| |
| 2.3, Аноним (3), 11:28, 17/02/2022 [^] [^^] [^^^] [ответить]
| +30 +/– |
Шел похапешник по $_REQUEST. Видит - eval() и include() простаивают без дела. Взял и выполнил пользовательские параметры как код.
| | |
| |
| 3.28, Аноним (28), 11:33, 18/02/2022 [^] [^^] [^^^] [ответить]
| +/– |
А я всегда отправляю пользовательский ввод в eval, без всяких там фильтров. И да мои сервисы работают от root, меня не разу не ломали
| | |
|
| |
| 3.10, пох. (?), 13:16, 17/02/2022 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Фильтрация "ниправильных" символов - это именно костыль. Который выскальзывает и больно бьет по балде, причем каждый раз, проблема только что макаки - необучаемы.
| | |
|
| 2.23, userd (ok), 16:29, 17/02/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Судя по регулярному выражению какие-то сырые данные "протекают" в шаблонизатор и там могут выполняться как код. Template injection. Правильное исправление требует времени, поскольку нужно найти все проблемные места, а пока только простая затычка.
| | |
| |
| 3.24, . (?), 17:17, 17/02/2022 [^] [^^] [^^^] [ответить]
| +/– | |
Ну да, не ограничивать же данные допустимыми символами сразу на входе. Это не по пацански!
| | |
|
|
| 1.2, InuYasha (??), 11:23, 17/02/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– | |
>поступивших от пользователя параметров
Что, опять страдания по типизации? ) Или отрицательное количество посчитали? :D
| | |
| |
| 2.19, пох. (?), 14:00, 17/02/2022 [^] [^^] [^^^] [ответить]
| +4 +/– | |
Зачем, когда можно просто попытаться их выполнить как код? Вдруг там что хорошее?!
| | |
|
| 1.6, Аноним (6), 12:01, 17/02/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Подождите, я что-то не понял. Magento, Mageia, и Manjaro -- это разное?
| | |
|
