forum.opennet.ru

"Уязвимости в PHP и PHPMailer"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Есть идеи по улучшению форума и сайта ? Пишите.

. "Уязвимости в PHP и PHPMailer"	+/–
Сообщение от пох (?), 09-Дек-18, 18:15
> Передали что-то, отличное от валидного имени файла anon[1025] ~> mkdir phar: anon[1026] ~> touch phar:/test.jpg anon[1027] ~> ls -la phar://test.jpg -rw-r--r-- 1 anon users 0 Dec 9 18:07 phar://test.jpg что невалидного в данном имени файла? (сейчас начнется верчение ужом и классификация файлов на правильные и неправильные) > А то вам так и ../../../config/database_password.php для чтения передадут, и вы это > благополучно сжуёте. мы это можем (в отличие от вышеприведенного) проверить, причем двумя разными способами - честно распарсить путь (возможно - валидный, потому что все это происходит в ../../../../user-uploads/ !) или просто решить что parent-ссылки у нас запрещены - правильнее, безусловно, первое. ну, разумеется, правильнее - в языке, где проверка существования файла не ведет к выполнению кода, а не в php. потому что я не уверен что и нормализация перед проверкой (которая теоретически лечит первый пример) достаточна сегодня и всегда останется достаточной в свете новых макачьих изобретений. ты можешь просто не знать о том, что именно альтернативно-одаренные разработчики сочли только вчера особым случаем, который надо обработать извращенным образом.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимости в PHP и PHPMailer, opennews, 08-Дек-18, 11:09 [смотреть все]

Бывают приятные уязвимости , Blind Vic, 08-Дек-18, 11:09 (1) //
- В айфонах которые , commiethebeastie, 08-Дек-18, 11:31 (5)
то-то я удивлялся, чего это php_imap после установки не включается автоматически, пох, 08-Дек-18, 11:11 (2) //
- зато можно сделать бложик с комментиками , annual slayer, 08-Дек-18, 11:28 (3)
- Ну согласись, передавать юзеринпут в параметры модуля имап да и в любые другие , Онаним, 09-Дек-18, 11:26 (49) //
  - воркер просто обломится об out of memory, и ничего интересного не произойдет есл, пох, 09-Дек-18, 13:15 (55) //
    - 1 Зависит от контекста Окей, подбираем значения под размер памяти, и дальше уж, Онаним, 09-Дек-18, 13:36 (61)
      - ну хз - вот были генераторы во времена дисплеев 800x600 - генерили превьюшки с п, пох, 09-Дек-18, 16:59 (65)
    - Суть в том, что пых, как и сишечка, кодера от выстрела себе в ногу не защищает н, Онаним, 09-Дек-18, 13:39 (62)
Пора на WT , Аноним, 08-Дек-18, 11:29 (4)
Дыра с phar так и осталась нерешенной Suhosin вам не поможет, только смена язык, Аноним, 08-Дек-18, 12:29 (7) //
- фффпринципе, полагаю, там хватит однострочного патча в легко находимом месте код, пох, 08-Дек-18, 12:50 (12)
- Нахрен он его вообще распаковывает Чтобы проверить файлы унутре file_exists , Аноним, 08-Дек-18, 19:28 (32) //
  - да во всяком случае семантика такая А что это нахрен никому не надо - авторов н, пох, 09-Дек-18, 12:52 (51)
- Вы передаёте поданное пользователем имя файла phar в файловые операции, Онаним, 09-Дек-18, 11:22 (47) //
  - да, передаем, потому что этот файл создан пользователем и имеет придуманное этим, пох, 09-Дек-18, 13:01 (52) //
    - Не надо хранить в базе то, что надо хранить в ФС Но вот 100 валидации пользова, Онаним, 09-Дек-18, 13:18 (56)
      - anon 1025 mkdir phar anon 1026 touch phar test jpganon 1027 ls -la , пох, 09-Дек-18, 18:15 (70)
        
        В данном случае невалиден мозг, разрешивший передавать аж целые каталоги в юзери, Онаним, 09-Дек-18, 18:43 (71)
        
        понятно все с вашими мозгами, гражданин пхп-обезьян юзер не должен передавать ка, пох, 09-Дек-18, 18:46 (74)
    - Это может понадобиться, когда ты используешь phar для доступа к собранным в о, Онаним, 09-Дек-18, 13:21 (57)
      - и зачем оно вдруг имеет расширение jpg Отдельный вопрос - зачем вы используете, пох, 09-Дек-18, 17:04 (66)
        
        Будем проверять все конкретные расширения Сегодня жпг, завтра гиф, послезавтра , Онаним, 09-Дек-18, 18:44 (72)
        
        да Очевидно, что если файл имеет расширение jpeg, а внутри postscript - это ху, пох, 09-Дек-18, 18:49 (76)
        а, кстати, почему нет, может он бэкап своего контейнера выложил Разумеется, ниж, пох, 09-Дек-18, 19:31 (84)
        
        В имени файла, переданном пользователем типовому публичному web-приложению, вооб, Онаним, 11-Дек-18, 09:27 (98)
        
        И вот тут ты очень правильно попал в этом случае выбранное валидируется согласн, Онаним, 09-Дек-18, 18:46 (73)
        
        функцией file_exists, да менюшечка была в форме, сейчас нам POST пришел - с па, пох, 09-Дек-18, 18:54 (78)
        
        Менюшечка из libastral so Если нет, то описатель этой менюшечки есть сервер-сай, Онаним, 09-Дек-18, 20:15 (88)
        
        ну ок, храни ее вечно - пока пользователь то ли нажмет submit, то ли передумает,, пох, 09-Дек-18, 23:00 (91)
        
        Да, правда PHP - очень удачная обёртка в виде небольшого рантайма с динамическо, Онаним, 10-Дек-18, 09:09 (92)
Это - не уязвимость Это - бекдор , Аноним, 08-Дек-18, 12:35 (8) //
- Извиняюсь, невнимательно прочитал Это не уязвимость и не бэкдор Это странный д, Аноним, 08-Дек-18, 12:47 (11) //
  - Функция может проверить содержится до файл в архиве или на фтп, что удобноНесомн, Аноним, 09-Дек-18, 04:43 (41)
- Там ведь можно еще заюзать udp tcp stream и tls верно , Аноним, 08-Дек-18, 13:08 (14)
- Это не бэкдор, это очень удобный механизм К сожалению, в кривых руках, привыкши, Онаним, 09-Дек-18, 11:23 (48) //
  - Ага я сам язык ниучём неуноват , Аноним, 09-Дек-18, 20:08 (86) //
    - А никто вам защиту от выстрела в ногу не гарантировал , Онаним, 09-Дек-18, 20:15 (87)
      - Слово гарантировал в разработке ПО не используется Поэтому аргумент не засчит, Аноним, 09-Дек-18, 22:15 (89)
Интересно было бы узнать, где и с чем работают все эти немногочисленные хейтеры , Аноним, 08-Дек-18, 14:05 (15) //
- ErlangVM, Rust, Python3, Golang, NodeJS, Ruby , Аноним, 08-Дек-18, 14:14 (16) //
  - И шо, уже есть нормальные известные проекты на этом , Vitaliy Blats, 08-Дек-18, 14:34 (17) //
    - Есть Только никто не признаётся, на чём его проект, а то мамкины хацкеры, если , Аноним, 08-Дек-18, 16:05 (20)
      - скачают типовой эксплойт для поделок на ror, node и что там у вас еще за хлам, а, пох, 08-Дек-18, 16:17 (22)
        
        ROP Gadget в твою вордпреску, скомпилят как модуль ядра и подгрузят , Аноним, 08-Дек-18, 16:48 (24)
        Это все варианты, которые вам известны , Аноним, 08-Дек-18, 18:58 (31)
        
        не, это что я сходу у себя в логе нашел, помимо coldfusion а и миллиона чего э, пох, 08-Дек-18, 21:49 (34)
        
        поищи че нить такое 24 7B 28 23_memberAccess 5B 22allowStaticMethodAccess 22 , Sw00p aka Jerom, 09-Дек-18, 01:10 (39)
        
        а, точно, cpyt-c же ж Не, такие продвинутые ко мне редко ходют, им проще подава, пох, 09-Дек-18, 09:28 (43)
      - Значит нету Что в принципе и требовалось доказать Почти все фронтенды пишутся н, Vitaliy Blats, 08-Дек-18, 16:39 (23)
        
        Угу Чтоб он РАБОТАЛ так, как нужно заказчику не только на момент приёмки от , Аноним, 08-Дек-18, 18:51 (29)
        
        через год этот заказчик уже банкрот и сдает квартиру, благо ипотеку выплатил в ж, пох, 08-Дек-18, 21:54 (36)
        Так не бывает Поддерживать и исправлять уязвимости нужно постоянно и на любом я, Аноним, 09-Дек-18, 08:26 (42)
        
        Дык отож Только одно дело раз в день по диагонали просматривать письма от log an, Аноним, 09-Дек-18, 14:13 (64)
        
        более дешевле , да ПыХаПэ-культура в двух словах, ага Портрет явления, тскз, User, 08-Дек-18, 22:51 (37)
        фронтенды на пхп не пишут , Sw00p aka Jerom, 09-Дек-18, 19:46 (85)
    - Если вы ничего не слышали о CloudFlare, GitHub, dl google и Netflix, то у меня д, Аноним84701, 08-Дек-18, 17:47 (27)
      - окей, любитель приятных новостей - ни в какой из этих я работать не хочу, они ту, пох, 09-Дек-18, 09:38 (44)
        
        Держите нас в курсе Нам ведь почти интересно Заметим, что тут еще и ловкая по, Аноним84701, 09-Дек-18, 13:28 (59)
        
        ну ок, так и запишем - в основном - нигде, основная ниша - внутренняя кухня аж , пох, 09-Дек-18, 17:07 (67)
    - github com , НяшМяш, 09-Дек-18, 02:45 (40)
  - Иными словами - в основном, нигде , Аноним, 08-Дек-18, 16:00 (19) //
    - Пыхапистам виднее, ведь эти мамкины разработчики уже всему научены , Аноним, 08-Дек-18, 16:50 (25)
      - Если язык для своего понимания, требует какие-то особые скиллы и особую уличную , Vitaliy Blats, 08-Дек-18, 16:56 (26)
        
        Если разработчик не имеет хотя бы минимальной подготовки и набора скиллов, он УЖ, Аноним, 08-Дек-18, 18:53 (30)
        
        Осторожнее, эта братия при сильном негодовании не только бананами закидать может, Анонн, 08-Дек-18, 19:31 (33)
        как это не нужен А кто мне будет за пиццот рублев чинить сдохший битрикс Мне ч, пох, 08-Дек-18, 21:52 (35)
        
        ып ып ып ыбуэээ , Аноним, 09-Дек-18, 13:45 (63)
        
        буэ свое можешь откладывать сколько влезет, только не на мой столик - мне чтоб з, пох, 09-Дек-18, 18:57 (80)
  - Это все, что ты смог нагуглить о языках , vedronim, 08-Дек-18, 23:06 (38) //
    - Erlang Ruby - Elixir CrystalNimElmDlangHaskellScalaKotlinSwiftPonylang, Аноним, 09-Дек-18, 12:15 (50)
- Определение слова хейтер и статистику по многочисленности - в студию А то есть, Аноним, 09-Дек-18, 22:18 (90)
Уязвимость выглядит как дерьмо, и реально дерьмо, но причина таковой - передача , Онаним, 09-Дек-18, 11:09 (45) //
- проверку как производить будем - высунем окошко и будем ждать модератора-человек, пох, 09-Дек-18, 13:09 (53) //
  - В данном конкретном случае - регэкспом Валидный формат доменного имени вполне с, Онаним, 09-Дек-18, 13:23 (58) //
    - ну и зачем, зачем тогда вы накрутили в imap_open какие-то другие операции с этим, пох, 09-Дек-18, 17:16 (69)
      - А затем, что у imap_open овердохера применений И накрутили не совсем в пхп, а в, Онаним, 09-Дек-18, 18:48 (75)
        
        честно говоря, применение в виде imap over rsh мне представляется требующим при , пох, 09-Дек-18, 19:03 (81)
Что же до пыхмейлера - 250 кб кода, чтобы банально сформировать и отправить MIM, Онаним, 09-Дек-18, 11:17 (46) //
- где посмотреть на твои 25 строк кода, делающих то же самое exec metamail не ка, пох, 09-Дек-18, 13:10 (54) //
  - Широкой публике - нигде Чекнул у себя Email php - 344 строки кода, 13 5 кб Уме, Онаним, 09-Дек-18, 13:30 (60) //
    - ну молодец, возьми с полки пирожок Судя по отсутствию у тебя желания публиковат, пох, 09-Дек-18, 17:12 (68)
      - Насчёт скорее всего по DKIM и POP - нет, в пхпмейлере там всё ногами, то есть , Онаним, 09-Дек-18, 18:52 (77)
        
        так его писали десять лет назад, если не больше - там еще много чего руками, что, пох, 09-Дек-18, 19:07 (82)
      - Ну и да, никаких нюансов , влияющих на функционирование, там нет Просто с пове, Онаним, 09-Дек-18, 18:57 (79)
        
        ну фиг знает - если код хороший - есть смысл его выложить, один использовавший в, пох, 09-Дек-18, 19:09 (83)
        да трендишь 100 , наверняка там вагон и телега багов будет с юникодом каким-нибу, Gemorroj, 10-Дек-18, 12:57 (94)
        
        imap_open не имеет прямого отношения к отправке почты, которой занимается PHPMai, ваш КО, 10-Дек-18, 14:55 (95)
        Всё куда проще, я _GET в вызовы не передаю, предварительно не обработав во все , Аноним, 10-Дек-18, 15:33 (97)
новость об уязвимостях написали, а об релизе пхп 7 3 нет совпадение не думаю , Gemorroj, 10-Дек-18, 12:51 (93) //
- Вы рандомом что-ли новости для чтения выбирайте Новость про PHP 7 3 была за ден, Аноним, 11-Дек-18, 12:26 (99)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру