Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимости в Grafana, позволяющие получить доступ к файлам в системе, opennews (??), 11-Дек-21, (0) [смотреть все] Как хорошо, что почти всё запущено в докере в наши дни если конечно, человек н, Аноним (2), 12:13 , 11-Дек-21, (2) –3 // Этот случай обрабатывается SELinux Если, конечно, девопс не является не таким , Аноним (3), 12:16 , 11-Дек-21, (3) +8 // они ж selinux apparmor боятся как огня - , Роман (??), 12:51 , 11-Дек-21, (5) +2 // selinux и apparmor несовместимы Либо одно, либо второе , Аноним (19), 15:50 , 11-Дек-21, (19) –2 chmod - resist fire 555acl - reflect damage 50 apparmor - resist normal weapons, InuYasha (??), 18:51 , 11-Дек-21, (38) +6 power off - invulnerability, Онаним (?), 19:44 , 11-Дек-21, (39) +5 процессор и южный мост продолжают работать даже в выключенном компьютере - man, onanim (?), 09:39 , 13-Дек-21, (83) –1 BMC, вы хотели сказать Под power off я не shutdown подразумевал, а именно power, Онаним (?), 09:48 , 13-Дек-21, (84) Спасибо кэп, Аноним (51), 00:16 , 12-Дек-21, (51) И как в этих ваших кубирнетисах настраивать SELinux Если сегодня pod тут, а зав, Легивон (?), 09:20 , 12-Дек-21, (63) не знаю никого, кто б использовал докер в продуктиве - , Аноним (26), 17:18 , 11-Дек-21, (26) –1 // минимум эти - https www cncf io certification software-conformance , An0nim0us (?), 18:22 , 11-Дек-21, (34) Люто, неистово завидую , _ (??), 20:21 , 11-Дек-21, (40) Сочувствую, SubGun (??), 21:13 , 12-Дек-21, (78) +1 Fixed, Онаним (?), 18:28 , 11-Дек-21, (37) +1 Как хорошо, что почти всё говно жрут в наши дни если конечно мозгов нет , КО (?), 05:20 , 12-Дек-21, (54) // щас, кто тебя спрашивать-то будет, есть у тебя мозги или нет Жри чедали и не вы, ага (?), 08:35 , 12-Дек-21, (57) Пожал плечами Странно ждать от хипстерских поделок чего-то иного Не первая дыра,, Онаним (?), 12:18 , 11-Дек-21, (4) +6 // блин, а мне она когда-то нравилась ну до впендюривания хромонога внутрь, коне, пох. (?), 13:43 , 11-Дек-21, (12) Я всегда считал, что это 171 верхлежащие 187 каталоги, мы же поднимаемся вве, Аноним (6), 13:00 , 11-Дек-21, (6) +11 // В таком случае предлагаю тебе взобраться вверх на дерево до самого корня , Аноним (3), 13:31 , 11-Дек-21, (8) +2 // Приложение выполнило недопустимую операцию и будет закрыто , Аноним (14), 14:22 , 11-Дек-21, (14) // Приложение закрыло недопустимую операцию и будет выполнено - java, InuYasha (??), 17:24 , 11-Дек-21, (28) +6 У вас корень ФС внизу О_ОА ls тоже снизу вверх показывает А tree что выводи, Урри (ok), 15:10 , 11-Дек-21, (18) +3 // Планшет переверни , Аноним (22), 16:20 , 11-Дек-21, (22) +2 У него датчик ориентации - его такими трюками не обманешь , Аноним (46), 22:50 , 11-Дек-21, (46) +1 Ну дерево же, значит должно расти вверх, тянуться к солнцу , vitalif (ok), 18:07 , 11-Дек-21, (32) А если в Австралии , Аноним (46), 22:50 , 11-Дек-21, (47) +3 Дональд Кнут в TAOCP прикалывался над тем, что информатики рисуют деревья корням, Ordu (ok), 17:19 , 11-Дек-21, (27) +1 Интересно, а есть ли какой-нибудь справочник типовых ошибок Просто подобные уязв, Корец (?), 13:09 , 11-Дек-21, (7) // Не поможет Обычно такие баги появляются о, я тут придумал штуку, щас быстреньк, мое правило (?), 13:37 , 11-Дек-21, (9) +1 // И никакие поперечные юнит-тесты их не спасли Даже если у тебя тестами покрыто , Онаним (?), 13:41 , 11-Дек-21, (10) +5 // Значит ты еще и покрытие кода тестами неправильно посчитал Это вон из профессии, Аноним (14), 14:25 , 11-Дек-21, (17) –2 Покрытие кода тестами и покрытие кейсов тестами - две большие разницы В современ, Онаним (?), 18:26 , 11-Дек-21, (35) +2 Я такие дырки специально оставлял пару раз Естественно, не будет никаких за, Аноним (29), 17:26 , 11-Дек-21, (29) +1 OWASP Top 10 , macfaq (?), 14:22 , 11-Дек-21, (15) +3 полез проверить - филенотфоунд Что за херня А-а-а-а, это ж только в моднявой 8, пох. (?), 13:42 , 11-Дек-21, (11) +4 // Что такое - хромоног , Aa (?), 14:08 , 11-Дек-21, (13) +1 // В данном контексте безголовый хром , Аноним (14), 14:24 , 11-Дек-21, (16) +4 Проходите дальше, не задерживайтесь , нах.. (?), 22:29 , 11-Дек-21, (45) –1 Я тоже не понял , asand3r (ok), 12:51 , 12-Дек-21, (66) Все предыдущие обработчики в путях уволились , Онаним (?), 18:27 , 11-Дек-21, (36) +1 не огорчайтесь так, для вас все еще остается log4j, Михрютка (ok), 22:58 , 11-Дек-21, (48) +1 // Это не для нас, это для оправдания своей немаленькой зарплаты и при этом чтоб ни, пох. (?), 08:38 , 12-Дек-21, (58) Что ж ты не прислал патч и не показал как надо Копеечный код же Ах, ну да, ты , Аноним (70), 18:23 , 12-Дек-21, (70) // Прислал Имени Бармина У меня нет и не будет нигде использоваться графана от та, пох. (?), 23:09 , 12-Дек-21, (81) +2 Декада хипстоты потихоньку уходит в небытие Интересно, кто же их заменит , Аноним (20), 16:00 , 11-Дек-21, (20) // Они не уходят, а подростают из ВАЙТИШНИКОВ в ой б ну вас нах пойду лучше диза, Аноним (22), 16:24 , 11-Дек-21, (24) +2 // чем пориджы не устраивает , Аноним (25), 16:38 , 11-Дек-21, (25) +1 // Вообще говоря поридж - это не обязательно молодой Это просто недалекий, падкий д, Ananimasss (?), 09:15 , 12-Дек-21, (60) Раньше были формошлёпами для делфи, потом формошлёпы для пхп, так что формошлёпа, Аноним (50), 23:32 , 11-Дек-21, (50) У приличных людей все эти обрабатываются пока оно ещё URL, и только потом , YetAnotherOnanym (ok), 20:36 , 11-Дек-21, (43) // Дак вот кто сидел в апаче и приделывал там костыли А потом получили очередную д, Аноним (46), 22:58 , 11-Дек-21, (49) –1 // Эээ Я, вообще-то, не про Апач Кстати, а в чём проблема - декодить в цикле ка, YetAnotherOnanym (ok), 01:07 , 12-Дек-21, (52) +1   // в том же самом проблема, что и использовать универсальный парсер url для ненужно, пох. (?), 08:42 , 12-Дек-21, (59) +1   Ну, или так В любом случае, чтобы, после декодинга однократного или до победно, YetAnotherOnanym (ok), 23:04 , 12-Дек-21, (80)   А как зарубить в том же nginx Эти точечки никлому не упали, Аноним (53), 05:10 , 12-Дек-21, (53) // А зойчем, при настроенных правах ничего интересного ты от ввв не прочтешь А если, Ananimasss (?), 09:20 , 12-Дек-21, (62) // Крайне мало интересного известно о зомби-снежном человеке Кроме его социальн, пох. (?), 14:59 , 12-Дек-21, (67) +2 // Персональные учётки на серверах Админ локалхоста детектед , Аноним (70), 18:26 , 12-Дек-21, (71) А куда деваться с серверов от персональных учёток Или вы предпочитаете один рут , Онаним (?), 18:33 , 12-Дек-21, (72) +2 девляпс подход, у них всегда так Все ключи от всего в etcd А потом - ой дверь , пох. (?), 18:57 , 12-Дек-21, (75) +2 точна, девляпсы с миллиардами серверов-то всегда рутом ходют ну а кто наcpaл в , пох. (?), 18:53 , 12-Дек-21, (74) А если учесть что девляпсы любят в этих тюрячках пароли от редисок забывать , Онаним (?), 18:36 , 12-Дек-21, (73) +1 // а что, там еще и пароль был , пох. (?), 18:58 , 12-Дек-21, (76) +1 Ну это да, шутка юмора была такая Но суть та D, Онаним (?), 20:19 , 12-Дек-21, (77) Всё просто берешь исходники и правишь их , Аноним (64), 09:21 , 12-Дек-21, (64) // Угу, у тебя ж бесконечная жизнь и кряк на бесконечные деньги Ты можешь поправить, пох. (?), 15:38 , 12-Дек-21, (69) +1 Я вообще удивлен, что в 2021 году веб-серверы еще обрабатывают в URL , SubGun (??), 21:25 , 12-Дек-21, (79) А всё потому, что часть стандартной библиотеки по работе с путями в го - имя-язы, Wilem82 (ok), 08:13 , 12-Дек-21, (56) –4 // Писали бы на расте и была бы еще дна проблема под названием раст Вот Хасекль эт, Аноним (64), 09:19 , 12-Дек-21, (61) // Что самое интересное - пиши это дело PHP шники, и такого говна не было бы Потому, Онаним (?), 10:55 , 12-Дек-21, (65) +1 // Язык и данная проблема -- вещи ортогональные А если говорить про культуру, то, , anonymous (??), 12:27 , 13-Дек-21, (87) А тут не в языке дело, а в специфике, связанной с окружением языка , Онаним (?), 14:33 , 13-Дек-21, (88) да никакой проблемы - нет кода, нет уязвимостей Хаскель, конечно, надежнее , пох. (?), 15:01 , 12-Дек-21, (68) 2,4,6,7,11,20,43,53,56

Сообщения

[Сортировка по времени | RSS]

	52. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."	+1 +/–
	Сообщение от YetAnotherOnanym (ok), 12-Дек-21, 01:07
	Эээ... Я, вообще-то, не про Апач. Кстати, а в чём проблема - декодить в цикле (как завещал великий Дийкстра) пока оно не перестанет изменяться? И только после этого пройти по пути URL'а?
	Ответить | Правка | Наверх | Cообщить модератору

	59. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."	+1 +/–
	Сообщение от пох. (?), 12-Дек-21, 08:42
	в том же самом проблема, что и использовать универсальный парсер url для ненужного ненужно ldap:// эмбеднутого в нескучный логгер. Никогда не знаешь, где немножечко-немножечко лажанешь если не ты сам, то кто-то использующий этот твой код. Поэтому никаких декодингов в цикле. После одного, ровно одного прохода - фильтрация левых символов, нормализация, и 404 notfound или вообще 444. Ну это если тебя волнует безопасность, а не conformance высосанным из пальца теоретиками (потому что в 80 лет уже нельзя быть практиком, а нехилую зарплату хочется, таблеточки дороги) стандартам.
	Ответить | Правка | Наверх | Cообщить модератору

	80. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."	+/–
	Сообщение от YetAnotherOnanym (ok), 12-Дек-21, 23:04
	> Поэтому никаких декодингов в цикле. После одного, ровно одного прохода - фильтрация > левых символов, нормализация, и 404 notfound или вообще 444. Ну, или так. В любом случае, чтобы, после декодинга (однократного или до победного конца) никакие закодированные символы не распознавались (неважно, из-за отсутствия или из-за запрета им быть).
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема