forum.opennet.ru

"Критическая уязвимость в Drupal"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Второй уровень иерархии тем в форуме реализован через вкладку "Показ ключевых тем".

. "Критическая уязвимость в Drupal"	–1 +/–
Сообщение от пох (?), 31-Мрт-18, 13:45
> htmlspecialchars, filter_var это слишком низкоуровневые конструкции, и к тому же они by design неверны (если использовать filter не для валидации, с этим-то все в порядке, кроме названия). То есть малейшая неаккуратность, и получаем дыру типа описанной. трансляцию надо выполнять не на обработке input (потому что совершенно неизвестно, что мы с тем input делать собираемся - мы его может вообще сейчас as-is бросим обратно в рожу пользователю в тот textarea, из которого получили, потому что он капчу неверно набрал - и зачем, спрашивается, было куда-то транслировать?) ее надо выполнять в том месте, где ты с этим input что-то собрался делать. Если в базу собрался положить - тебе нужен sql translator, если в html - html'ный, в js - js'овый. Ну, надеюсь, eval() мы не собираемся? Хотя php-транслятором лучше сразу озаботиться ;-) Известно это становится только непосредственно на этапе выполнения, уже после всех валидаций и промежуточных обработок (попутно уже нельзя в этом месте вернуть ошибку и ничего не сделать). Именно там и надо фильтровать.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Критическая уязвимость в Drupal, opennews, 28-Мрт-18, 23:53 [смотреть все]

Это не дыра, это фича , Аноним, 28-Мрт-18, 23:59 (2) //
- господи друпал это жи грех какой то , Аноним, 29-Мрт-18, 21:17 (34)
А патчи в стили PHP, годы идут, ничего не меняется Мы тут ввод подчистим, вмест, Аноним, 29-Мрт-18, 00:02 (3) //
- принципиальная дыра - это вообще работать с каким-либо user input В противном с, пох, 29-Мрт-18, 00:32 (4) //
  - Принципиальная дыра - это ожидать, что в user input будет только то, что там дол, YetAnotherOnanym, 29-Мрт-18, 18:56 (33) //
    - они ничего такого не ожидали, просто ошиблись, упустив еще одно из миллиона мест, пох, 31-Мрт-18, 16:16 (48)
- Принципиально дыра в головах Прикрыть будет ооооочень сложно , anomymous, 31-Мрт-18, 11:55 (43)
Что, опять , th3m3, 29-Мрт-18, 01:15 (5)
https www drupal org files issues 2018-03-28 SA-CORE-2018-002 patchдля Drupal6, Sylvia, 29-Мрт-18, 07:03 (6) //
- Drupal6 упоминается почему-то только в одной ссылке В двух других только 7 и 8 , dq0s4y71, 28-Апр-18, 23:16 (51)
Одним словом - пехапе, Аноним, 29-Мрт-18, 08:05 (7) //
- Одним словом - не пехапе, а ошибки пейсателей парсеров пользовательских запросов, IRASoldier, 29-Мрт-18, 08:21 (8) //
  - ну, на самом-то деле, изначальное отсутствие в языке с низким порогом вхождения, Аноним, 29-Мрт-18, 10:29 (11) //
    - В современном PHP все уже есть А в старом коде времен php4, да, я видел парсеры, KonstantinB, 29-Мрт-18, 11:18 (15)
      - так это одной А полмиллиона других компаний сэкономили на этом по доллару - и в, Аноним, 29-Мрт-18, 12:30 (17)
        
        Сразу вспоминается модификация анекдота про ковбоев, которые увеличили ВВП , KonstantinB, 29-Мрт-18, 13:04 (23)
    - htmlspecialchars, filter_var, Аноне, 30-Мрт-18, 10:34 (40)
      - это слишком низкоуровневые конструкции, и к тому же они by design неверны если , пох, 31-Мрт-18, 13:45 (46)
Дырень касается всех или только тех у кого есть какие-то пользователи и они чего, Fy, 29-Мрт-18, 08:53 (9) //
- если у твоего локалхоста нет пользователей - нет, тебя не касается Особенно есл, ваш К.О., 29-Мрт-18, 10:17 (10) //
  - Тонко, Солнышко, 29-Мрт-18, 14:08 (26) //
    - Да куда уж тоньше Словно сайты без аунтификации и прочих форм ввода бывают толь, Аноним, 30-Мрт-18, 16:22 (41)
- Касается всех, даже включение режима обслуживания не спасет Ошибка прямо с бутс, 123, 29-Мрт-18, 10:39 (12)
Drupal весьма хорош для крупных порталов, для тех, кто не хочет изучать программ, Солнышко, 29-Мрт-18, 11:12 (13) //
- И безопасность, как видим, тоже Но шкурку натянуть можно, это да , Аноним, 29-Мрт-18, 12:29 (16) //
  - Для бизнеса чаще всего важнее шкурка, а не содержание В таком мире мы живем , Солнышко, 29-Мрт-18, 12:38 (19) //
    - Для бизнеса важны бабки, а как следствие - важно все Просто некоторые осознают , KonstantinB, 29-Мрт-18, 13:01 (22)
      - или не понесут а при удачном раскладе еще и страховку нехилую получат раскру, ыы, 29-Мрт-18, 14:05 (25)
        
        Или продадут успешный стартап, а отдуваться будет подрядчик фирмы, кто его куп, Солнышко, 29-Мрт-18, 14:08 (27)
        Да вот прямо сейчас последствия работы таких мастеров разгребаю До человека, к , KonstantinB, 29-Мрт-18, 15:28 (30)
        
        Неприятности происходят вне зависимости от того делаете вы что-то или нет с , ыы, 29-Мрт-18, 16:33 (32)
        
        Простите, вы какие-то вещества употребляете, или это ваш естественный ход мыслей, KonstantinB, 29-Мрт-18, 23:28 (35)
        
        Ну чел вообще-то в чём-то прав Вы с ним не согласны , Аноним, 30-Мрт-18, 00:08 (36)
        
        Два еврея пришли к раввину, чтобы он разрешил их спор - Ребе, вот я говорю, что , KonstantinB, 31-Мрт-18, 05:22 (42)
Оу шыт Вы посмотрите на этот патч Он выкидывает все параметры GET POST-запросо, KonstantinB, 29-Мрт-18, 11:16 (14) //
- Система render array https www drupal org docs 8 api render-api render-arrays, 123, 29-Мрт-18, 12:46 (20) //
  - Скорее https api drupal org api drupal developer 21topics 21forms_api_referenc, KonstantinB, 29-Мрт-18, 12:58 (21)
- Будь мужиком, покажи класс Напиши свой патч, а мы посмотрим, ок , Солнышко, 29-Мрт-18, 14:09 (28) //
  - Там изначальная архитектурная ошибка со смешением данных и колбэков в одном масс, KonstantinB, 29-Мрт-18, 15:26 (29) //
    - В тот момент эта идея мне показалась привлекательной с анек, ыы, 29-Мрт-18, 16:27 (31)
      - А можно весь анекдот Сходу не нагуглил , Аноним, 30-Мрт-18, 00:11 (37)
        
        Так это он весь и есть ыы , Led, 30-Мрт-18, 01:21 (38)
    - Смешение user input и callbacks в одном массиве OH SHI Закoпать и не откапыват, anomymous, 31-Мрт-18, 11:58 (44)
      - когда мы это писали - классов в php 4 еще не было а им надо было донести до , пох, 31-Мрт-18, 13:49 (47)
        
        Да были классы В конце концов, можно было бы просто два разных массива сделать , KonstantinB, 31-Мрт-18, 20:27 (49)
Проверьте кому не лень залатали ли эту уязвимость на сайте Белого дома , Аноним, 30-Мрт-18, 07:43 (39) //
- Он уже миллион лет не на Друпале Это всё реклама , redwolf, 31-Мрт-18, 12:45 (45)
Неудовлетворенные влечения, как сознательные, так и бессознательные, заставляют , Robin, 28-Мрт-23, 11:07 (52)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру