forum.opennet.ru

"Уязвимость, позволяющая совершить MITM-атаку через манипуляц..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Уязвимость, позволяющая совершить MITM-атаку через манипуляц..."	+3 +/–
Сообщение от Аноним (-), 19-Июл-16, 11:12
Вообще-то теми кто читает код проблема была исправлена ещё 15 лет назад. Проблема не в аудите кода, а в том, одни умники назвали переменную окружения одинаково с CGI-переменной, уже до этого определённой в RFС, а другие не подумав добавили поддержку этой переменной окружения в свои библиотеки. В библиотеках вообще через переменные окружения ничего не должно настраиваться, это изначально огромная потенциальная дыра.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость, позволяющая совершить MITM-атаку через манипуляц..., opennews, 19-Июл-16, 10:51 [смотреть все]

Каким образом mod_php уязвим , Alex_K, 19-Июл-16, 10:51 (1) //
- В mod_php эмулируется установка переменных окружения CGI , Аноним, 19-Июл-16, 11:05 (3) //
  - Неправда , Аноним, 19-Июл-16, 23:07 (31)
Все существующие технологии IT, библиотеки, программы 8212 это одно большее р, Аноним11677, 19-Июл-16, 10:54 (2) //
- Вообще-то теми кто читает код проблема была исправлена ещё 15 лет назад Проблем , Аноним, 19-Июл-16, 11:12 (5) //
  - С каких пор RFC стал спецификацией , fdsa, 19-Июл-16, 11:25 (9) //
    - вот почему все протоколы в Ж , Sw00p aka Jerom, 19-Июл-16, 12:27 (17)
    - Уже лет 20-25 как , XoRe, 20-Июл-16, 23:45 (36)
- Ну покажете свой, недырявый уже 30 лет, добротный код - мы тут все поаплодируем , Аноним, 19-Июл-16, 11:20 (7) //
  - клоун программы продаются не за аплодисменты И почему 30 лет Ты сам то использ, Аноним, 19-Июл-16, 11:45 (12) //
    - Ты как обычно тупой бот от мелкомягких демонстрируешь своё отвратительное качест, pkdr, 19-Июл-16, 13:02 (19)
      - Примеры не канают Это, если угодно, элементы кровеносной системы ОС, выполняющи, Аноним, 20-Июл-16, 07:16 (32)
    - GNU Emacs А ты , Andrey Mitrofanov, 19-Июл-16, 13:04 (20)
      - А он MS DOS - , Аноним, 19-Июл-16, 14:12 (22)
- Согласен Хотелось бы как в математике Сейчас полный разброд, шатание и костыли, Аноним, 19-Июл-16, 12:02 (15)
- соглашусь только с этим КОД НИКТО НЕ ЧИТАЕТ пс по сей день используем бородатый, Sw00p aka Jerom, 19-Июл-16, 12:33 (18) //
  - Ну и ты, скорее уже съешь этих хрустяших французких булок Ведь как только ТЫ пр, _, 19-Июл-16, 16:20 (23) //
    - как бы выразиться правильнее, как только Я читаю код имеется ввиду гитхабный оп, Sw00p aka Jerom, 19-Июл-16, 17:04 (27)
  - Я думаю с одного раза до тебя не дойдёт Поэтому Бородатый Перл - пофиксили в 20, _, 19-Июл-16, 16:27 (24)
В guzzle уже пофиксили https github com guzzle guzzle commit 9d521b23146cb6ced, Володя, 19-Июл-16, 11:10 (4) //
- Это называется исправили if php_sapi_name cli getenv HTTP_P, Аноним, 19-Июл-16, 11:14 (6) //
  - Будь так добр, отправь им PR , Володя, 19-Июл-16, 11:24 (8)
  - учитывая невозможность оторвать руки изобретателям env var HTTP_PROXY где дерьм, пох, 19-Июл-16, 12:11 (16)
Я что-то не понял каким образом это можно в Go проэксплуатировать Если запустит, Аноним, 19-Июл-16, 11:43 (11) //
- Похоже не всё так страшно https golang org src net http transport go L212, Аноним, 19-Июл-16, 11:48 (13)
- Если у тебя Go запускается как классическое приложение CGI, по процессу на запро, Сиромант, 19-Июл-16, 11:51 (14)
Ахахах, олдскул vs хипсторы 8212 1 0 D, непонятно, 19-Июл-16, 13:57 (21) //
- А при чем тут хипстеры Что-то не вижу в списке уязвимых node js , DimasiQ, 19-Июл-16, 20:06 (30) //
  - Не мешай алтфакам воевать с воображаемыми хипсторами , Аноним, 20-Июл-16, 08:07 (33)
И в чём беда Прокси пользователя ничем не лучше и не хуже любого друго хоста на, Аноним, 19-Июл-16, 16:35 (25) //
- Вы не поняли, пытайтесь Адресочек для трененровки паранойи подсказать, или тебе , Andrey Mitrofanov, 19-Июл-16, 16:39 (26) //
  - Тот самый крайне редкий случай, когда Митрофанов относительно адекватен , Аноним, 19-Июл-16, 18:53 (29) //
    - На такое оскорбленеие я не могу не ответитьМожет, он имел в виду того МИТМ-ата, Andrey Mitrofanov, 20-Июл-16, 10:05 (34)
А в php-fastcgi проблема отсутствует , Ilya Indigo, 19-Июл-16, 17:34 (28)
Для nginx лучше закрываться на уровне хттп, а не фастцги В контексте server if , Аноним, 20-Июл-16, 23:19 (35)
В PHP оперативненько пофиксили https bugs php net bug php id 72573, Володя, 21-Июл-16, 18:39 (37)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру