Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимости в PHP и PHPMailer, opennews (ok), 08-Дек-18, (0) [смотреть все] Бывают приятные уязвимости , Blind Vic (ok), 11:09 , 08-Дек-18, (1) +1 // В айфонах которые , commiethebeastie (ok), 11:31 , 08-Дек-18, (5) +16 то-то я удивлялся, чего это php_imap после установки не включается автоматически, пох (?), 11:11 , 08-Дек-18, (2) // зато можно сделать бложик с комментиками , annual slayer (?), 11:28 , 08-Дек-18, (3) +1 Ну согласись, передавать юзеринпут в параметры модуля имап да и в любые другие , Онаним (?), 11:26 , 09-Дек-18, (49) +2 // воркер просто обломится об out of memory, и ничего интересного не произойдет есл, пох (?), 13:15 , 09-Дек-18, (55) // 1 Зависит от контекста Окей, подбираем значения под размер памяти, и дальше уж, Онаним (?), 13:36 , 09-Дек-18, (61) +2 ну хз - вот были генераторы во времена дисплеев 800x600 - генерили превьюшки с п, пох (?), 16:59 , 09-Дек-18, (65) Суть в том, что пых, как и сишечка, кодера от выстрела себе в ногу не защищает н, Онаним (?), 13:39 , 09-Дек-18, (62) +3 Пора на WT , Аноним (4), 11:29 , 08-Дек-18, (4) Дыра с phar так и осталась нерешенной Suhosin вам не поможет, только смена язык, Аноним (7), 12:29 , 08-Дек-18, (7) +1 // фффпринципе, полагаю, там хватит однострочного патча в легко находимом месте код, пох (?), 12:50 , 08-Дек-18, (12) Нахрен он его вообще распаковывает Чтобы проверить файлы унутре file_exists , Аноним (32), 19:28 , 08-Дек-18, (32) // да во всяком случае семантика такая А что это нахрен никому не надо - авторов н, пох (?), 12:52 , 09-Дек-18, (51) Вы передаёте поданное пользователем имя файла phar в файловые операции, Онаним (?), 11:22 , 09-Дек-18, (47) –1   // да, передаем, потому что этот файл создан пользователем и имеет придуманное этим, пох (?), 13:01 , 09-Дек-18, (52)   // Не надо хранить в базе то, что надо хранить в ФС Но вот 100 валидации пользова, Онаним (?), 13:18 , 09-Дек-18, (56)   anon 1025 mkdir phar anon 1026 touch phar test jpganon 1027 ls -la, пох (?), 18:15 , 09-Дек-18, (70)   В данном случае невалиден мозг, разрешивший передавать аж целые каталоги в юзери, Онаним (?), 18:43 , 09-Дек-18, (71)   понятно все с вашими мозгами, гражданин пхп-обезьян юзер не должен передавать ка, пох (?), 18:46 , 09-Дек-18, (74) +1   Это может понадобиться, когда ты используешь phar для доступа к собранным в о, Онаним (?), 13:21 , 09-Дек-18, (57)   и зачем оно вдруг имеет расширение jpg Отдельный вопрос - зачем вы используете, пох (?), 17:04 , 09-Дек-18, (66)   Будем проверять все конкретные расширения Сегодня жпг, завтра гиф, послезавтра , Онаним (?), 18:44 , 09-Дек-18, (72)   да Очевидно, что если файл имеет расширение jpeg, а внутри postscript - это ху, пох (?), 18:49 , 09-Дек-18, (76)   а, кстати, почему нет, может он бэкап своего контейнера выложил Разумеется, ниж, пох (?), 19:31 , 09-Дек-18, (84)   В имени файла, переданном пользователем типовому публичному web-приложению, вооб, Онаним (?), 09:27 , 11-Дек-18, (98)   И вот тут ты очень правильно попал в этом случае выбранное валидируется согласн, Онаним (?), 18:46 , 09-Дек-18, (73)   функцией file_exists, да менюшечка была в форме, сейчас нам POST пришел - с па, пох (?), 18:54 , 09-Дек-18, (78)   Менюшечка из libastral so Если нет, то описатель этой менюшечки есть сервер-сай, Онаним (?), 20:15 , 09-Дек-18, (88)   ну ок, храни ее вечно - пока пользователь то ли нажмет submit, то ли передумает,, пох (?), 23:00 , 09-Дек-18, (91)   Да, правда PHP - очень удачная обёртка в виде небольшого рантайма с динамическо, Онаним (?), 09:09 , 10-Дек-18, (92) +1   Это - не уязвимость Это - бекдор , Аноним (8), 12:35 , 08-Дек-18, (8) // Извиняюсь, невнимательно прочитал Это не уязвимость и не бэкдор Это странный д, Аноним (8), 12:47 , 08-Дек-18, (11) // Функция может проверить содержится до файл в архиве или на фтп, что удобноНесомн, Аноним (41), 04:43 , 09-Дек-18, (41) Там ведь можно еще заюзать udp tcp stream и tls верно , Аноним (7), 13:08 , 08-Дек-18, (14) Это не бэкдор, это очень удобный механизм К сожалению, в кривых руках, привыкши, Онаним (?), 11:23 , 09-Дек-18, (48) –1 // Ага я сам язык ниучём неуноват , Аноним (86), 20:08 , 09-Дек-18, (86) // А никто вам защиту от выстрела в ногу не гарантировал , Онаним (?), 20:15 , 09-Дек-18, (87) Слово гарантировал в разработке ПО не используется Поэтому аргумент не засчит, Аноним (86), 22:15 , 09-Дек-18, (89) Интересно было бы узнать, где и с чем работают все эти немногочисленные хейтеры , Аноним (15), 14:05 , 08-Дек-18, (15) –3 // ErlangVM, Rust, Python3, Golang, NodeJS, Ruby , Аноним (7), 14:14 , 08-Дек-18, (16) // И шо, уже есть нормальные известные проекты на этом , Vitaliy Blats (?), 14:34 , 08-Дек-18, (17) // Есть Только никто не признаётся, на чём его проект, а то мамкины хацкеры, если , Аноним (20), 16:05 , 08-Дек-18, (20) –1 скачают типовой эксплойт для поделок на ror, node и что там у вас еще за хлам, а, пох (?), 16:17 , 08-Дек-18, (22) +1 ROP Gadget в твою вордпреску, скомпилят как модуль ядра и подгрузят , Аноним (24), 16:48 , 08-Дек-18, (24) Это все варианты, которые вам известны , Аноним (31), 18:58 , 08-Дек-18, (31) не, это что я сходу у себя в логе нашел, помимо coldfusion а и миллиона чего э, пох (?), 21:49 , 08-Дек-18, (34) поищи че нить такое 24 7B 28 23_memberAccess 5B 22allowStaticMethodAccess 22 , Sw00p aka Jerom (?), 01:10 , 09-Дек-18, (39) а, точно, cpyt-c же ж Не, такие продвинутые ко мне редко ходют, им проще подава, пох (?), 09:28 , 09-Дек-18, (43) Значит нету Что в принципе и требовалось доказать Почти все фронтенды пишутся н, Vitaliy Blats (?), 16:39 , 08-Дек-18, (23) Угу Чтоб он РАБОТАЛ так, как нужно заказчику не только на момент приёмки от , Аноним (31), 18:51 , 08-Дек-18, (29) через год этот заказчик уже банкрот и сдает квартиру, благо ипотеку выплатил в ж, пох (?), 21:54 , 08-Дек-18, (36) Так не бывает Поддерживать и исправлять уязвимости нужно постоянно и на любом я, Аноним (41), 08:26 , 09-Дек-18, (42) Дык отож Только одно дело раз в день по диагонали просматривать письма от log an, Аноним (64), 14:13 , 09-Дек-18, (64) более дешевле , да ПыХаПэ-культура в двух словах, ага Портрет явления, тскз, User (??), 22:51 , 08-Дек-18, (37) +2 фронтенды на пхп не пишут , Sw00p aka Jerom (?), 19:46 , 09-Дек-18, (85) +1 Если вы ничего не слышали о CloudFlare, GitHub, dl google и Netflix, то у меня д, Аноним84701 (ok), 17:47 , 08-Дек-18, (27) +1 окей, любитель приятных новостей - ни в какой из этих я работать не хочу, они ту, пох (?), 09:38 , 09-Дек-18, (44) Держите нас в курсе Нам ведь почти интересно Заметим, что тут еще и ловкая по, Аноним84701 (ok), 13:28 , 09-Дек-18, (59) ну ок, так и запишем - в основном - нигде, основная ниша - внутренняя кухня аж , пох (?), 17:07 , 09-Дек-18, (67) github com , НяшМяш (ok), 02:45 , 09-Дек-18, (40) Иными словами - в основном, нигде , Аноним (19), 16:00 , 08-Дек-18, (19) // Пыхапистам виднее, ведь эти мамкины разработчики уже всему научены , Аноним (24), 16:50 , 08-Дек-18, (25) Если язык для своего понимания, требует какие-то особые скиллы и особую уличную , Vitaliy Blats (?), 16:56 , 08-Дек-18, (26) –2 Если разработчик не имеет хотя бы минимальной подготовки и набора скиллов, он УЖ, Аноним (31), 18:53 , 08-Дек-18, (30) +1 Осторожнее, эта братия при сильном негодовании не только бананами закидать может, Анонн (?), 19:31 , 08-Дек-18, (33) как это не нужен А кто мне будет за пиццот рублев чинить сдохший битрикс Мне ч, пох (?), 21:52 , 08-Дек-18, (35) ып ып ып ыбуэээ , Аноним (64), 13:45 , 09-Дек-18, (63) буэ свое можешь откладывать сколько влезет, только не на мой столик - мне чтоб з, пох (?), 18:57 , 09-Дек-18, (80) Это все, что ты смог нагуглить о языках , vedronim (?), 23:06 , 08-Дек-18, (38) // Erlang Ruby - Elixir CrystalNimElmDlangHaskellScalaKotlinSwiftPonylang, Аноним (7), 12:15 , 09-Дек-18, (50) Определение слова хейтер и статистику по многочисленности - в студию А то есть, Аноним (86), 22:18 , 09-Дек-18, (90) Уязвимость выглядит как дерьмо, и реально дерьмо, но причина таковой - передача , Онаним (?), 11:09 , 09-Дек-18, (45) // проверку как производить будем - высунем окошко и будем ждать модератора-человек, пох (?), 13:09 , 09-Дек-18, (53) // В данном конкретном случае - регэкспом Валидный формат доменного имени вполне с, Онаним (?), 13:23 , 09-Дек-18, (58) +1 // ну и зачем, зачем тогда вы накрутили в imap_open какие-то другие операции с этим, пох (?), 17:16 , 09-Дек-18, (69) А затем, что у imap_open овердохера применений И накрутили не совсем в пхп, а в, Онаним (?), 18:48 , 09-Дек-18, (75) честно говоря, применение в виде imap over rsh мне представляется требующим при , пох (?), 19:03 , 09-Дек-18, (81) Что же до пыхмейлера - 250 кб кода, чтобы банально сформировать и отправить MIM, Онаним (?), 11:17 , 09-Дек-18, (46) –1 // где посмотреть на твои 25 строк кода, делающих то же самое exec metamail не ка, пох (?), 13:10 , 09-Дек-18, (54) +1 // Широкой публике - нигде Чекнул у себя Email php - 344 строки кода, 13 5 кб Уме, Онаним (?), 13:30 , 09-Дек-18, (60) –1 // ну молодец, возьми с полки пирожок Судя по отсутствию у тебя желания публиковат, пох (?), 17:12 , 09-Дек-18, (68) +1 Насчёт скорее всего по DKIM и POP - нет, в пхпмейлере там всё ногами, то есть , Онаним (?), 18:52 , 09-Дек-18, (77) –1 так его писали десять лет назад, если не больше - там еще много чего руками, что, пох (?), 19:07 , 09-Дек-18, (82) Ну и да, никаких нюансов , влияющих на функционирование, там нет Просто с пове, Онаним (?), 18:57 , 09-Дек-18, (79) –2 ну фиг знает - если код хороший - есть смысл его выложить, один использовавший в, пох (?), 19:09 , 09-Дек-18, (83) да трендишь 100 , наверняка там вагон и телега багов будет с юникодом каким-нибу, Gemorroj (ok), 12:57 , 10-Дек-18, (94) imap_open не имеет прямого отношения к отправке почты, которой занимается PHPMai, ваш КО (?), 14:55 , 10-Дек-18, (95) –1 Всё куда проще, я _GET в вызовы не передаю, предварительно не обработав во все , Аноним (97), 15:33 , 10-Дек-18, (97) –1 новость об уязвимостях написали, а об релизе пхп 7 3 нет совпадение не думаю , Gemorroj (ok), 12:51 , 10-Дек-18, (93) –1 // Вы рандомом что-ли новости для чтения выбирайте Новость про PHP 7 3 была за ден, Аноним (99), 12:26 , 11-Дек-18, (99) 1,2,4,7,8,15,45,46,93

Сообщения

[Сортировка по времени | RSS]

	47. "Уязвимости в PHP и PHPMailer"	–1 +/–
	Сообщение от Онаним (?), 09-Дек-18, 11:22
	Вы передаёте поданное пользователем имя файла ("phar://...") в файловые операции над локальной ФС? У меня для вас плохие новости.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	52. "Уязвимости в PHP и PHPMailer"	+/–
	Сообщение от пох (?), 09-Дек-18, 13:01
	да, передаем, потому что этот файл создан пользователем и имеет придуманное этим пользователем имя - идеи хранить в базе данных то, для чего изначально предназначена fs - засуньте себе туда, откуда у вас вывалилась прекрасная идея вместо файлов использовать всякую галиматью в любой функции, работающей с файлами, "зато как в винде!" (хотя винда хотя бы код не *исполняет* - это ваше уникальное достижение). А что его надо проверять еще и на "phar", а не только на ранее проверяемый миллион возможных в вашем прекрасном языке подстав - это вот ново, стильно и молодежно, кто-то был сверхосторожен и оно еще на этапе // улетит в помойку, а кому-то нужны были иерархии и в самих по себе // он проблемы не видел, и в двоеточиях тоже, это валидный символ. А теперь расскажите, зачем вы вообще интерпретируете как phar (то же касается умничек из проекта ghostscript) то что не оканчивается на .phar, вместо возврата ошибки, и в каком реальном случае может понадобиться такая е..нина, кроме писания эксплойтов?
	Ответить | Правка | Наверх | Cообщить модератору

	56. "Уязвимости в PHP и PHPMailer"	+/–
	Сообщение от Онаним (?), 09-Дек-18, 13:18
	Не надо хранить в базе то, что надо хранить в ФС. Но вот 100% валидации пользовательских данных никто не отменял. Если не хочется валидировать - значит не надо использовать: загруженному файлу присвоили внутренний ID, а оригинальное имя файла записали в БД или файл метаданных. Если же валидировать - валидировать полностью. Передали что-то, отличное от валидного имени файла - в баню. А то вам так и ../../../config/database_password.php для чтения передадут, и вы это благополучно сжуёте.
	Ответить | Правка | Наверх | Cообщить модератору

	70. "Уязвимости в PHP и PHPMailer"	+/–
	Сообщение от пох (?), 09-Дек-18, 18:15
	> Передали что-то, отличное от валидного имени файла anon[1025] ~>  mkdir phar: anon[1026] ~> touch phar:/test.jpg anon[1027] ~> ls -la phar://test.jpg -rw-r--r-- 1 anon users 0 Dec  9 18:07 phar://test.jpg что невалидного в данном имени файла? (сейчас начнется верчение ужом и классификация файлов на правильные и неправильные) > А то вам так и ../../../config/database_password.php для чтения передадут, и вы это > благополучно сжуёте. мы это можем (в отличие от вышеприведенного) проверить, причем двумя разными способами - честно распарсить путь (возможно - валидный, потому что все это происходит в ../../../../user-uploads/ !) или просто решить что parent-ссылки у нас запрещены - правильнее, безусловно, первое. ну, разумеется, правильнее - в языке, где проверка существования файла не ведет к выполнению кода, а не в php. потому что я не уверен что и нормализация перед проверкой (которая теоретически лечит первый пример) достаточна сегодня и всегда останется достаточной в свете новых макачьих изобретений. ты можешь просто не знать о том, что именно альтернативно-одаренные разработчики сочли только вчера особым случаем, который надо обработать извращенным образом.
	Ответить | Правка | Наверх | Cообщить модератору

	71. "Уязвимости в PHP и PHPMailer"	+/–
	Сообщение от Онаним (?), 09-Дек-18, 18:43
	В данном случае невалиден мозг, разрешивший передавать аж целые каталоги в юзеринпуте.
	Ответить | Правка | Наверх | Cообщить модератору

	74. "Уязвимости в PHP и PHPMailer"	+1 +/–
	Сообщение от пох (?), 09-Дек-18, 18:46
	понятно все с вашими мозгами, гражданин пхп-обезьян. юзер не должен передавать какие-то каталоги, пусть валит все в кучку, зато мы, виликие, безопасТно можем вместо путей использовать исполняемый код в файловом апи. в общем, если до истории с phar у меня были какие-то сомнения что php не виноват, дело в разработчиках, то теперь я убежден что наоборот, разработчики и их любимая среда идеально соответствуют друг-другу.
	Ответить | Правка | Наверх | Cообщить модератору

	57. "Уязвимости в PHP и PHPMailer"	+/–
	Сообщение от Онаним (?), 09-Дек-18, 13:21
	Это может понадобиться, когда ты используешь phar:// для доступа к собранным в один пакет данным приложения.  PHP, внезапно, это не только фронтендики для интернетико-магазинчиков. То же, что кто-то вдруг в наличии символа / в переданном ЮЗЕРОМ _имени файла_ проблемы не видит - это строго его ментальные проблемы.
	Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

	66. "Уязвимости в PHP и PHPMailer"	+/–
	Сообщение от пох (?), 09-Дек-18, 17:04
	> Это может понадобиться, когда ты используешь phar:// для доступа к собранным в один пакет > данным приложения. и зачем оно вдруг имеет расширение .jpg? Отдельный вопрос - зачем вы используете апи для работы с файловой системой для работы с _исполняемым_кодом_? (ладно бы phar был просто архивом, это было бы относительно безобидной фичей языка) > То же, что кто-то вдруг в наличии символа / в переданном ЮЗЕРОМ юзер его не передает  - юзер выбирает путь, в удобной менюшечке интуитивно приятного интерфейса, чтобы не валить все в одну помойку. В ваш код, разумеется, приедет имя файла с путем. Не вижу ничего неправильного в этом.
	Ответить | Правка | Наверх | Cообщить модератору

	72. "Уязвимости в PHP и PHPMailer"	+/–
	Сообщение от Онаним (?), 09-Дек-18, 18:44
	Будем проверять все конкретные расширения? Сегодня жпг, завтра гиф, послезавтра мп10? Не проще сразу изолироваться от возможных ошибок, храня юзерские имена отдельно от контента? А то юзер может захотеть ../../../etc/passwd похранить нечаянно, тоже будем?
	Ответить | Правка | Наверх | Cообщить модератору

	76. "Уязвимости в PHP и PHPMailer"	+/–
	Сообщение от пох (?), 09-Дек-18, 18:49
	> Будем проверять все конкретные расширения? да. Очевидно, что если файл имеет расширение .jpeg, а внутри postscript - это хуже чем ошибка, это преступление. То есть это явная и недвусмысленная попытка взломать ваш чудо-сайтик с вероятностью 99%, и еще один оставим таки уникально-жопорукому юзеру, которуму лучше заблокировать акаунт до выяснения, чем подвергать риску остальных. И тем более надо отказываться выполнять исполняемый код, не имеющий правильного оформления в виде имени файла. Но нет, вы будете накручивать проверки на проверки, а потом опа, магия - .jpg исполняется тремя разными способами, спешите видеть чудо!
	Ответить | Правка | Наверх | Cообщить модератору

	84. "Уязвимости в PHP и PHPMailer"	+/–
	Сообщение от пох (?), 09-Дек-18, 19:31
	> А то юзер может захотеть ../../../etc/passwd похранить нечаянно, тоже будем? а, кстати, почему нет, может он бэкап своего контейнера выложил? Разумеется, ниже ../../../backup/ запретим пользоваться относительными путями? или все же может перестанем десериализовывать .jpeg при проверке его существования? с моей точки зрения выбор между этими двумя вариантами очевиден. с точки зрения разработчиков языка - тоже, но почему-то это разные выборы.
	Ответить | Правка | К родителю #72 | Наверх | Cообщить модератору

	98. "Уязвимости в PHP и PHPMailer"	+/–
	Сообщение от Онаним (?), 11-Дек-18, 09:27
	В имени файла, переданном пользователем типовому публичному web-приложению, вообще не может существовать никаких путей. Хочешь выкладывать бэкап контейнера - выкладывай в tar. Если приложение не носит характер публичного web-приложения, там уже можно делать что угодно, понимая последствия.
	Ответить | Правка | Наверх | Cообщить модератору

	73. "Уязвимости в PHP и PHPMailer"	+/–
	Сообщение от Онаним (?), 09-Дек-18, 18:46
	> юзер его не передает  - юзер выбирает путь, в удобной менюшечке интуитивно приятного интерфейса И вот тут ты очень правильно попал: в этом случае выбранное валидируется согласно этой самой менюшечке при любом доступе. Не просто берём переданный с потолка путь и открываем, а сравниваем на предмет присутствия в этой менюшечке. Не присутствует - в баню.
	Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору

	78. "Уязвимости в PHP и PHPMailer"	+/–
	Сообщение от пох (?), 09-Дек-18, 18:54
	> а сравниваем на предмет присутствия в этой менюшечке функцией file_exists, да? (менюшечка была в форме, сейчас нам POST пришел - с параметрами заполненными с этой менюшечки...или не этой...хехе. Зашифруем всю форму и отправим вместе с постом, на предмет детальной проверки (еще pgp подписать не забудьте), так мыслит типичный *хороший* php-кодер?) ну я смотрю, вы неплохо вертитесь ужом, придумывая все новые и новые интересные способы валидации того, что было бы вовсе не надо валидировать, используй ваш язык программирования нормальный апи.
	Ответить | Правка | Наверх | Cообщить модератору

	88. "Уязвимости в PHP и PHPMailer"	+/–
	Сообщение от Онаним (?), 09-Дек-18, 20:15
	Менюшечка из libastral.so? Если нет, то описатель этой менюшечки есть сервер-сайд, не надо ничего лишнего отправлять.
	Ответить | Правка | Наверх | Cообщить модератору

	91. "Уязвимости в PHP и PHPMailer"	+/–
	Сообщение от пох (?), 09-Дек-18, 23:00
	> Если нет, то описатель этой менюшечки есть сервер-сайд, не надо ничего лишнего отправлять. ну ок, храни ее вечно - пока пользователь то ли нажмет submit, то ли передумает, то ли пойдет пообедать. в принципе, когда траффик был дорогой, мы так и делали. но вообще-то опять же - хранить то что и так хранится в виде файловой системы только ради того чтоб ненароком не выполнить код при попытке проверить существование... нет, ты правда считаешь ЭТО хорошим языком?
	Ответить | Правка | Наверх | Cообщить модератору

	92. "Уязвимости в PHP и PHPMailer"	+1 +/–
	Сообщение от Онаним (?), 10-Дек-18, 09:09
	Да, правда. PHP - очень удачная обёртка в виде небольшого рантайма с динамической сборкой поверх тонны сишных библиотек. Удачнее не получилось, не получалось и не получается ни у кого уже лет 30.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема