| |
| 2.8, OpenEcho (?), 13:56, 18/12/2020 [^] [^^] [^^^] [ответить]
| +4 +/– |
Очень хотелось бы посмотреть на твои безопасные поделки... если ими пользуется хотя бы 1/5 часть юзеров этого похапэшика
| | |
| |
| 3.9, Аноним (3), 13:58, 18/12/2020 [^] [^^] [^^^] [ответить]
| +10 +/– |
А вот и классический «аргумент» «Сперва добейся!» подъехал.
| | |
| |
| 4.11, OpenEcho (?), 14:38, 18/12/2020 [^] [^^] [^^^] [ответить]
| –5 +/– | |
> А вот и классический «аргумент» «Сперва добейся!» подъехал.
Больше сказать нечего? Я так и думал что у тебя поделок мильёнов на 5 поменьше будет
| | |
| |
| 5.12, Аноним (3), 14:48, 18/12/2020 [^] [^^] [^^^] [ответить]
| +5 +/– | |
> Я так и думал
Простое повторение «аргумента» «Сперва добейся!» не имеет ничего общего с думанием.
| | |
| |
| 6.44, OpenEcho (?), 02:39, 19/12/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Я так и думал
> Простое повторение «аргумента» «Сперва добейся!» не имеет ничего
> общего с думанием.
Ну так подумай. Внимательно !
Человек потратил свое время, вложил свое "думание" в продукт, в свое свободное время, который отдал безплатно и который юзают (только оффициально) около 5,000,000,000 субьектов, и насколько я помню, уже много лет.
Человек же, который не может похвастаться тем же самым (или хотя-бы 1/5000000000 от этого), но при этом поливая из под тишка, под маской анонима, грязью того кто "смог", называется среди мужиков... ну, кто мужик, то понял, а для моральных калек я распинаться не стану, - безполезная трата времени.
| | |
|
| 5.17, Аноним (17), 15:38, 18/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
Я скажу. Дело в том, что порог вхождение в PHP ниже. И его часто даже не учат, а зазубривают только куски языка, чтобы править шаблоны CMS. Расцвет PHP был когда фреймворков для Java и ко. было мало и они были неудобны. Поэтому все эти уязвимостя тянутся от старого кода. Другими словами сейчас ни один знающий программист просто не пойдет что-то писать на PHP, отсюда не важно, что дело не в языке, а в кодерах - потому что нормальных кодеров PHP не получит. Ну и сам язык конечно не очень, для любых целей включая веб, есть куда лучшие.
| | |
| |
| 6.45, OpenEcho (?), 02:46, 19/12/2020 [^] [^^] [^^^] [ответить]
| +5 +/– | |
> Я скажу. Дело в том, что порог вхождение в PHP ниже.
Здесь вопрос не ПХП, и не в качестве кода, (вполне возможно что тот японец вообще врач или таксист), а в низкой морали некоторых здешних завсегдотаев, готовых показать без стеснения свою низкую душенку, клеймя популярный продукт, который нужен всего то 5М, но при этом не показывая своей "крутой" ни кому неизвестной прграммы, написанной на каком-то чудо языке, где нет никаких ошибок
| | |
|
| 5.18, Аноним (17), 15:40, 18/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
И да, у "поделок" на той же Java не меньше пользователей, а скорее больше. Если конечно в пользователи не засчитывать пользователей CMS, но тогда вы и пользователей сервисов на Java засчитывайте как например пользователей Spring Framework для справедливости.
| | |
| |
| 6.32, Аноним (32), 18:26, 18/12/2020 [^] [^^] [^^^] [ответить]
| +7 +/– |
Посмотрев на нутро типичной поделки на Java под названием Jira и Confluence - не, я уж лучше с PHP буду дружить.
| | |
| 6.46, OpenEcho (?), 02:53, 19/12/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
> И да, у "поделок" на той же Java не меньше пользователей, а
> скорее больше.
Вопрос не измерении - "у кого больше, толще и длинее", а в низости некоторых коментаторов, которые то-ли из зависти, толи из-за возраста, то-ли просто от невоспитаности, позволяют себе клеймить других, более успешных людей
| | |
| 6.66, Аноним (66), 16:35, 19/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
в java тоже легко сесть в лужу при разборе строк. Например из-за того что кодовые точки в ней занимают 1-2 символа, а прикручены были сбоку, лишь в версии J2SE 5.0 в 2004 году.
| | |
|
|
| 4.65, Аноним (66), 16:27, 19/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
Да именно так. Испражняться в комментариях любой олигофрен может, а писать безопасный код код нет
Особенно при тех ограничениях которые есть у wordpress для совместимости с любым дешевым и старым хостингом.
| | |
|
|
| 2.16, VEG (ok), 15:36, 18/12/2020 [^] [^^] [^^^] [ответить]
| +11 +/– |
 В том чем пользуется полтора человека никто не ищет уязвимости. То чем пользуются миллионы - ищут. Вот и весь секрет. Если в том, чем вы пользуетесь, не находят уязвимости - это не говорит о том, что там нет уязвимостей.
| | |
| |
| 3.37, Аноним (36), 22:03, 18/12/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
Если им так много пользуются почему бы просто не подтянуть качество продукта, нанять хороших программистов? Да потому что на пхп не бывает таких программистов в природе!
| | |
|
| 2.25, Аноним Анонимович Анонимов (?), 17:26, 18/12/2020 [^] [^^] [^^^] [ответить]
| +10 +/– | |
Ошибка допущена программистом, который писал обработчик входных данных. При чём тут PHP? В PHP есть https://www.php.net/manual/en/filter.filters.misc.php фильтр, который позволяет свои функции для валидации входных данных написать. Кому-то было неизвестно или лень написать проверку строки имени файла. Либо ошибка допущена на этапе проектировании.
Сарказм тут совершенно неуместен так как подобная ошибка характерна для любого _интерпретируемого_ языка программирования. Даже в строготипизированных ЯП подобного плана ошибки не редкость.
| | |
| |
| 3.29, Аноним (3), 18:07, 18/12/2020 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> При чём тут PHP?
Действительно, а причем тут PHP? Ибо я говорил не о PHP, а о похапешниках:
«безопасность -- это не про похапешников»
| | |
| |
| 4.49, Аноним (49), 10:51, 19/12/2020 [^] [^^] [^^^] [ответить]
| –5 +/– |
PHP мог вы увеличить дуракопрочность ака дуракобезопасность, но не стал этого делать.
| | |
| |
| 5.54, Аноним Анонимович Анонимов (?), 14:32, 19/12/2020 [^] [^^] [^^^] [ответить]
| +6 +/– |
Код на РНР/python/perl/nodejs можно писать безопасным, только этому научиться сперва стоит. Неумение использовать инструмент приводит к ошибкам.
| | |
| |
| 6.59, Аноним (66), 15:41, 19/12/2020 [^] [^^] [^^^] [ответить]
| –2 +/– |
Ну напишите функцию валидации имени файла и пути, которая будет работать и в windows и в unix-like, при этом будет работать хотя бы в php 5.6 (а не 5.3 как wordpress поддерживал еще недавно)
при этом будет пропускать имена допустимые в ос под которой выполняется (пробелы, \ в gnu/linux, что-то там в windows), национальные символы.
а потом говорите про необученных похапешников.
скорее всего у вас с 1 раза не получится, и со второго тоже и т.д.
| | |
| |
| 7.73, Аноним Анонимович Анонимов (?), 21:17, 19/12/2020 [^] [^^] [^^^] [ответить]
| +4 +/– | |
Во-первых, вы изначально подошли к вопросу неправильно. Сами себя озадачиваете, а как быть в ситуации с пробелами или слешами. Вами допущена уже на начальном этапе ошибка проектирования. В комментариях верно написали, что файлам стоит присваивать хэш-сумму вместо имени, как вариант отличное решение. Если хотите использовать условно персидский язык или эмоджи в именах файлов - фильтруйте допустимые символы в именах файлов соответствующими диапазонами unicode.
Во-вторых, озвученный вами функционал не является чем-то сложным. Через предопределённую константу PHP_OS определяем платформу switch(PHP_OS) case "WINNT", case "Linux"... Как определили платформу preg_replace(" здесь шаблон ", " заменяем или вырезаем ", $filename).
В-третьих, можете почитать wordpress code reference. Там есть, например, вот такая функция https://developer.wordpress.org/reference/functions/sanitize_file_name/
| | |
|
|
|
|
| 3.55, Michael Shigorin (ok), 14:52, 19/12/2020 [^] [^^] [^^^] [ответить]
| –3 +/– |
 Видимо, сарказм подразумевался на слове "программистом".
Хотя и да, человеку всё так же свойственно ошибаться. Даже Чеусову.
| | |
| |
| 4.58, Аноним (66), 15:30, 19/12/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Вы видимо не пишите код даже на php и по-этому не делаете ошибок.
| | |
|
|
| 2.57, Аноним (66), 15:26, 19/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
>Практическая возможность эксплуатции уязвимости в типовых конфигурациях оценивается как низкая
>по умолчанию Contact Form 7 для серверов с Apache httpd создаёт в каталоге с загрузками .htaccess, запрещающий прямой доступ к загружаемым файлам
>файл сохраняется во временном каталоге со случайным именем
>удаляется сразу после отправки получателю
Вы конечно пишете код без ошибок.
А авторы подумали о том что могут быть ошибки и дополнительно защитились.
| | |
|
| |
| |
| 3.7, Аноньимъ (ok), 13:51, 18/12/2020 [^] [^^] [^^^] [ответить]
| –2 +/– |
 > Сегодня еще не было.
Да было уже и не раз.
Не о каждой же из миллиона дыр новости делают.
Имхо, вордпресс одно из самых, если не самое, часто взламываемое ПО в мире.
В вебе точно.
| | |
|
|
| |
| 2.13, YetAnotherOnanym (ok), 14:53, 18/12/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
 При разработке на "нормальных" CMS надо голову включать, а на WP можно всё делать левой ногой, ни о чём не заботясь (кстати, в этом авторам "нормальных" CMS брать бы пример с WP).
| | |
| |
| |
| 4.26, Алеша (?), 17:44, 18/12/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> не так уж и сильно отличаются
ну кроме того, что у drupal чуть ли не наименьшее кол-во уязвимостей из всех, сколь-либо распространенные CMS на пхп.
а если еще и взять выборку по типу и степени опасности...
> поправку на кол-во пользователей
на протяжении всех нулевых на вордпресс писали уютные бложики для одного васяна и его друзей, в то время как на друпал это были крупнейшие новостные сайты, биржево-информационные и мультимедийные порталы, и еще черти-какие монстры с миллионами посетителей на один сайт, то есть "на одну установку".
то же самое происходит и сейчас, разве что на вордпресс вообще ничего серьезного не пишут...
или ты кол-во установок считаешь, думаешь что сайт каждого васяна непременно пытаются ломануть все хакеры мира?
> думаю
лучше не делай этого, а то как-то не очень.. а в статистику так вообще...
| | |
| |
| 5.27, Алеша (?), 17:57, 18/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
но я не говорю что друпал конфетка, не подумайте ничего такого.
все это дерьмо и фарш с макаронами из говнокода..
но из всех видимых мною ширпотребных cms (а я лет 15 проработал админом по хостингам) у друпала чуть ли не один из самых грамотных подходов по безопасности. там все в обернуто в нужные классы, все сто раз парсится и просто так там не пролезет подобная дрянь с экранированным символом. а так как сама система имеет гораздо более высокий порог вхождения, то и плагины под нее не всякая обезьяна возьмется писать и не каждый даун на нем стенет сайт делать. но они кажется убили эту идеологию в последних версиях...
кстати, если брать форумы, то там таким продуманным пожалуй будет, как ни странно, попсовое ксенфоро...
а знаете кто больше всего плакал горючими слезами? была (и есть наверное) такая cms - magento - там что не дыра, то непременно месяцами ходивший 0-day и миллионы утекших дампов, тысячи обогатившихся хакеров и кардеров...
| | |
| |
| 6.33, Алеша (?), 18:45, 18/12/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
и что, это как-то идет в разрез с тем что я сказал?
там как раз таки все подтверждает мои слова - кол-во уязвимостей в 3-5 раз меньше (если смотреть по группам).
попробуй перечитать еще раз то что я написал и попытаться осмыслить что ли, а не просто ссылки сыпать подтверждающие мои слова
| | |
|
|
|
| 3.56, Michael Shigorin (ok), 14:53, 19/12/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Ты про Друпал ничего не слышал?
Про шестой слышал, про седьмой лучше бы уже не слышал.
А так -- TYPO3.
| | |
|
|
| |
| 2.41, BlackRot (ok), 22:49, 18/12/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Юзаю этот плагин. Увидел новость - сразу обновил на всех своих сайтах.
Впервые меня это тоже касалось и не
успел пострадать что уже хорошо.
| | |
|
| 1.22, Аноним (22), 17:15, 18/12/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
Вся проблема в сишных дыренях говорили растоманы. Вся проблема в указателях говорили растоманы. Вся проблема в динамической памяти говорили растоманы.
А пэхаписты ничего не говорили, просто писали на безопасном языке новые дырени.
Привет фрактал.
| | |
| 1.30, Аноним (32), 18:15, 18/12/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> удаление символов-разделителей и управляющих символов из имён загружаемых файлов
Сколько раз говорилось... ээээ... обезьянкам - НЕ СОХРАНЯЙТЕ ФАЙЛЫ С ПЕРЕДАННЫМ ПОЛЬЗОВАТЕЛЕМ ИМЕНЕМ. Генерируйте сами и сохраняйте оригинал в метаданных. Просто во избежание. Нет - всё равно лепят.
| | |
| |
| 2.42, пох. (?), 00:14, 19/12/2020 [^] [^^] [^^^] [ответить]
| –2 +/– | |
Ну конечно же, ведь файловая система - она ж точно не для сохранения имен файлов.
Сколько ж вас, идиотов...
P.S. да, сохраняйте имена в тазе банных. Как вам, кстати, мой файл "image.gif'; delete * from users" ?
| | |
| |
| 3.51, unuser (?), 12:19, 19/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
А в вашу деревню PDO, видимо, не завезли? Такие имена замечательно сохраняются.
| | |
| |
| |
| 5.74, unuser (?), 23:23, 19/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
Это если не использовать дырявый сабж, то за использование при обработке пользовательских запросов mysql_ и mysqli_, место pdo, сечь розгами. Да и в wordpress никто не запрещает, вместо wpdb использовать pdo, обращаясь к бд напрямую, правда, с потерей некоторой функциональности.
А для сабжа есть wpdb::prepare(...) и кто не использует, тот сам себе злобный Буратино.
| | |
|
|
| 3.60, Аноним (38), 15:58, 19/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
Сферическая файловая система в вакууме - да. Но у файловых систем у самих есть ограничения по содержимому имён - это раз, а два - имена могут быть любые, и вовсе не обязательно давать те, что могут внезапно стать исполняемыми или "не вписаться в стандарт ОС/FS/софта".
| | |
| |
| 4.64, пох. (?), 16:21, 19/12/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Но у файловых систем у самих есть ограничения по содержимому имён
Есть, и что с того? У sql тоже есть некоторые ограничения, если, конечно, не сразу в blob эти имена складывать.
Намек был - что user input валидировать надо в _любом_ случае - и проявления фантазии ограничивать, а за попытки типа предложенной - и вовсе сразу блокировать учетку, поскольку ничего хорошего от такого юзера ждать не приходится - не найдет дырку здесь, поищет рядом -и рано или поздно таки добьется своего.
При этом файловая система посложнее msdos fat - вполне таки пригодна и эффективная для сохранения имен файлов вместе с файлами, без необходимости плодить сущности и создавать новые уязвимости в другом месте. Она вообще-то именно для этого и предназначена. Причем ее писали люди, чья квалификация явно повыше типового phpшника будет.
| | |
|
|
|
| 1.31, Атон (?), 18:17, 18/12/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Я не понял, выявили уязвимость в 5.3.2 или в 5.3.2 устранили уязвимость?
5.3.2
Removes control, separator, and other types of special characters from filename to fix the unrestricted file upload vulnerability issue.
| | |
| 1.43, Аноним (43), 01:16, 19/12/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Nginx как я понимаю впролете с CMS, которые намертво прибиты к фичам типа htaccess апача?
| | |
| |
| 2.61, Аноним (38), 15:59, 19/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
nginx и с динамикой без костылей типа unit или CGI в пролёте, так-то.
| | |
|
| 1.47, Аноним (47), 09:16, 19/12/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А где уязвимость, если она неэксплуатируемая? Уязвимость - она по определению эксплуатируемая.
| | |
| |
| 2.50, Ordu (ok), 10:55, 19/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
 > Уязвимость - она по определению эксплуатируемая.
Где ты взял это определение уязвимости? Я вот, допустим, ни разу не сталкивался. Поделишься?
| | |
|
| 1.62, Аноним (66), 16:06, 19/12/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>"test.php\t.png"
>$filename = preg_replace( '/[\pC\pZ]+/i', '', $filename );
но ведь это корректное имя файла.
Почему из него нужно разделитель вырезать и как он вообще там оказывается?
| | |
| 1.70, Корец (?), 18:19, 19/12/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Постоянно идут новости про уязвимости WordPress. С ним определённо что-то не так...
| | |
|
