Нужно было смотреть до 27 минуты.
Основной наброс был на:
echo "/sbin/ifconfig|" | perl -e 'my $fd = "ARGV"; while(<$fd>){ print }'
Вот только в 5.18 версии, похоже дыру пофиксили...
С почтением,
Илья Винокуров.
>Вторник, 29 декабря 2015, 15:06 +03:00 от Alexey Shrub <[email protected]>:
>
>Посмотрел 17 минут: Примеры кода без strict намекают что он реально юзает old
>perl
>Невозможность указать тип аргумента это минус, но не это порождает уязвимости.
>Может я что-то делал не так, но что-то не помню чтобы я писал функций которые
>принимают что угодно и выполняют разные действия в зависимости от типа
>аргументов, может у меня какой-то другой перл? Хотя и это не порождает
>уязвимостей.
>То, что разработчика багзиллы не эскейпят данные подставляемые в запрос не
>косяк языка, а их косяк.
>Весь его разговор крутится вокруг того что якобы хеши это безопасные структуры
>данных, но естественно это чушь, никакой универсальной безопасности не может
>быть, откуда перлу знать что программер будет данными делать - в базу
>вставлять или в html, эскейпить нужно явно в зависимости от того что нужно.
>Дальше не хочется тратить время
>
>On Вт, дек 29, 2015 в 12:35 , Павел Щербинин < [email protected] > wrote:
>>Сегодняшний доклад про Perl на конференции 32c3 - огонь!
>>Всем перловикам и безопасникам обязательно смотреть видео:
>>https://www.youtube.com/watch?v=eH_u3C2WwQ0
>--
>Moscow.pm mailing list
>[email protected] | http://moscow.pm.org
--
Moscow.pm mailing list
[email protected] | http://moscow.pm.org
