Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимости в PHP и PHPMailer, opennews (ok), 08-Дек-18, (0) [смотреть все] Бывают приятные уязвимости , Blind Vic (ok), 11:09 , 08-Дек-18, (1) +1 // В айфонах которые , commiethebeastie (ok), 11:31 , 08-Дек-18, (5) +16 то-то я удивлялся, чего это php_imap после установки не включается автоматически, пох (?), 11:11 , 08-Дек-18, (2) // зато можно сделать бложик с комментиками , annual slayer (?), 11:28 , 08-Дек-18, (3) +1 Ну согласись, передавать юзеринпут в параметры модуля имап да и в любые другие , Онаним (?), 11:26 , 09-Дек-18, (49) +2   // воркер просто обломится об out of memory, и ничего интересного не произойдет есл, пох (?), 13:15 , 09-Дек-18, (55)   // 1 Зависит от контекста Окей, подбираем значения под размер памяти, и дальше уж, Онаним (?), 13:36 , 09-Дек-18, (61) +2   ну хз - вот были генераторы во времена дисплеев 800x600 - генерили превьюшки с п, пох (?), 16:59 , 09-Дек-18, (65)   Суть в том, что пых, как и сишечка, кодера от выстрела себе в ногу не защищает н, Онаним (?), 13:39 , 09-Дек-18, (62) +3   Пора на WT , Аноним (4), 11:29 , 08-Дек-18, (4) Дыра с phar так и осталась нерешенной Suhosin вам не поможет, только смена язык, Аноним (7), 12:29 , 08-Дек-18, (7) +1 // фффпринципе, полагаю, там хватит однострочного патча в легко находимом месте код, пох (?), 12:50 , 08-Дек-18, (12) Нахрен он его вообще распаковывает Чтобы проверить файлы унутре file_exists , Аноним (32), 19:28 , 08-Дек-18, (32) // да во всяком случае семантика такая А что это нахрен никому не надо - авторов н, пох (?), 12:52 , 09-Дек-18, (51) Вы передаёте поданное пользователем имя файла phar в файловые операции, Онаним (?), 11:22 , 09-Дек-18, (47) –1 // да, передаем, потому что этот файл создан пользователем и имеет придуманное этим, пох (?), 13:01 , 09-Дек-18, (52) // Не надо хранить в базе то, что надо хранить в ФС Но вот 100 валидации пользова, Онаним (?), 13:18 , 09-Дек-18, (56) anon 1025 mkdir phar anon 1026 touch phar test jpganon 1027 ls -la, пох (?), 18:15 , 09-Дек-18, (70) В данном случае невалиден мозг, разрешивший передавать аж целые каталоги в юзери, Онаним (?), 18:43 , 09-Дек-18, (71) понятно все с вашими мозгами, гражданин пхп-обезьян юзер не должен передавать ка, пох (?), 18:46 , 09-Дек-18, (74) +1 Это может понадобиться, когда ты используешь phar для доступа к собранным в о, Онаним (?), 13:21 , 09-Дек-18, (57) и зачем оно вдруг имеет расширение jpg Отдельный вопрос - зачем вы используете, пох (?), 17:04 , 09-Дек-18, (66) Будем проверять все конкретные расширения Сегодня жпг, завтра гиф, послезавтра , Онаним (?), 18:44 , 09-Дек-18, (72) да Очевидно, что если файл имеет расширение jpeg, а внутри postscript - это ху, пох (?), 18:49 , 09-Дек-18, (76) а, кстати, почему нет, может он бэкап своего контейнера выложил Разумеется, ниж, пох (?), 19:31 , 09-Дек-18, (84) В имени файла, переданном пользователем типовому публичному web-приложению, вооб, Онаним (?), 09:27 , 11-Дек-18, (98) И вот тут ты очень правильно попал в этом случае выбранное валидируется согласн, Онаним (?), 18:46 , 09-Дек-18, (73) функцией file_exists, да менюшечка была в форме, сейчас нам POST пришел - с па, пох (?), 18:54 , 09-Дек-18, (78) Менюшечка из libastral so Если нет, то описатель этой менюшечки есть сервер-сай, Онаним (?), 20:15 , 09-Дек-18, (88) ну ок, храни ее вечно - пока пользователь то ли нажмет submit, то ли передумает,, пох (?), 23:00 , 09-Дек-18, (91) Да, правда PHP - очень удачная обёртка в виде небольшого рантайма с динамическо, Онаним (?), 09:09 , 10-Дек-18, (92) +1 Это - не уязвимость Это - бекдор , Аноним (8), 12:35 , 08-Дек-18, (8) // Извиняюсь, невнимательно прочитал Это не уязвимость и не бэкдор Это странный д, Аноним (8), 12:47 , 08-Дек-18, (11) // Функция может проверить содержится до файл в архиве или на фтп, что удобноНесомн, Аноним (41), 04:43 , 09-Дек-18, (41) Там ведь можно еще заюзать udp tcp stream и tls верно , Аноним (7), 13:08 , 08-Дек-18, (14) Это не бэкдор, это очень удобный механизм К сожалению, в кривых руках, привыкши, Онаним (?), 11:23 , 09-Дек-18, (48) –1 // Ага я сам язык ниучём неуноват , Аноним (86), 20:08 , 09-Дек-18, (86) // А никто вам защиту от выстрела в ногу не гарантировал , Онаним (?), 20:15 , 09-Дек-18, (87) Слово гарантировал в разработке ПО не используется Поэтому аргумент не засчит, Аноним (86), 22:15 , 09-Дек-18, (89) Интересно было бы узнать, где и с чем работают все эти немногочисленные хейтеры , Аноним (15), 14:05 , 08-Дек-18, (15) –3 // ErlangVM, Rust, Python3, Golang, NodeJS, Ruby , Аноним (7), 14:14 , 08-Дек-18, (16) // И шо, уже есть нормальные известные проекты на этом , Vitaliy Blats (?), 14:34 , 08-Дек-18, (17) // Есть Только никто не признаётся, на чём его проект, а то мамкины хацкеры, если , Аноним (20), 16:05 , 08-Дек-18, (20) –1 скачают типовой эксплойт для поделок на ror, node и что там у вас еще за хлам, а, пох (?), 16:17 , 08-Дек-18, (22) +1 ROP Gadget в твою вордпреску, скомпилят как модуль ядра и подгрузят , Аноним (24), 16:48 , 08-Дек-18, (24) Это все варианты, которые вам известны , Аноним (31), 18:58 , 08-Дек-18, (31) не, это что я сходу у себя в логе нашел, помимо coldfusion а и миллиона чего э, пох (?), 21:49 , 08-Дек-18, (34) поищи че нить такое 24 7B 28 23_memberAccess 5B 22allowStaticMethodAccess 22 , Sw00p aka Jerom (?), 01:10 , 09-Дек-18, (39) а, точно, cpyt-c же ж Не, такие продвинутые ко мне редко ходют, им проще подава, пох (?), 09:28 , 09-Дек-18, (43) Значит нету Что в принципе и требовалось доказать Почти все фронтенды пишутся н, Vitaliy Blats (?), 16:39 , 08-Дек-18, (23) Угу Чтоб он РАБОТАЛ так, как нужно заказчику не только на момент приёмки от , Аноним (31), 18:51 , 08-Дек-18, (29) через год этот заказчик уже банкрот и сдает квартиру, благо ипотеку выплатил в ж, пох (?), 21:54 , 08-Дек-18, (36) Так не бывает Поддерживать и исправлять уязвимости нужно постоянно и на любом я, Аноним (41), 08:26 , 09-Дек-18, (42) Дык отож Только одно дело раз в день по диагонали просматривать письма от log an, Аноним (64), 14:13 , 09-Дек-18, (64) более дешевле , да ПыХаПэ-культура в двух словах, ага Портрет явления, тскз, User (??), 22:51 , 08-Дек-18, (37) +2 фронтенды на пхп не пишут , Sw00p aka Jerom (?), 19:46 , 09-Дек-18, (85) +1 Если вы ничего не слышали о CloudFlare, GitHub, dl google и Netflix, то у меня д, Аноним84701 (ok), 17:47 , 08-Дек-18, (27) +1 окей, любитель приятных новостей - ни в какой из этих я работать не хочу, они ту, пох (?), 09:38 , 09-Дек-18, (44) Держите нас в курсе Нам ведь почти интересно Заметим, что тут еще и ловкая по, Аноним84701 (ok), 13:28 , 09-Дек-18, (59) ну ок, так и запишем - в основном - нигде, основная ниша - внутренняя кухня аж , пох (?), 17:07 , 09-Дек-18, (67) github com , НяшМяш (ok), 02:45 , 09-Дек-18, (40) Иными словами - в основном, нигде , Аноним (19), 16:00 , 08-Дек-18, (19) // Пыхапистам виднее, ведь эти мамкины разработчики уже всему научены , Аноним (24), 16:50 , 08-Дек-18, (25) Если язык для своего понимания, требует какие-то особые скиллы и особую уличную , Vitaliy Blats (?), 16:56 , 08-Дек-18, (26) –2 Если разработчик не имеет хотя бы минимальной подготовки и набора скиллов, он УЖ, Аноним (31), 18:53 , 08-Дек-18, (30) +1 Осторожнее, эта братия при сильном негодовании не только бананами закидать может, Анонн (?), 19:31 , 08-Дек-18, (33) как это не нужен А кто мне будет за пиццот рублев чинить сдохший битрикс Мне ч, пох (?), 21:52 , 08-Дек-18, (35) ып ып ып ыбуэээ , Аноним (64), 13:45 , 09-Дек-18, (63) буэ свое можешь откладывать сколько влезет, только не на мой столик - мне чтоб з, пох (?), 18:57 , 09-Дек-18, (80) Это все, что ты смог нагуглить о языках , vedronim (?), 23:06 , 08-Дек-18, (38) // Erlang Ruby - Elixir CrystalNimElmDlangHaskellScalaKotlinSwiftPonylang, Аноним (7), 12:15 , 09-Дек-18, (50) Определение слова хейтер и статистику по многочисленности - в студию А то есть, Аноним (86), 22:18 , 09-Дек-18, (90) Уязвимость выглядит как дерьмо, и реально дерьмо, но причина таковой - передача , Онаним (?), 11:09 , 09-Дек-18, (45) // проверку как производить будем - высунем окошко и будем ждать модератора-человек, пох (?), 13:09 , 09-Дек-18, (53) // В данном конкретном случае - регэкспом Валидный формат доменного имени вполне с, Онаним (?), 13:23 , 09-Дек-18, (58) +1 // ну и зачем, зачем тогда вы накрутили в imap_open какие-то другие операции с этим, пох (?), 17:16 , 09-Дек-18, (69) А затем, что у imap_open овердохера применений И накрутили не совсем в пхп, а в, Онаним (?), 18:48 , 09-Дек-18, (75) честно говоря, применение в виде imap over rsh мне представляется требующим при , пох (?), 19:03 , 09-Дек-18, (81) Что же до пыхмейлера - 250 кб кода, чтобы банально сформировать и отправить MIM, Онаним (?), 11:17 , 09-Дек-18, (46) –1 // где посмотреть на твои 25 строк кода, делающих то же самое exec metamail не ка, пох (?), 13:10 , 09-Дек-18, (54) +1 // Широкой публике - нигде Чекнул у себя Email php - 344 строки кода, 13 5 кб Уме, Онаним (?), 13:30 , 09-Дек-18, (60) –1 // ну молодец, возьми с полки пирожок Судя по отсутствию у тебя желания публиковат, пох (?), 17:12 , 09-Дек-18, (68) +1 Насчёт скорее всего по DKIM и POP - нет, в пхпмейлере там всё ногами, то есть , Онаним (?), 18:52 , 09-Дек-18, (77) –1 так его писали десять лет назад, если не больше - там еще много чего руками, что, пох (?), 19:07 , 09-Дек-18, (82) Ну и да, никаких нюансов , влияющих на функционирование, там нет Просто с пове, Онаним (?), 18:57 , 09-Дек-18, (79) –2 ну фиг знает - если код хороший - есть смысл его выложить, один использовавший в, пох (?), 19:09 , 09-Дек-18, (83) да трендишь 100 , наверняка там вагон и телега багов будет с юникодом каким-нибу, Gemorroj (ok), 12:57 , 10-Дек-18, (94) imap_open не имеет прямого отношения к отправке почты, которой занимается PHPMai, ваш КО (?), 14:55 , 10-Дек-18, (95) –1 Всё куда проще, я _GET в вызовы не передаю, предварительно не обработав во все , Аноним (97), 15:33 , 10-Дек-18, (97) –1 новость об уязвимостях написали, а об релизе пхп 7 3 нет совпадение не думаю , Gemorroj (ok), 12:51 , 10-Дек-18, (93) –1 // Вы рандомом что-ли новости для чтения выбирайте Новость про PHP 7 3 была за ден, Аноним (99), 12:26 , 11-Дек-18, (99) 1,2,4,7,8,15,45,46,93

Сообщения

[Сортировка по времени | RSS]

	49. "Уязвимости в PHP и PHPMailer"	+2 +/–
	Сообщение от Онаним (?), 09-Дек-18, 11:26
	Ну согласись, передавать юзеринпут в параметры модуля имап (да и в любые другие вызовы) без предварительной валидации - это идиотизм. Так можно и в GD "уязвимость" найти, если туда параметры $widht / $height для скейлинга без проверок передавать. Пара десятков запросов на 19200 x 10800 - и сервер счастлив.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	55. "Уязвимости в PHP и PHPMailer"	+/–
