Сорри, ошибся.
Вот так работает:
perl -e 'use strict; use warnings; use CGI; my $fd = "ARGV"; while(<$fd>){
print }' '/sbin/ifconfig|'
>Среда, 30 декабря 2015, 14:26 +03:00 от Илья Винокуров <[email protected]>:
>
>Нужно было смотреть до 27 минуты.
>
>Основной наброс был на:
>
>echo "/sbin/ifconfig|" | perl -e 'my $fd = "ARGV"; while(<$fd>){ print }'
>
>Вот только в 5.18 версии, похоже дыру пофиксили...
>
>С почтением,
> Илья Винокуров.
>
>>Вторник, 29 декабря 2015, 15:06 +03:00 от Alexey Shrub < [email protected] >:
>>
>>Посмотрел 17 минут: Примеры кода без strict намекают что он реально юзает old
>>perl
>>Невозможность указать тип аргумента это минус, но не это порождает уязвимости.
>>Может я что-то делал не так, но что-то не помню чтобы я писал функций которые
>>принимают что угодно и выполняют разные действия в зависимости от типа
>>аргументов, может у меня какой-то другой перл? Хотя и это не порождает
>>уязвимостей.
>>То, что разработчика багзиллы не эскейпят данные подставляемые в запрос не
>>косяк языка, а их косяк.
>>Весь его разговор крутится вокруг того что якобы хеши это безопасные
>>структуры данных, но естественно это чушь, никакой универсальной безопасности
>>не может быть, откуда перлу знать что программер будет данными делать - в
>>базу вставлять или в html, эскейпить нужно явно в зависимости от того что
>>нужно.
>>Дальше не хочется тратить время
>>
>>On Вт, дек 29, 2015 в 12:35 , Павел Щербинин < [email protected] > wrote:
>>>Сегодняшний доклад про Perl на конференции 32c3 - огонь!
>>>Всем перловикам и безопасникам обязательно смотреть видео:
>>>https://www.youtube.com/watch?v=eH_u3C2WwQ0
>>--
>>Moscow.pm mailing list
>>[email protected] | http://moscow.pm.org
>
>--
>Moscow.pm mailing list
>[email protected] | http://moscow.pm.org
--
Moscow.pm mailing list
[email protected] | http://moscow.pm.org
