Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимости в Grafana, позволяющие получить доступ к файлам в системе, opennews (??), 11-Дек-21, (0) [смотреть все] Как хорошо, что почти всё запущено в докере в наши дни если конечно, человек н, Аноним (2), 12:13 , 11-Дек-21, (2) –3 // Этот случай обрабатывается SELinux Если, конечно, девопс не является не таким , Аноним (3), 12:16 , 11-Дек-21, (3) +8 // они ж selinux apparmor боятся как огня - , Роман (??), 12:51 , 11-Дек-21, (5) +2 // selinux и apparmor несовместимы Либо одно, либо второе , Аноним (19), 15:50 , 11-Дек-21, (19) –2 chmod - resist fire 555acl - reflect damage 50 apparmor - resist normal weapons, InuYasha (??), 18:51 , 11-Дек-21, (38) +6 power off - invulnerability, Онаним (?), 19:44 , 11-Дек-21, (39) +5 процессор и южный мост продолжают работать даже в выключенном компьютере - man, onanim (?), 09:39 , 13-Дек-21, (83) –1 BMC, вы хотели сказать Под power off я не shutdown подразумевал, а именно power, Онаним (?), 09:48 , 13-Дек-21, (84) Спасибо кэп, Аноним (51), 00:16 , 12-Дек-21, (51) И как в этих ваших кубирнетисах настраивать SELinux Если сегодня pod тут, а зав, Легивон (?), 09:20 , 12-Дек-21, (63) не знаю никого, кто б использовал докер в продуктиве - , Аноним (26), 17:18 , 11-Дек-21, (26) –1 // минимум эти - https www cncf io certification software-conformance , An0nim0us (?), 18:22 , 11-Дек-21, (34) Люто, неистово завидую , _ (??), 20:21 , 11-Дек-21, (40) Сочувствую, SubGun (??), 21:13 , 12-Дек-21, (78) +1 Fixed, Онаним (?), 18:28 , 11-Дек-21, (37) +1 Как хорошо, что почти всё говно жрут в наши дни если конечно мозгов нет , КО (?), 05:20 , 12-Дек-21, (54) // щас, кто тебя спрашивать-то будет, есть у тебя мозги или нет Жри чедали и не вы, ага (?), 08:35 , 12-Дек-21, (57) Пожал плечами Странно ждать от хипстерских поделок чего-то иного Не первая дыра,, Онаним (?), 12:18 , 11-Дек-21, (4) +6 // блин, а мне она когда-то нравилась ну до впендюривания хромонога внутрь, коне, пох. (?), 13:43 , 11-Дек-21, (12) Я всегда считал, что это 171 верхлежащие 187 каталоги, мы же поднимаемся вве, Аноним (6), 13:00 , 11-Дек-21, (6) +11 // В таком случае предлагаю тебе взобраться вверх на дерево до самого корня , Аноним (3), 13:31 , 11-Дек-21, (8) +2 // Приложение выполнило недопустимую операцию и будет закрыто , Аноним (14), 14:22 , 11-Дек-21, (14) // Приложение закрыло недопустимую операцию и будет выполнено - java, InuYasha (??), 17:24 , 11-Дек-21, (28) +6 У вас корень ФС внизу О_ОА ls тоже снизу вверх показывает А tree что выводи, Урри (ok), 15:10 , 11-Дек-21, (18) +3 // Планшет переверни , Аноним (22), 16:20 , 11-Дек-21, (22) +2 У него датчик ориентации - его такими трюками не обманешь , Аноним (46), 22:50 , 11-Дек-21, (46) +1 Ну дерево же, значит должно расти вверх, тянуться к солнцу , vitalif (ok), 18:07 , 11-Дек-21, (32) А если в Австралии , Аноним (46), 22:50 , 11-Дек-21, (47) +3 Дональд Кнут в TAOCP прикалывался над тем, что информатики рисуют деревья корням, Ordu (ok), 17:19 , 11-Дек-21, (27) +1 Интересно, а есть ли какой-нибудь справочник типовых ошибок Просто подобные уязв, Корец (?), 13:09 , 11-Дек-21, (7)   // Не поможет Обычно такие баги появляются о, я тут придумал штуку, щас быстреньк, мое правило (?), 13:37 , 11-Дек-21, (9) +1   // И никакие поперечные юнит-тесты их не спасли Даже если у тебя тестами покрыто , Онаним (?), 13:41 , 11-Дек-21, (10) +5   // Значит ты еще и покрытие кода тестами неправильно посчитал Это вон из профессии, Аноним (14), 14:25 , 11-Дек-21, (17) –2   Покрытие кода тестами и покрытие кейсов тестами - две большие разницы В современ, Онаним (?), 18:26 , 11-Дек-21, (35) +2   Я такие дырки специально оставлял пару раз Естественно, не будет никаких за, Аноним (29), 17:26 , 11-Дек-21, (29) +1   OWASP Top 10 , macfaq (?), 14:22 , 11-Дек-21, (15) +3   полез проверить - филенотфоунд Что за херня А-а-а-а, это ж только в моднявой 8, пох. (?), 13:42 , 11-Дек-21, (11) +4 // Что такое - хромоног , Aa (?), 14:08 , 11-Дек-21, (13) +1 // В данном контексте безголовый хром , Аноним (14), 14:24 , 11-Дек-21, (16) +4 Проходите дальше, не задерживайтесь , нах.. (?), 22:29 , 11-Дек-21, (45) –1 Я тоже не понял , asand3r (ok), 12:51 , 12-Дек-21, (66) Все предыдущие обработчики в путях уволились , Онаним (?), 18:27 , 11-Дек-21, (36) +1 не огорчайтесь так, для вас все еще остается log4j, Михрютка (ok), 22:58 , 11-Дек-21, (48) +1 // Это не для нас, это для оправдания своей немаленькой зарплаты и при этом чтоб ни, пох. (?), 08:38 , 12-Дек-21, (58) Что ж ты не прислал патч и не показал как надо Копеечный код же Ах, ну да, ты , Аноним (70), 18:23 , 12-Дек-21, (70) // Прислал Имени Бармина У меня нет и не будет нигде использоваться графана от та, пох. (?), 23:09 , 12-Дек-21, (81) +2 Декада хипстоты потихоньку уходит в небытие Интересно, кто же их заменит , Аноним (20), 16:00 , 11-Дек-21, (20) // Они не уходят, а подростают из ВАЙТИШНИКОВ в ой б ну вас нах пойду лучше диза, Аноним (22), 16:24 , 11-Дек-21, (24) +2 // чем пориджы не устраивает , Аноним (25), 16:38 , 11-Дек-21, (25) +1 // Вообще говоря поридж - это не обязательно молодой Это просто недалекий, падкий д, Ananimasss (?), 09:15 , 12-Дек-21, (60) Раньше были формошлёпами для делфи, потом формошлёпы для пхп, так что формошлёпа, Аноним (50), 23:32 , 11-Дек-21, (50) У приличных людей все эти обрабатываются пока оно ещё URL, и только потом , YetAnotherOnanym (ok), 20:36 , 11-Дек-21, (43) // Дак вот кто сидел в апаче и приделывал там костыли А потом получили очередную д, Аноним (46), 22:58 , 11-Дек-21, (49) –1 // Эээ Я, вообще-то, не про Апач Кстати, а в чём проблема - декодить в цикле ка, YetAnotherOnanym (ok), 01:07 , 12-Дек-21, (52) +1 // в том же самом проблема, что и использовать универсальный парсер url для ненужно, пох. (?), 08:42 , 12-Дек-21, (59) +1 Ну, или так В любом случае, чтобы, после декодинга однократного или до победно, YetAnotherOnanym (ok), 23:04 , 12-Дек-21, (80) А как зарубить в том же nginx Эти точечки никлому не упали, Аноним (53), 05:10 , 12-Дек-21, (53) // А зойчем, при настроенных правах ничего интересного ты от ввв не прочтешь А если, Ananimasss (?), 09:20 , 12-Дек-21, (62) // Крайне мало интересного известно о зомби-снежном человеке Кроме его социальн, пох. (?), 14:59 , 12-Дек-21, (67) +2 // Персональные учётки на серверах Админ локалхоста детектед , Аноним (70), 18:26 , 12-Дек-21, (71) А куда деваться с серверов от персональных учёток Или вы предпочитаете один рут , Онаним (?), 18:33 , 12-Дек-21, (72) +2 девляпс подход, у них всегда так Все ключи от всего в etcd А потом - ой дверь , пох. (?), 18:57 , 12-Дек-21, (75) +2 точна, девляпсы с миллиардами серверов-то всегда рутом ходют ну а кто наcpaл в , пох. (?), 18:53 , 12-Дек-21, (74) А если учесть что девляпсы любят в этих тюрячках пароли от редисок забывать , Онаним (?), 18:36 , 12-Дек-21, (73) +1 // а что, там еще и пароль был , пох. (?), 18:58 , 12-Дек-21, (76) +1 Ну это да, шутка юмора была такая Но суть та D, Онаним (?), 20:19 , 12-Дек-21, (77) Всё просто берешь исходники и правишь их , Аноним (64), 09:21 , 12-Дек-21, (64) // Угу, у тебя ж бесконечная жизнь и кряк на бесконечные деньги Ты можешь поправить, пох. (?), 15:38 , 12-Дек-21, (69) +1 Я вообще удивлен, что в 2021 году веб-серверы еще обрабатывают в URL , SubGun (??), 21:25 , 12-Дек-21, (79) А всё потому, что часть стандартной библиотеки по работе с путями в го - имя-язы, Wilem82 (ok), 08:13 , 12-Дек-21, (56) –4 // Писали бы на расте и была бы еще дна проблема под названием раст Вот Хасекль эт, Аноним (64), 09:19 , 12-Дек-21, (61) // Что самое интересное - пиши это дело PHP шники, и такого говна не было бы Потому, Онаним (?), 10:55 , 12-Дек-21, (65) +1 // Язык и данная проблема -- вещи ортогональные А если говорить про культуру, то, , anonymous (??), 12:27 , 13-Дек-21, (87) А тут не в языке дело, а в специфике, связанной с окружением языка , Онаним (?), 14:33 , 13-Дек-21, (88) да никакой проблемы - нет кода, нет уязвимостей Хаскель, конечно, надежнее , пох. (?), 15:01 , 12-Дек-21, (68) 2,4,6,7,11,20,43,53,56

Сообщения

[Сортировка по времени | RSS]

7. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."	+/–
Сообщение от Корец (?), 11-Дек-21, 13:09
>/public/plugins/prometheus/../../../../../../../../etc/passwd Интересно, а есть ли какой-нибудь справочник типовых ошибок? Просто подобные уязвимости встречаются довольно часто. Было бы неплохо, если бы был некий справочник, по которому потом можно будет сделать набор тестов, чтоб не допускать "детских" ошибок.
Ответить | Правка | Наверх | Cообщить модератору

	9. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."	+1 +/–
	Сообщение от мое правило (?), 11-Дек-21, 13:37
	Не поможет. Обычно такие баги появляются "о, я тут придумал штуку, щас быстренько прилеплю", и даже тестов нормальных не пишут.
	Ответить | Правка | Наверх | Cообщить модератору

	10. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."	+5 +/–
	Сообщение от Онаним (?), 11-Дек-21, 13:41
	И никакие поперечные юнит-тесты их не спасли... Даже если у тебя тестами покрыто 100% кода, от misuse этого кода тесты не спасают.
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."	–2 +/–
	Сообщение от Аноним (14), 11-Дек-21, 14:25
	Значит ты еще и покрытие кода тестами неправильно посчитал. Это вон из профессии я считаю.
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."	+2 +/–
	Сообщение от Онаним (?), 11-Дек-21, 18:26
	Покрытие кода тестами и покрытие кейсов тестами - две большие разницы. В современном говнокодинге ориентируются именно на первое. А количество кейсов в мало-мальски сложных проектах стремится к бесконечности.
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."	+1 +/–
	Сообщение от Аноним (29), 11-Дек-21, 17:26
	Я такие "дырки" специально оставлял пару раз :) Естественно, не будет никаких зафейленных тестов, если "уязвимость" оставлена намеренно.
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	15. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."	+3 +/–
	Сообщение от macfaq (?), 11-Дек-21, 14:22
	OWASP Top 10.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема