А вот так не работает :-)
perl -Te 'use strict; use warnings; use CGI; my $fd = "ARGV"; while(<$fd>){
print }' '/sbin/ifconfig|'
>Среда, 30 декабря 2015, 14:44 +03:00 от Илья Винокуров <[email protected]>:
>
>Сорри, ошибся.
>
>Вот так работает:
>
>perl -e 'use strict; use warnings; use CGI; my $fd = "ARGV"; while(<$fd>){
>print }' '/sbin/ifconfig|'
>
>
>
>>Среда, 30 декабря 2015, 14:26 +03:00 от Илья Винокуров < [email protected] >:
>>
>>Нужно было смотреть до 27 минуты.
>>
>>Основной наброс был на:
>>
>>echo "/sbin/ifconfig|" | perl -e 'my $fd = "ARGV"; while(<$fd>){ print }'
>>
>>Вот только в 5.18 версии, похоже дыру пофиксили...
>>
>>С почтением,
>> Илья Винокуров.
>>
>>>Вторник, 29 декабря 2015, 15:06 +03:00 от Alexey Shrub < [email protected] >:
>>>
>>>Посмотрел 17 минут: Примеры кода без strict намекают что он реально юзает
>>>old perl
>>>Невозможность указать тип аргумента это минус, но не это порождает
>>>уязвимости.
>>>Может я что-то делал не так, но что-то не помню чтобы я писал функций
>>>которые принимают что угодно и выполняют разные действия в зависимости от
>>>типа аргументов, может у меня какой-то другой перл? Хотя и это не порождает
>>>уязвимостей.
>>>То, что разработчика багзиллы не эскейпят данные подставляемые в запрос не
>>>косяк языка, а их косяк.
>>>Весь его разговор крутится вокруг того что якобы хеши это безопасные
>>>структуры данных, но естественно это чушь, никакой универсальной
>>>безопасности не может быть, откуда перлу знать что программер будет данными
>>>делать - в базу вставлять или в html, эскейпить нужно явно в зависимости от
>>>того что нужно.
>>>Дальше не хочется тратить время
>>>
>>>On Вт, дек 29, 2015 в 12:35 , Павел Щербинин < [email protected] > wrote:
>>>>Сегодняшний доклад про Perl на конференции 32c3 - огонь!
>>>>Всем перловикам и безопасникам обязательно смотреть видео:
>>>>https://www.youtube.com/watch?v=eH_u3C2WwQ0
>>>--
>>>Moscow.pm mailing list
>>>[email protected] | http://moscow.pm.org
>>
>>--
>>Moscow.pm mailing list
>>[email protected] | http://moscow.pm.org
>
>--
>Moscow.pm mailing list
>[email protected] | http://moscow.pm.org
--
Moscow.pm mailing list
[email protected] | http://moscow.pm.org