	Сообщение от пох (?), 09-Дек-18, 13:15
	> Пара десятков запросов на 19200 x 10800 - и сервер счастлив. воркер просто обломится об out of memory, и ничего интересного не произойдет. если мы не знаем, что именно дальше будет делаться с этим изображением - лимит потребляемых ресурсов (а не косвенный третьей степени) - это единственное, что вообще можно сделать. Потому что вполне может быть, что через пять лет это не будет проблемой для сервера, а изображение именно такого размера пользователю для чего-то нужно. А у тебя в коде невидимый и нерегулируемый лимит непонятно для чего. А вот запуск ssh вместо imap - это как-то, на мой взгляд, за гранью добра и зла. Но вполне в духе авторов пехепе.
	Ответить | Правка | Наверх | Cообщить модератору

	61. "Уязвимости в PHP и PHPMailer"	+2 +/–
	Сообщение от Онаним (?), 09-Дек-18, 13:36
	1. Зависит от контекста. Окей, подбираем значения под размер памяти, и дальше уже обламывается в OOM весь контекст. Плюс ещё ресурсы CPU на обсчёт этого дела нужны. Согласись, допустим в генераторе thumbnails логично проверить размерчик, который хочет пользователь, не? 2. Что значит невидимый и нерегулируемый? Добавляем tunables в конфигурацию, дальше желающие пострелять себе в ногу thumbnail'ами на 19200x10800 смогут легко это сделать. Но это будет их личная проблема. 3. Запуск ssh из imap - это к аффтарам libc-client, пхп тут не особо при чём.
	Ответить | Правка | Наверх | Cообщить модератору

	65. "Уязвимости в PHP и PHPMailer"	+/–
	Сообщение от пох (?), 09-Дек-18, 16:59
	> Согласись, допустим в генераторе thumbnails логично проверить размерчик, который хочет > пользователь, не? ну хз - вот были генераторы во времена дисплеев 800x600 - генерили превьюшки с почтовую марку. Сейчас их приходится стирать к хренам, и генерить новые, потому что 800x600 это уже размер превьюшки, а не картинки. А в эпоху 5" дисплеев 4k  я вот хз какого размера должны быть тамбнейлы - очень может быть что и 4k много не будет. > Добавляем tunables в конфигурацию сколько tunables мы туда добавим и какого она в итоге будет размера, если на всяк чих наздравствоваться? Я еще могу понять, если размер превьюшки выбирается слайдером - воткнуть проверку соответствия диапазону слайдера присылаемых значений (если нет - нас пытаются поломать). но в целом это тоже достаточно бессмысленные телодвижения, когда нельзя четко определить, какой user input заведомо невалиден, а какой нет, и приходится на ровном месте рисовать новые и новые проверки. пока программка простенькая - это будет прокатывать (если спрашивать отдельным диалогом для того же imap host/port/user/password - проверить просто. Если парсить урлы imap:// генеримые кем-то третьим - то, внезапно, все становится непонятно.) и да, отдельный вопрос - сколько в мире настоящих серверов imap, реально требующих ssh для работы с ними и кто их странные пользователи? по-моему, очевидно - overengineering - зло.
	Ответить | Правка | Наверх | Cообщить модератору

	62. "Уязвимости в PHP и PHPMailer"	+3 +/–
	Сообщение от Онаним (?), 09-Дек-18, 13:39
	Суть в том, что пых, как и сишечка, кодера от выстрела себе в ногу не защищает никак. Совсем-совсем. И списывать на язык собственно нежелание валидировать user input (что есть нарушение одного из основных правил безопасности при программировании, тащем-то) смысла нет.
	Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема