fpm, позволяющая удалённо выполнить код на се..., opennews (??), 24-Окт-19, (0) [смотреть все]

https salsa debian org nginx-team nginx blob buster debian conf snippets fastc, Darth Revan (ok), 20:46 , 24-Окт-19, (8) +6
Кто-то ещё php использует , Аноним (1), 20:10 , 24-Окт-19, (1) –32 //

да, анонимус (??), 20:14 , 24-Окт-19, (2) +7
Более 80 сайтовhttps haydenjames io 80-percent-web-powered-by-php , Аноним (3), 20:14 , 24-Окт-19, (3) +12 //

в 2000 году , Аноним (7), 20:46 , 24-Окт-19, (7) –5
Большинство ошибается , Аноним (1), 20:46 , 24-Окт-19, (9) –5 //

нет, Аноним (15), 20:56 , 24-Окт-19, (15) +1

большинство из них - сайты визитки одностраничники, anonn (?), 22:35 , 24-Окт-19, (36) –2 //

Эти что ли Facebook Yahoo Wikipedia WordPress Tumblr MailCh, OpenEcho (?), 02:32 , 25-Окт-19, (46) +7

Я так понимаю, это исчерпывающий список большинства сайтов в интернете , Аноним (49), 04:32 , 25-Окт-19, (49) +1

Я привел конкретные доказательства, который каждый может перепроверить И в чем, OpenEcho (?), 11:01 , 25-Окт-19, (65)
Открываем hh и смотрим вакансии похапе на бекэнде и пару вкраплений смузихлебов, Ананнимас (?), 12:41 , 25-Окт-19, (74) +1

1 488 вакансий 171 php 187 https hh ru search vacancy area 1 st searchVa, Аноним (49), 13:01 , 25-Окт-19, (76) –3

Сам-то вакансии смотрел Там к вебу мало что имеет отношение , Ананнимас (?), 15:11 , 25-Окт-19, (78) +1

уж гугл то точно не на пхпТо что ты описал это единственные крупные ребята кто п, anonn (?), 10:42 , 25-Окт-19, (63) –2

Так в этом то и есть ответ на оригинальный вопрос Кто-то ещё php использует , OpenEcho (?), 11:15 , 25-Окт-19, (66) +1

На одностраничниках как правило нет PHP, Аноним (55), 09:25 , 25-Окт-19, (55) +1

К сожалению большинству строителям интернета даже одностранички влом писать вр, OpenEcho (?), 11:21 , 25-Окт-19, (67) +2

потому как есть куча плагинов, магазинов, галерей и наконец скинов юзерам хочем, Ананнимас (?), 12:48 , 25-Окт-19, (75)

Читай внимательно, там дата естьDecember 15, 2017 by Hayden James, in Blog Linux, Тортик с кремом (?), 09:25 , 25-Окт-19, (54)

Просвяти плыз заблудших, что рекомендовать юзерам в замену пыха , OpenEcho (?), 21:03 , 24-Окт-19, (17) +3 //

Пихон , 123 (??), 21:22 , 24-Окт-19, (23) –12 //

Скорость не пробовали сравнивать , OpenEcho (?), 21:26 , 24-Окт-19, (26) +1

Глупость какая-то в 2к19-ом На первом месте - стильность, модность, молодежност, zzz (??), 22:02 , 24-Окт-19, (34) +7

К великому сожалению Вы - правы, OpenEcho (?), 02:06 , 25-Окт-19, (43) +1

Вы предлагаете вместо одного из самых быстрых скриптовых языков использовать оди, VEG (ok), 10:40 , 25-Окт-19, (62) +2

Ноду конечно же, Аноним (27), 21:39 , 24-Окт-19, (27) –10 //

Джаваскрипт ещё большее гавно, чем пхп, Евгений (??), 21:46 , 24-Окт-19, (31) +11

Ну не пиши на говне, возьми другой яп, Аноним (27), 03:16 , 25-Окт-19, (48)
С чего это JavaScript гавно , foi (?), 03:41 , 26-Окт-19, (84) –1

Повторюсь и здесь A cкорость не пробовали сравнивать И чем оно лучше чем пых, OpenEcho (?), 21:46 , 24-Окт-19, (32)

А ты пробовал Или только на leftpad онанировать умеем , Аноним (27), 03:15 , 25-Окт-19, (47) –2

Я всем говарил вспомнити npm leftpad и что Js быт не должно Но вам как горохи, Аноним (49), 08:42 , 25-Окт-19, (51)
Не пробывал бы, тогда бы и не писал логика где А при чем здесь leftpad, если , OpenEcho (?), 10:47 , 25-Окт-19, (64)

ну так удиви нас результатамиты же сам его притянул , Аноним (68), 11:35 , 25-Окт-19, (68)

А тебя в гугле забанили что ли Слушай, перечитай еще раз, я не гнал на ноду, a п, OpenEcho (?), 11:49 , 25-Окт-19, (72)

то есть теперь сторонний код можно запускать не только через phar Это здоров, Аноним (49), 20:32 , 24-Окт-19, (4) //

Удачи code location php 124 fastcgi_split_path_info p, OpenEcho (?), 20:54 , 24-Окт-19, (12) +2 //

Это запрещает выполнение 3rd-party-кода из phar , Аноним (49), 20:56 , 24-Окт-19, (13) //

https snuffleupagus readthedocs io config html whitelist-of-stream-wrappers, Аноним (16), 20:58 , 24-Окт-19, (16)
Чукча писатель , OpenEcho (?), 21:05 , 24-Окт-19, (19) +1

только mime забыл изменить с бинарного, Аноним (16), 20:56 , 24-Окт-19, (14) //

Просвяти, - а то не понятна глубина мысли, OpenEcho (?), 21:11 , 24-Окт-19, (21)

Вместо отображения файла скачает потокdefault_type application octet-stream , Аноним (16), 21:13 , 24-Окт-19, (22)

Телепатия не удалась default_type text plain И вообще не понятно к чему это, в, OpenEcho (?), 21:24 , 24-Окт-19, (25) +1

но ты отдаешь html а не text, конь в пальто (?), 14:22 , 26-Окт-19, (86) +1

Друг, - Это динамика nginx в этом случае просто прокси, что выставит пых, то и, OpenEcho (?), 14:52 , 26-Окт-19, (87) –1

при чем тут это я про твой return 404 doctyle html div style font-size 800, конь в пальто (?), 15:16 , 26-Окт-19, (88)

Вы не поняли юмора Это doctyle html div style font-size 800 text-align ce, OpenEcho (?), 16:40 , 26-Окт-19, (90)

VestaCP пора ломать, Аноним (16), 20:34 , 24-Окт-19, (5) –2 //

grep -R fastcgi_path_info usr local vesta , Аноним (16), 20:35 , 24-Окт-19, (6)

В nginx wiki ubuntu есть еще одна уязвимость связанная с localhostтам по дефолту, Аноним (16), 20:48 , 24-Окт-19, (10) +2 //

ссылочку плз, Anduy (?), 21:23 , 24-Окт-19, (24) //

https help ubuntu ru wiki nginx-phpfpm D0 BD D0 B0 D1 81 D1 82 D1 80 D0 BE D0, Аноним (16), 21:43 , 24-Окт-19, (28)
https help ubuntu ru wiki nginx-phpfpm настройка_nginx, Аноним (16), 21:44 , 24-Окт-19, (29) //

Корневая директория сайта работающего на данном сервере root var www , Аноним (16), 21:45 , 24-Окт-19, (30)

Пугает наличие кучи rewrite директив к конфигах нджинкса наводящие на не хорош, OpenEcho (?), 21:57 , 24-Окт-19, (33) +1
насчёт описанной в статье траблы, там же есть try_files перед split_path_info, Аноним (44), 02:17 , 25-Окт-19, (44) //

try_files сбрасывает переменную PATH_INFO , поэтому либо надо запоминать кон, OpenEcho (?), 11:41 , 25-Окт-19, (70) //

ну так если try_files вызывется до path_info то это не проблема и в вики path_in, Аноним (77), 14:53 , 25-Окт-19, (77)

Нет В этом то и есть проблема, fastcgi_path_info заполняется после вызова fast, OpenEcho (?), 16:39 , 25-Окт-19, (80)

mdounin деградант, Аноним (85), 04:04 , 26-Окт-19, (85) –2

В эксплоите есть забавные моменты https github com neex phuip-fpizdam blob d4, Аноним (18), 21:04 , 24-Окт-19, (18) +9 //

С таким названием ничего удивительного , Darth Revan (ok), 21:08 , 24-Окт-19, (20) +3
Ёпрст, автор-то Электроник , Аноним (40), 00:34 , 25-Окт-19, (40) +2

Скрыто модератором, Онаним (?), 22:26 , 24-Окт-19, (35) –9 //

Скрыто модератором, Григорий Федорович Конин (?), 22:43 , 24-Окт-19, (37) +2
Скрыто модератором, OpenEcho (?), 23:12 , 24-Окт-19, (38) +1 //

Скрыто модератором, Звукорежиссёр (?), 23:25 , 24-Окт-19, (39) +1

There must be a PATH_INFO variable assignment via statement fastcgi_param PATH_I, хотел спросить (?), 00:44 , 25-Окт-19, (41) //

А с чего ей там вообще быть PATH_INFO - это костыль для определения SCRIPT_FILEN, Ilya Indigo (ok), 09:57 , 25-Окт-19, (59) –1 //

Чиво SCRIPT_FILENAME The absolute pathname of the currently executing scr, OpenEcho (?), 22:09 , 25-Окт-19, (83) //

Тут я извиняюсь, недопонимал какой именно это костыль и как именно с ним извраща, Ilya Indigo (ok), 00:02 , 28-Окт-19, (94) +1

Я недавно перешёл на nginx и не знаю его так хорошо как и Apache, но я сразу отб, Ilya Indigo (ok), 06:13 , 25-Окт-19, (50) //

держи в курсе - твои васян-сайты очень важны этой планетке нет К сожалению, вс, Аноним (52), 09:05 , 25-Окт-19, (52) –1 //

Держу в курсе Вас и других Васянов, пишущих что PHP это слово даже блокирован, Ilya Indigo (ok), 09:48 , 25-Окт-19, (58) +1 //

Ну да, это такая редкость чтобы использовались ЧПУ, вообще нигде их нет , Григорий Федорович Конин (?), 11:47 , 25-Окт-19, (71)

Если используется ЧПУ, тогда я тем более проблемы не вижу Или в каждом блоке мож, Ilya Indigo (ok), 12:13 , 25-Окт-19, (73) –2

Вот эта вот конфигурация сверху - очень большой подарок кулхацкерам, классически, OpenEcho (?), 16:32 , 26-Окт-19, (89) +1

В nginx встроили js, чтобы логику с if ами писать Можно считать этот шаг призн, Аноним (92), 04:01 , 27-Окт-19, (92)

No comments , OpenEcho (?), 18:27 , 27-Окт-19, (93)
хуже - не документации, а записок углем на чьих-то манжетах, где разжевываются с, Аноним (101), 19:37 , 29-Окт-19, (101)

Вы читали сообщение на которое я отвечал ЦитируюЯ вот сам не знаю зачем они так , Ilya Indigo (ok), 00:41 , 28-Окт-19, (95)

видимо, Илюша, ты не только в назначении path info не силен, но мнение имеешь к , Аноним (101), 21:04 , 29-Окт-19, (102) –1

разумеется не потому, что в корне они и лежат, ну конечно же, нет проблема с , Аноним (101), 19:17 , 29-Окт-19, (100)

Аффтар хорош помнится, он ещё в 2017-ом сношал баг-баунти программы у видеохост, Аноним (56), 09:28 , 25-Окт-19, (56)
То есть в связке Apache PHP-FPM не воспроизводится , BrainFucker (ok), 09:57 , 25-Окт-19, (60) –1 //

В новости об этом ничего не сказано, скорее всего тоже должно работать, просто н, Нанобот (ok), 10:17 , 25-Окт-19, (61)

Я правильно понимаю, что если сделать так, то эксплойт не страшен fastcgi_split_, Аноним (69), 11:38 , 25-Окт-19, (69) –2 //

о времена, о админчики-девляляпляп , cewlhazkx0r (?), 17:46 , 25-Окт-19, (81)

О, этот многострадальный код - это несколько модифицированная копипаста из древн, KonstantinB (ok), 15:28 , 25-Окт-19, (79)
Всегда, когда читаю новости с такими заголовками, то начинаю нервничать, руки ав, Анимайзер (?), 22:08 , 25-Окт-19, (82)
О похожем писали ещё в 2010 почти 10 лет назад https forum nginx org read php, spumer (ok), 19:07 , 26-Окт-19, (91)
В Ubuntu 18 04 LTS болт положили на исправление , FSA (??), 07:43 , 28-Окт-19, (96) //

Не Всё-таки исправили , FSA (??), 23:54 , 28-Окт-19, (99)

На опеннете деликатно не стали упоминать о названиях эксплоитов, а на THN полный, InuYasha (?), 13:21 , 28-Окт-19, (97)

Сообщения [Сортировка по времени | RSS]

50. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..." +/–

Сообщение от Ilya Indigo (ok), 25-Окт-19, 06:13

> fastcgi_split_path_info ^(.+?\.php)(/.*)$;
Я недавно перешёл на nginx и не знаю его так хорошо как и Apache, но я сразу отбросил этот костыль, как и cgi.fix_pathinfo, в пользу чёткого задания SCRIPT_FILENAME, а не угадывания его сервером.
fastcgi_param SCRIPT_FILENAME $document_root/index.php;

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..." –1 +/–

Сообщение от Аноним (52), 25-Окт-19, 09:05

держи в курсе - твои васян-сайты очень важны этой планетке. (нет)
К сожалению, все еще существуют безумные разработчики, не видящие смысла весь сайт запихивать целиком в /index.php - начитались, понимаешь, каких-то дурацких книжек про необходимость сегментации проектов, особенно на интерпретируемых языках, а выбить из их голов эти бредни эффективного менеджера не нашлось.
И у них этих файлов бывает два, а то и даже четыре!

Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..." +1 +/–

Сообщение от Ilya Indigo (ok), 25-Окт-19, 09:48

Держу в курсе Вас и других Васянов, пишущих что PHP # (это слово даже блокировано цензурой опеннета) и даже не бум-бум в программировании.
Чтобы воспроизвести эту, как и все другие уязвимости в PHP это нужно специально и намеренно родится с руками из попы.
Если не используется ЧПУ, то за глаза хватит этих блоков, хоть у Вас 40 разных php-скриптов распиханных по разным директориям.

location ~ \.php$ {
    fastcgi_pass unix:/run/php-fpm.sock;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    include fastcgi_params;
}
location / {
    index index.html index.php;
    try_files $uri $uri/ =404;
}
Сайт и не нужно запихивать весь в index.php, но index.php должен быть единой точкой входа сайта.

Ответить | Правка | Наверх | Cообщить модератору

71. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..." +/–

Сообщение от Григорий Федорович Конин (?), 25-Окт-19, 11:47

> Если не используется ЧПУ, то за глаза хватит этих блоков
Ну да, это такая редкость чтобы использовались ЧПУ, вообще нигде их нет.

Ответить | Правка | Наверх | Cообщить модератору

73. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..." –2 +/–

Сообщение от Ilya Indigo (ok), 25-Окт-19, 12:13

>> Если не используется ЧПУ, то за глаза хватит этих блоков
> Ну да, это такая редкость чтобы использовались ЧПУ, вообще нигде их нет.
Если используется ЧПУ, тогда я тем более проблемы не вижу!
Или в каждом блоке можно без проблем указать SCRIPT_FILENAME.
fastcgi_param SCRIPT_FILENAME path/to/app.php;
Нормального случая где бы в одном location вызывались бы разные скрипты точно нет!
Или, если на сайте единая точка входа path/to/app.php (по нормальному так и должно быть с ЧПУ-сайтами) можно вообще всё прокинуть в Ваш PHP-контроллер и пусть он дальше сам разбирается что нужно дальше подключать, в зависимости от $_SERVER['REQUEST_URI']

location @php {
    fastcgi_pass unix:/run/php-fpm.sock;
    fastcgi_param SCRIPT_FILENAME path/to/app.php;
    include fastcgi_params;
}
location / {
    index index.html index.php;
    try_files $uri $uri/ @php;
}
Опять же не понимаю зачем и кому может понадобится PATH_INFO?

Ответить | Правка | Наверх | Cообщить модератору

89. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..." +1 +/–

Сообщение от OpenEcho (?), 26-Окт-19, 16:32

Вот эта вот конфигурация сверху - очень большой подарок кулхацкерам, классический пример копи/пасте с "гениальных просторов" интернета...
Не, не в обиду, но почему не подумать о элементарном, - зачем разрешать выполнение пхп сриптов везде начиная от корня ??? Вы правда хотите чтоб в директории upload кто нибудь скинул скрипт и потом выполнил ?
nginx позволяет вложенные location, ну так и вставляйте свой
location ~ \.php$ {...} только в тех директориях где есть ВАШИ(!!!) скрипты
Сысоев как то на конференции говорил, что в nginx метод copy/paste - самый лучший способ избежать ошибок, поэтому не надо пытаться строить конфиги нджикса по принципу програмирования, комбинируя в логически разбросанные локэйшены. nginx - так НЕ РАБОТАЕТ, для того чтобы понимать как применяется конфигурация, нужно понимать фазы, в которых применются определенные директивы и почему они выполняются не по порядку как в конвиге и почему if - is evil...
Know your tool, - don't copy blindly! (c) - народная мудрость

Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

92. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..." +/–

Сообщение от Аноним (92), 27-Окт-19, 04:01

> Сысоев как то на конференции говорил, что в nginx метод copy/paste - самый лучший способ избежать ошибок
В nginx встроили  js, чтобы логику с if'ами писать. Можно считать этот шаг признанием предыдущих проблем.
> Know your tool, - don't copy blindly! (c) - народная мудрость
То есть, чтобы заиспользовать if надо прочитать кучу хреновой nginx документации? Ну это не есть плюс технологии.
Народна мудрость гласит "люди не читают документацию".

Ответить | Правка | Наверх | Cообщить модератору

93. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..." +/–

Сообщение от OpenEcho (?), 27-Окт-19, 18:27

No comments... :)

Ответить | Правка | Наверх | Cообщить модератору

101. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..." +/–

Сообщение от Аноним (101), 29-Окт-19, 19:37

> То есть, чтобы заиспользовать if надо прочитать кучу хреновой nginx документации?
хуже - не документации, а записок углем на чьих-то манжетах, где разжевываются совершенно ненужные детали череззадничной реализации. Ведь это гораздо проще - объяснить,что тут все через анус, и уродливый чреватый трудноуловимыми ошибками при сопровождении конфиг -  твой единственный выбор, чем понять что об.лись и найти силы переделать.
> это не есть плюс технологии.
она - г-но. Живи теперь с этим. Дальше будешь жить с unit, у которого вообще персистентной конфигурации нет - теперь к ошибкам в пятой копипасте добавятся еще ошибки возникшие при попытке на ходу докинуть шестую.
> Народна мудрость гласит "люди не читают документацию".
их никому и не жаль. Пусть купят с поддержкой за 2000 - индус придет,порядок в конфиге наведет. Если разок поперхнется карри и ошибется копипастой - его выпорют, компания принесет извинения. Может даже - глубокие извинения.

Ответить | Правка | К родителю #92 | Наверх | Cообщить модератору

95. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..." +/–

Сообщение от Ilya Indigo (ok), 28-Окт-19, 00:41

> Не, не в обиду, но почему не подумать о элементарном, - зачем разрешать выполнение пхп сриптов везде начиная от корня ???
Вы читали сообщение на которое я отвечал?
Цитирую
> К сожалению, все еще существуют безумные разработчики, не видящие смысла весь сайт запихивать целиком в /index.php - начитались, понимаешь, каких-то дурацких книжек про необходимость сегментации проектов, особенно на интерпретируемых языках, а выбить из их голов эти бредни эффективного менеджера не нашлось.
> И у них этих файлов бывает два, а то и даже четыре!
Я вот сам не знаю зачем они так пишут, но для того, чтобы их конфигурация работала я и привёл пример. Сам, естественно, я так не пишу и тоже не понимаю зачем так делают другие.
>  Вы правда хотите чтоб в директории upload кто нибудь скинул скрипт и потом выполнил ?
Видимо Вы не понимаете что корень сайта и документ рут это разные вещи.
У CMS-ников, конечно же, это одно и тоже, но под корнем сайта я понимаю, это директория сайта на сервере, а документ рут - это / то, что видит web-сервер и на нормальных сайтах это разные вещи.
Разрешения я дал именно для документ рут (там, в моём понимании, кроме index.php и статики ничего и быть не должно) а директория uploads, если вы подразумеваете что там должны быть документы, она должна быть за документ рутом и сервер её никак вообще не должен видеть, а отдаваться они должны через php как поток (всегда на загрузку).
> nginx позволяет вложенные location, ну так и вставляйте свой
> location ~ \.php$ {...} только в тех директориях где есть ВАШИ(!!!) скрипты
Вложенные location, да ещё и с вложенными регулярками это то чего в nginx быть вообще не должно!
> Сысоев как то на конференции говорил...
Не думаю что он говорил использовать вложенные location с регулярками.
Вот Валентина Бартенева лучше почитайте:
https://www.opennet.ru/openforum/vsluhforumID3/118512.html#103
location-ы производительнее потому, что префиксное сопоставление позволяет построить дерево и по нему искать. Но это не касается location с регулярными выражениями. Никаких преимуществ перед аналогичными конструкциями с регулярными выражениями у location нет. Во всех случаях основной тормоз - это исполнение регулярного выражения.
https://www.opennet.ru/openforum/vsluhforumID3/118512.html#105
Обычно вся конфигурация сводится к следующим двум location-ам:

location / {
    try_files $uri @php;
}
location @php {
    fastcgi_pass unix:/run/php-fpm.sock;
    fastcgi_param SCRIPT_FILENAME path/to/app.php;
    include fastcgi_params;
}

Всё предельно просто: если файл есть на диске - мы его отдаем, а всё остальное отправляем в приложение. Приложение уже возьмет $_SERVER['REQUEST_URI'] и распарсит как угодно.
Программисты на других ЯП всю дорогу так и делали и только PHP-шники извращаются.

Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

102. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..." –1 +/–

Сообщение от Аноним (101), 29-Окт-19, 21:04

> Видимо Вы не понимаете что корень сайта и документ рут это разные вещи.
видимо, Илюша, ты не только в назначении path info не силен, но мнение имеешь.
> но под корнем сайта я понимаю, это директория сайта на сервере,
> а документ рут - это / то, что видит web-сервер
к твоему сожалению, общепринятая терминология - ровно обратная.
Корень сайта - это про сайт, то что видит клиент. document root - про конфигурацию сервера.
> директория uploads, если вы подразумеваете что там должны быть документы,
он вряд ли что конкретное подразумевает, но, в отличие от тебя, явно не полтора ненужных васян-сайтика админит. И понимает, что там может быть что угодно - у меня вот в одном таком лежит 120терабайт.
Во многих случаях лучше бы ее пехепе никак не видел, чем наоборот.
> она должна быть за документ рутом и сервер её никак вообще не должен
> видеть, а отдаваться они должны через php как поток (всегда на загрузку).
вот поэтому тебя тот сервис админить и не возьмут. Так и останешься ключи подавать.
Потому что ни про sendfile, ни про прочие вещи ты - не, не слышал, давайте все терабайты отдавать через пехепе, ага.
Освоив (с пятого на десятое) молоток - все проблемы рассматриваешь как гвоздь?
ps: отличие в скорости обработки что регексов, что обычных, что вложенных хоть по сто раз locations ты на своих васян-серверах не увидишь никаким наносекундомером. А вот отличие отдачи статики напрямую - иногда отличие между работающим и сдохшим сервисами. Но тебе сюда пока рано, это для взрослых.  Освой пока отвертку, потом перейдешь к плоскогубцам. Токарные станки не для тебя.

Ответить | Правка | Наверх | Cообщить модератору

100. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..." +/–

Сообщение от Аноним (101), 29-Окт-19, 19:17

> зачем разрешать выполнение пхп сриптов везде начиная от корня ???
разумеется не потому, что в корне они и лежат, ну конечно же, нет.
("проблема" с upload решается отдельным location /upload - вот теперь ты видишь, что он у тебя есть, и отличается от прочих. Еще бы неплохо половину прочих проблем порешать выносом вообще из веб-пространства пхпшных кишок,но не с современными разработчиками.)
> nginx позволяет вложенные location, ну так и вставляйте свой
но они не имеют в нем ни малейшего смысла и только создают путаницу. По ровно той же причине что if is evil. Лучше, если уж вынужден иметь с ним дело, хотя бы избегать лишних.
> Сысоев как то на конференции говорил, что в nginx метод copy/paste -
> самый лучший способ избежать ошибок
что и есть его собственноручная роспись "весь этот механизм - полное г-но, костыль на костыле".

Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

50. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	+/–
Сообщение от Ilya Indigo (ok), 25-Окт-19, 06:13
> fastcgi_split_path_info ^(.+?\.php)(/.*)$; Я недавно перешёл на nginx и не знаю его так хорошо как и Apache, но я сразу отбросил этот костыль, как и cgi.fix_pathinfo, в пользу чёткого задания SCRIPT_FILENAME, а не угадывания его сервером. fastcgi_param SCRIPT_FILENAME $document_root/index.php;
Ответить \| Правка \| Наверх \| Cообщить модератору


	52. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	–1 +/–
	Сообщение от Аноним (52), 25-Окт-19, 09:05
	держи в курсе - твои васян-сайты очень важны этой планетке. (нет) К сожалению, все еще существуют безумные разработчики, не видящие смысла весь сайт запихивать целиком в /index.php - начитались, понимаешь, каких-то дурацких книжек про необходимость сегментации проектов, особенно на интерпретируемых языках, а выбить из их голов эти бредни эффективного менеджера не нашлось. И у них этих файлов бывает два, а то и даже четыре!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	58. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	+1 +/–
	Сообщение от Ilya Indigo (ok), 25-Окт-19, 09:48
	Держу в курсе Вас и других Васянов, пишущих что PHP # (это слово даже блокировано цензурой опеннета) и даже не бум-бум в программировании. Чтобы воспроизвести эту, как и все другие уязвимости в PHP это нужно специально и намеренно родится с руками из попы. Если не используется ЧПУ, то за глаза хватит этих блоков, хоть у Вас 40 разных php-скриптов распиханных по разным директориям. location ~ \.php$ { fastcgi_pass unix:/run/php-fpm.sock; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; } location / { index index.html index.php; try_files $uri $uri/ =404; } Сайт и не нужно запихивать весь в index.php, но index.php должен быть единой точкой входа сайта.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	71. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	+/–
	Сообщение от Григорий Федорович Конин (?), 25-Окт-19, 11:47
	> Если не используется ЧПУ, то за глаза хватит этих блоков Ну да, это такая редкость чтобы использовались ЧПУ, вообще нигде их нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	73. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	–2 +/–
	Сообщение от Ilya Indigo (ok), 25-Окт-19, 12:13
	>> Если не используется ЧПУ, то за глаза хватит этих блоков > Ну да, это такая редкость чтобы использовались ЧПУ, вообще нигде их нет. Если используется ЧПУ, тогда я тем более проблемы не вижу! Или в каждом блоке можно без проблем указать SCRIPT_FILENAME. fastcgi_param SCRIPT_FILENAME path/to/app.php; Нормального случая где бы в одном location вызывались бы разные скрипты точно нет! Или, если на сайте единая точка входа path/to/app.php (по нормальному так и должно быть с ЧПУ-сайтами) можно вообще всё прокинуть в Ваш PHP-контроллер и пусть он дальше сам разбирается что нужно дальше подключать, в зависимости от $_SERVER['REQUEST_URI'] location @php { fastcgi_pass unix:/run/php-fpm.sock; fastcgi_param SCRIPT_FILENAME path/to/app.php; include fastcgi_params; } location / { index index.html index.php; try_files $uri $uri/ @php; } Опять же не понимаю зачем и кому может понадобится PATH_INFO?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	89. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	+1 +/–
	Сообщение от OpenEcho (?), 26-Окт-19, 16:32
	Вот эта вот конфигурация сверху - очень большой подарок кулхацкерам, классический пример копи/пасте с "гениальных просторов" интернета... Не, не в обиду, но почему не подумать о элементарном, - зачем разрешать выполнение пхп сриптов везде начиная от корня ??? Вы правда хотите чтоб в директории upload кто нибудь скинул скрипт и потом выполнил ? nginx позволяет вложенные location, ну так и вставляйте свой location ~ \.php$ {...} только в тех директориях где есть ВАШИ(!!!) скрипты Сысоев как то на конференции говорил, что в nginx метод copy/paste - самый лучший способ избежать ошибок, поэтому не надо пытаться строить конфиги нджикса по принципу програмирования, комбинируя в логически разбросанные локэйшены. nginx - так НЕ РАБОТАЕТ, для того чтобы понимать как применяется конфигурация, нужно понимать фазы, в которых применются определенные директивы и почему они выполняются не по порядку как в конвиге и почему if - is evil... Know your tool, - don't copy blindly! (c) - народная мудрость
	Ответить \| Правка \| К родителю #58 \| Наверх \| Cообщить модератору


	92. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	+/–
	Сообщение от Аноним (92), 27-Окт-19, 04:01
	> Сысоев как то на конференции говорил, что в nginx метод copy/paste - самый лучший способ избежать ошибок В nginx встроили js, чтобы логику с if'ами писать. Можно считать этот шаг признанием предыдущих проблем. > Know your tool, - don't copy blindly! (c) - народная мудрость То есть, чтобы заиспользовать if надо прочитать кучу хреновой nginx документации? Ну это не есть плюс технологии. Народна мудрость гласит "люди не читают документацию".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	93. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	+/–
	Сообщение от OpenEcho (?), 27-Окт-19, 18:27
	No comments... :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	101. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	+/–
	Сообщение от Аноним (101), 29-Окт-19, 19:37
	> То есть, чтобы заиспользовать if надо прочитать кучу хреновой nginx документации? хуже - не документации, а записок углем на чьих-то манжетах, где разжевываются совершенно ненужные детали череззадничной реализации. Ведь это гораздо проще - объяснить,что тут все через анус, и уродливый чреватый трудноуловимыми ошибками при сопровождении конфиг - твой единственный выбор, чем понять что об.лись и найти силы переделать. > это не есть плюс технологии. она - г-но. Живи теперь с этим. Дальше будешь жить с unit, у которого вообще персистентной конфигурации нет - теперь к ошибкам в пятой копипасте добавятся еще ошибки возникшие при попытке на ходу докинуть шестую. > Народна мудрость гласит "люди не читают документацию". их никому и не жаль. Пусть купят с поддержкой за 2000 - индус придет,порядок в конфиге наведет. Если разок поперхнется карри и ошибется копипастой - его выпорют, компания принесет извинения. Может даже - глубокие извинения.
	Ответить \| Правка \| К родителю #92 \| Наверх \| Cообщить модератору


	95. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	+/–
	Сообщение от Ilya Indigo (ok), 28-Окт-19, 00:41
	> Не, не в обиду, но почему не подумать о элементарном, - зачем разрешать выполнение пхп сриптов везде начиная от корня ??? Вы читали сообщение на которое я отвечал? Цитирую > К сожалению, все еще существуют безумные разработчики, не видящие смысла весь сайт запихивать целиком в /index.php - начитались, понимаешь, каких-то дурацких книжек про необходимость сегментации проектов, особенно на интерпретируемых языках, а выбить из их голов эти бредни эффективного менеджера не нашлось. > И у них этих файлов бывает два, а то и даже четыре! Я вот сам не знаю зачем они так пишут, но для того, чтобы их конфигурация работала я и привёл пример. Сам, естественно, я так не пишу и тоже не понимаю зачем так делают другие. > Вы правда хотите чтоб в директории upload кто нибудь скинул скрипт и потом выполнил ? Видимо Вы не понимаете что корень сайта и документ рут это разные вещи. У CMS-ников, конечно же, это одно и тоже, но под корнем сайта я понимаю, это директория сайта на сервере, а документ рут - это / то, что видит web-сервер и на нормальных сайтах это разные вещи. Разрешения я дал именно для документ рут (там, в моём понимании, кроме index.php и статики ничего и быть не должно) а директория uploads, если вы подразумеваете что там должны быть документы, она должна быть за документ рутом и сервер её никак вообще не должен видеть, а отдаваться они должны через php как поток (всегда на загрузку). > nginx позволяет вложенные location, ну так и вставляйте свой > location ~ \.php$ {...} только в тех директориях где есть ВАШИ(!!!) скрипты Вложенные location, да ещё и с вложенными регулярками это то чего в nginx быть вообще не должно! > Сысоев как то на конференции говорил... Не думаю что он говорил использовать вложенные location с регулярками. Вот Валентина Бартенева лучше почитайте: https://www.opennet.ru/openforum/vsluhforumID3/118512.html#103 location-ы производительнее потому, что префиксное сопоставление позволяет построить дерево и по нему искать. Но это не касается location с регулярными выражениями. Никаких преимуществ перед аналогичными конструкциями с регулярными выражениями у location нет. Во всех случаях основной тормоз - это исполнение регулярного выражения. https://www.opennet.ru/openforum/vsluhforumID3/118512.html#105 Обычно вся конфигурация сводится к следующим двум location-ам: location / { try_files $uri @php; } location @php { fastcgi_pass unix:/run/php-fpm.sock; fastcgi_param SCRIPT_FILENAME path/to/app.php; include fastcgi_params; } Всё предельно просто: если файл есть на диске - мы его отдаем, а всё остальное отправляем в приложение. Приложение уже возьмет $_SERVER['REQUEST_URI'] и распарсит как угодно. Программисты на других ЯП всю дорогу так и делали и только PHP-шники извращаются.
	Ответить \| Правка \| К родителю #89 \| Наверх \| Cообщить модератору


	102. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	–1 +/–
	Сообщение от Аноним (101), 29-Окт-19, 21:04
	> Видимо Вы не понимаете что корень сайта и документ рут это разные вещи. видимо, Илюша, ты не только в назначении path info не силен, но мнение имеешь. > но под корнем сайта я понимаю, это директория сайта на сервере, > а документ рут - это / то, что видит web-сервер к твоему сожалению, общепринятая терминология - ровно обратная. Корень сайта - это про сайт, то что видит клиент. document root - про конфигурацию сервера. > директория uploads, если вы подразумеваете что там должны быть документы, он вряд ли что конкретное подразумевает, но, в отличие от тебя, явно не полтора ненужных васян-сайтика админит. И понимает, что там может быть что угодно - у меня вот в одном таком лежит 120терабайт. Во многих случаях лучше бы ее пехепе никак не видел, чем наоборот. > она должна быть за документ рутом и сервер её никак вообще не должен > видеть, а отдаваться они должны через php как поток (всегда на загрузку). вот поэтому тебя тот сервис админить и не возьмут. Так и останешься ключи подавать. Потому что ни про sendfile, ни про прочие вещи ты - не, не слышал, давайте все терабайты отдавать через пехепе, ага. Освоив (с пятого на десятое) молоток - все проблемы рассматриваешь как гвоздь? ps: отличие в скорости обработки что регексов, что обычных, что вложенных хоть по сто раз locations ты на своих васян-серверах не увидишь никаким наносекундомером. А вот отличие отдачи статики напрямую - иногда отличие между работающим и сдохшим сервисами. Но тебе сюда пока рано, это для взрослых. Освой пока отвертку, потом перейдешь к плоскогубцам. Токарные станки не для тебя.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	100. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	+/–
	Сообщение от Аноним (101), 29-Окт-19, 19:17
	> зачем разрешать выполнение пхп сриптов везде начиная от корня ??? разумеется не потому, что в корне они и лежат, ну конечно же, нет. ("проблема" с upload решается отдельным location /upload - вот теперь ты видишь, что он у тебя есть, и отличается от прочих. Еще бы неплохо половину прочих проблем порешать выносом вообще из веб-пространства пхпшных кишок,но не с современными разработчиками.) > nginx позволяет вложенные location, ну так и вставляйте свой но они не имеют в нем ни малейшего смысла и только создают путаницу. По ровно той же причине что if is evil. Лучше, если уж вынужден иметь с ним дело, хотя бы избегать лишних. > Сысоев как то на конференции говорил, что в nginx метод copy/paste - > самый лучший способ избежать ошибок что и есть его собственноручная роспись "весь этот механизм - полное г-но, костыль на костыле".
	Ответить \| Правка \| К родителю #89 \| Наверх \| Cообщить модератору