Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость конфигураций Nginx с некорректными настройками блока alias, opennews (??), 05-Июл-23, (0) [смотреть все] Сишники и их классическая неспособность защититься от etc passwd Кто-н, Аноним (3), 19:50 , 05-Июл-23, (3) –2 // Она называется leftpad мы помним , Аноним (5), 19:53 , 05-Июл-23, (5) +4 // лефтпад в исполнении сишников как пить дать будет содержать парочку уязвимостей , Аноним (3), 20:06 , 05-Июл-23, (9) +2 // Ничего удивительного если ты начнёшь писать на си ты ещё ногу себе отстрелишь , Аноним (5), 21:47 , 05-Июл-23, (17) +3 Сишка для программистов с профильным образованием и серьезным фундаментом в план, Аноним (58), 09:46 , 06-Июл-23, (58) +3 бедный Дейкстра куда уж ему, недоучке, до Великих Сишников с Профильным Образов, arisu (ok), 09:58 , 06-Июл-23, (59) –1 Дейкстра хотя-бы ос которую сам и написал, хотя-бы для себя пользовался И вирта, Аноним (-), 16:01 , 07-Июл-23, (123) а, забыл ещё Вирт тоже недоучка, не смог сишечку выучить, пришлось писать свою, arisu (ok), 09:59 , 06-Июл-23, (60) –3 Видать в лагерь в первую смену попал, раз активность только в июле, да , Тот_Самый_Анонимус__ (?), 15:37 , 07-Июл-23, (120) а что, на сишников целенаправленно учат это ведь вроде первого курса профильног, Бывалый смузихлёб (?), 12:15 , 06-Июл-23, (69) Много знаешь айтишников кто закончил профильный ВУЗ Сейчас среднестатистический, Аноним (-), 13:51 , 06-Июл-23, (82) +1 Двачую адеквата В IT сегодня вкатывается каждый второй после ютуб курса питон з, Аноним (-), 13:54 , 06-Июл-23, (84) +2 денег предлагать не пробовали ну так, нормально денег говорят, помогает потом, arisu (ok), 14:10 , 06-Июл-23, (87) +2 На релокацию не все согласны, Тот_ещё_аноним (ok), 23:04 , 06-Июл-23, (111) +1 А какого плана специалисты вам нужны и что за компания Сайт у нее есть , Аноним (-), 16:02 , 07-Июл-23, (124) А в профильных вузах сейчас где-то есть толковый Computer Science уровня MIT В н, Аноним (94), 17:20 , 06-Июл-23, (94) +3 Ну да В российском вузе даже не расскажут как применить вон того ридсоломона к , Аноним (125), 16:08 , 07-Июл-23, (125) Дружище, не хочу тебя огорчать, но в роиськом вузе не расскажут что вообще такое, пох. (?), 18:20 , 08-Июл-23, (140) –1 Ну да, пожалуй Как-то так В российских вузах как максимум дадут грузню обшего в, Аноним (142), 13:18 , 10-Июл-23, (142) да вот это как раз максимум и есть Только реееедкий российский вуз дойдет до об, пох. (?), 13:25 , 10-Июл-23, (143) У россиян те вузы которые до Галуа доберутся - будут страшно далеки от рассказов, Аноним (146), 17:20 , 10-Июл-23, (146) Вон там пример вообще байды на дотнете в новости Манагер паролей, рассылающи, Аноним (-), 11:55 , 07-Июл-23, (114) В ручной обработке путей можно накосячить независимо от языка Но да, C сразу по, Аноним (14), 20:38 , 05-Июл-23, (14) –6 // Нет там никаких косяковЕсть спецификация на конфиг, Тот_ещё_аноним (ok), 22:37 , 05-Июл-23, (26) // Что говорит спецификация конкретно по случаю из новости , Аноньимъ (ok), 15:39 , 07-Июл-23, (121) Что отвалите от нас с вашим частным случаем, мы тут глобальные проблемы решаем , пох. (?), 18:22 , 08-Июл-23, (141) А своей то башкой вообще думать слабо А то как посмотришь на твоих соратников, , OpenEcho (?), 22:03 , 05-Июл-23, (19) –1 Вы готовы предложить альтернативы Языка и вебсервера, Тот_ещё_аноним (ok), 22:36 , 05-Июл-23, (25) –1 // Нет проблем Учитывая, что речь идёт про веб-сервер oberon, modula-2, golang, f, Брат Анон (ok), 08:33 , 06-Июл-23, (51) +1 // И на чем тут кроме go есть вакансия хотя бы в Москве , Аноним (61), 10:25 , 06-Июл-23, (61) +2 Ага, языков ещё можно пару добавитьА вот вебсерверов из хотя бы топ5 на них напи, Тот_ещё_аноним (ok), 13:17 , 06-Июл-23, (76) –2 171 известное и на слуху 187 171 самое хорошее 187 окай , arisu (ok), 13:32 , 06-Июл-23, (78) Cloudflare использует свой веб-сервер reverse proxy , написанный на Rust, под н, Аноним (107), 22:03 , 06-Июл-23, (107) +6 Да, достойная замена, спасибо, Тот_ещё_аноним (ok), 22:49 , 06-Июл-23, (110) +1 Сервер можно написать хоть на nodejs и он будет прекрасно работать , Аноним (58), 09:37 , 06-Июл-23, (54) –3 // Какие у Вас своеобразные представления о прекрасном , YetAnotherOnanym (ok), 11:20 , 06-Июл-23, (65) +5 Ещё один страдающий от существования Си Здесь, вообще-то, логическая ошибка, кот, YetAnotherOnanym (ok), 11:06 , 06-Июл-23, (64) +1 Скрыто модератором, Аноним (5), 19:53 , 05-Июл-23, (4) +2 // Скрыто модератором, lucentcode (ok), 19:59 , 05-Июл-23, (6) +1 // Скрыто модератором, Tron is Whistling (?), 20:21 , 05-Июл-23, (11) –2 Скрыто модератором, Аноним (7), 20:02 , 05-Июл-23, (7) +1 Скрыто модератором, penetrator (?), 20:08 , 05-Июл-23, (10) –1 // Скрыто модератором, Tron is Whistling (?), 20:22 , 05-Июл-23, (12) // Скрыто модератором, penetrator (?), 21:37 , 06-Июл-23, (105) Скрыто модератором, Tron is Whistling (?), 22:15 , 06-Июл-23, (108) По идее, такое должны отлавливать статические анализаторы типа яндексовского gix, Аноним (13), 20:23 , 05-Июл-23, (13) –1 // Код открыт если бы мог найти тогда бы нашёл , Аноним (5), 21:48 , 05-Июл-23, (18) +2 1 Если языку нужен статический анализатор правила, не определены в самом языке, Брат Анон (ok), 08:36 , 06-Июл-23, (52) +1 // И как ты собрался тестами покрыть все возможные входные условия Даже фаззер може, Tron is Whistling (?), 22:16 , 06-Июл-23, (109) –1 Ну конечно Давайте вон тем раздолбайским апликушникам вкатим набор правил уровн, Аноним (-), 14:09 , 10-Июл-23, (144) Для синтаксиса URL который навязан стандартами вот этого самого - vs типовые апи, Аноним (-), 11:58 , 07-Июл-23, (115) Вообще отдавать файлы из директорий в интернет по шттп запросам немного маразмат, Аноньимъ (ok), 21:21 , 05-Июл-23, (16) –6 // И в чем теперь принято отдавать файлы по интернету если хттп Приехали Ысчо од, OpenEcho (?), 22:10 , 05-Июл-23, (21) –3 // Речь шла конечно же о примитивном сопоставлении путей из запроса с путями файлов, Аноньимъ (ok), 22:19 , 05-Июл-23, (23) –3 // Нет, спасибо Мёртворождённые протоколы не нужны FTP был большой ошибкой, и ещё, Аноним (28), 22:48 , 05-Июл-23, (28) +2 Настолько идиотская , что до сих пор доминируетДа, я смотрю у вас очень высоки, OpenEcho (?), 23:31 , 05-Июл-23, (30) –2 Ну да, как и идея херачить текст полученный из интернета в командную строку, как, Аноньимъ (ok), 01:29 , 06-Июл-23, (41) +1 Сама по себе концепция вполне здравая Для статичных html-страниц, лежащих на ди, YetAnotherOnanym (ok), 12:06 , 06-Июл-23, (68) Гы автоформаттер опеннета тоже конвертит URL в https sitename domain etc pa, YetAnotherOnanym (ok), 12:17 , 06-Июл-23, (71) https sitename domain prefix etc passwdВот же, не сконвертило А именно такой , Аноним (94), 17:15 , 06-Июл-23, (93) Урла это уникальный адрес ресурса ФС это системная база данных То что и там и та, Аноньимъ (ok), 14:36 , 06-Июл-23, (90) Вообще-то, они там не по случайности , YetAnotherOnanym (ok), 17:58 , 06-Июл-23, (97) Что ещё хуже , Аноньимъ (ok), 18:15 , 06-Июл-23, (100) Этот протокол вообще должен умереть Мало того что не работает через половину на, Аноним (-), 12:00 , 07-Июл-23, (116) Без разницы на чёмПо сути, это просто запрос с конкретным юрл ом, который далее , Бывалый смузихлёб (?), 12:23 , 06-Июл-23, (72) +1 // эвона как ты, наверное, программист оно и неудивительно, что софт жрёг гигабай, arisu (ok), 13:07 , 06-Июл-23, (74) А кого ещё можно почти наверняка встретить на опеннете Стандарты есть стандарт, Бывалый смузихлёб (?), 13:49 , 06-Июл-23, (81) +1 а может это 8230 того 8230 ну, прочитать про права доступа фс, например пол, arisu (ok), 14:08 , 06-Июл-23, (86) Фу ты какой немодный кэп, ты еще скажи про чрут, или боже упаси, контейнеры Пре, Аноним (-), 12:04 , 07-Июл-23, (118) Потом бобби тейблс ему в базу etc passwd пропишет, дропнув попутно всякие беспо, Аноним (-), 12:01 , 07-Июл-23, (117) Не, ну чо, маппить URL в путь к файлу через специальную таблицу в БД - один из в, YetAnotherOnanym (ok), 18:09 , 06-Июл-23, (98) Ну, для статического контента такую таблицу можно генерировать веб сервером авто, Аноньимъ (ok), 18:21 , 06-Июл-23, (101) И как это улучшает вон то состояние дел Типа вот там сервер на бывается, а вот , Аноним (-), 13:38 , 07-Июл-23, (119) Эффективнее как у эффективных менеджеров Проверка валидности запроса из неконтро, Аноньимъ (ok), 15:49 , 07-Июл-23, (122) Решает проблему - быстро, сердито, даже без правки кода - и хитов в перфоманс Е, Аноним (-), 19:26 , 07-Июл-23, (127) Дальше можно не читать Шиза настоящая Секономить пару тактов процессора на пров, Аноньимъ (ok), 20:22 , 07-Июл-23, (130) +1 Всего лишь практическая и практичная эксплуатация реально существующего софта в , Аноним (131), 21:03 , 07-Июл-23, (131) gt оверквотинг удален Предохраняться конечно же нужно Что не отменяет безумнос, Аноньимъ (ok), 22:19 , 07-Июл-23, (133) +1 А я то думал что надо уповать на сферический софт в вакууме, в котором багов не , Аноним (134), 22:55 , 07-Июл-23, (134) Теоретически конечно пользователь сам дурак , ибо все работает так, как описано, Аноним (20), 22:04 , 05-Июл-23, (20) +1 Прям проникся с каментов Си-хейтеровНовость При неправильно написанной конфигу, Тот_ещё_аноним (ok), 22:13 , 05-Июл-23, (22) +6 // Обычно принято конфиги на вилидность проверять прежде чем применять Но сишники т, Аноньимъ (ok), 22:23 , 05-Июл-23, (24) –4 // Так все эти конфиги - валидныеЕсли кто-то спек не прочёл - ссзб, Тот_ещё_аноним (ok), 22:39 , 05-Июл-23, (27) –1 // Есть один важный принцип проектирования софта, называется 171 principle of lea, Аноним (28), 23:36 , 05-Июл-23, (31) +1 Даффай по-руцки, защита от ивана-дурака , Sw00p aka Jerom (?), 07:04 , 06-Июл-23, (48) –1 Когда-то в инструкции по эксплуатации автомобиля писали, как регулировать зазоры, Тот_ещё_аноним (ok), 13:03 , 06-Июл-23, (73) –2 Конфиг веб-сервера 8212 это не клапана, а руль и педали Абсолютно серьёзно О, Аноним (28), 18:30 , 06-Июл-23, (104) +3 ЧСХ водители с удовольствием послали эти автомобили туда где не светит солнце пр, Аноним (-), 00:01 , 08-Июл-23, (135) +2 Вот я и говорю, типичный сишный маразм Спек конечно же стоит прочитать, только в, Аноньимъ (ok), 01:38 , 06-Июл-23, (43) Этот маразм сам по себе ортогонален сям и происходит из API файловых систем Даж, Аноним (-), 19:16 , 07-Июл-23, (126) –1 Вот только этот путь не имеет отношения к файловой системе сервера Это исключит, Аноним (128), 19:42 , 07-Июл-23, (128) +1 Эта семантика взята именно из ФСовских апи Так что насчет не имеет отношения - , Аноним (-), 00:02 , 08-Июл-23, (136) –1 Она не взята, она всего лишь может совпадать От того, что сайт переехал на винд, Аноним (128), 06:12 , 08-Июл-23, (139) Не просто может - но и совпадает вот И это вполне легитимная конструкция В винд, Аноним (-), 16:24 , 10-Июл-23, (145) –1 Ничего такого в апи файлух нет Должен, и если запрос валидный должен отдать ресу, Аноньимъ (ok), 20:11 , 07-Июл-23, (129) +1 А почему тогда синтаксис вида cd dir - работает и без всяких вебсерверов в, Аноним (-), 00:12 , 08-Июл-23, (137) Так это не баг, а фича Alias сопоставляет префикс как подстроку, там - просто, Аноним (29), 23:22 , 05-Июл-23, (29) +3 // Хорошая фича, и кейс вполне реальный Но можно при этом не отдавать etc, Аноним (28), 23:38 , 05-Июл-23, (32) скорее не так, отрезать все что выходит за рамки веб сервера тогда ничего лев, mistiq (ok), 01:13 , 06-Июл-23, (39) +3 Ну здесь идея в том что alias может указывать на любой каталог, независимо от то, Аноним (20), 03:00 , 06-Июл-23, (45) +1 Я понимаю идею, но если возникает необходимость перехода где-то внутри ФС вне ру, mistiq (ok), 03:07 , 06-Июл-23, (46) +1 Ну а дальше он по этим симлинкам и вылезет - P S Приплетание С тут по принципу, 1 (??), 09:30 , 06-Июл-23, (53) +1 Ни на какой каталог он не должен указывать Урла это уникальный адрес ресурса ФС , Аноньимъ (ok), 14:34 , 06-Июл-23, (89) +1 Ну так и пусть указывает, но путь пускай получает уже после обработки УРЛ т е , Аноним (128), 16:29 , 06-Июл-23, (92) +1 Ну раз всем разрешено читать файл етц пассвд, то в чем проблема , если его проч, Sw00p aka Jerom (?), 07:10 , 06-Июл-23, (49) +1 Нормализация пути происходит на уровне location, и на его уровне неизвестно, буд, Аноним (94), 14:27 , 06-Июл-23, (88) Вот я ровно о том же и говорю Типичный пример плохого инженерного подхода, когда, Аноньимъ (ok), 01:45 , 06-Июл-23, (44) –2 Это не баг, а фича Закрывайте каталоги другими доступными средствами Например,, Аноним (47), 05:21 , 06-Июл-23, (47) +2 171 кодироваеть умею, для людей не умею 187 потому что алиас для не-каталог, arisu (ok), 07:54 , 06-Июл-23, (50) +2 Зачем сервер запускать без контейнера, лол , Аноним (58), 09:43 , 06-Июл-23, (57) +2 // Да вы без контейнеров скоро сложить два числа не сможете Понапридумывали дерьма, Аноним (20), 15:42 , 06-Июл-23, (91) –1 Написать location без на конце, даже без alias, это нужно умудрится как-то сде, Ilya Indigo (ok), 10:30 , 06-Июл-23, (63) +2 // Для нескольких персонажей выше - это норма , Тот_ещё_аноним (ok), 13:07 , 06-Июл-23, (75) –1 location xmlrpc php 124 wp-links-opml php 124 wp-config php 124 wp, Капитан Очевидность (?), 13:37 , 06-Июл-23, (79) // Имел ввиду, забыл уточнить, локейшены в которых явно подразумевается одна конкре, Ilya Indigo (ok), 13:48 , 06-Июл-23, (80) // А, ну с таким уточнением да, становится твоя фраза более логичной, Капитан Очевидность (?), 18:24 , 06-Июл-23, (102) Какой-то айти-шаманизм Как догадаться, что в конце location должен быть Прав, Аноним (28), 18:11 , 06-Июл-23, (99) +1 // Документацию конечно же нужно читать, без неё что угодно НЕ понятно будет locati, Ilya Indigo (ok), 18:27 , 06-Июл-23, (103) +2 // Если ты когда-либо читал документацию на большие системы типа Nginx, ты бы замет, Аноним (28), 21:07 , 07-Июл-23, (132) +1 Почему nginx -t не проверяет этого , Пряник (?), 11:28 , 06-Июл-23, (67) // Потому что images нормальный допустимый шаблон для обработки запросов вида, нап, Ilya Indigo (ok), 13:21 , 06-Июл-23, (77) +2   // Только для них не ставят псевдонимы Именно Их ставят как раз для прямого досту, пох. (?), 00:47 , 08-Июл-23, (138) –1   А что будет в случае наоборот location закрыт знаком , а alias - нет Это норм, targitaj (?), 17:47 , 06-Июл-23, (96) // Это наверное не дыра, но будет ли это работать, так как нужно , Аноним (106), 21:49 , 06-Июл-23, (106) Какие то детские ошибки , Neon (??), 03:58 , 07-Июл-23, (112) 3,13,16,20,22,47,50,57,63,67,96,112

Сообщения

[Сортировка по времени | RSS]

	77. "Уязвимость конфигураций Nginx с некорректными настройками бл..."	+2 +/–
	Сообщение от Ilya Indigo (ok), 06-Июл-23, 13:21
	> Почему nginx -t не проверяет этого? Потому что /images нормальный допустимый шаблон для обработки запросов вида, например для /images-user.html /images-company.html и/или /images-user/ /images-company/. Например чтобы установить особые условия кеша. Только для них не ставят псевдонимы.
	Ответить | Правка | Наверх | Cообщить модератору

	138. "Уязвимость конфигураций Nginx с некорректными настройками бл..."	–1 +/–
	Сообщение от пох. (?), 08-Июл-23, 00:47
	"Только для них не ставят псевдонимы." Именно. Их ставят как раз для прямого доступа к файлам (обычно это что-то большое) лежащим в стороне от вебни. Поэтому и стоит такой случай проверять и фейлиться или хотя бы выдавать предупреждение что оно может работать совсем не так как показалось. Но нет. Изобретатель nginx изобретал его под свой локалхост и больше ни под что. А все дальнейшие улучшизмы не смеют затрагивать корней. Поэтому пока "if is evil" и тому подобная мерзость не будет заменено на "мы переработали структуру конфига и им снова можно пользоваться без чорной магии" - надо просто выбирать другой софт. И уже много-много лет назад.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема