какие инсталяции? CGI.pm ? который выпилили из коре. О котом Sawyer ещё года два или три назад говорил очень звучно на конфе ) Или про то, что он утверждает будто разработчики хэши считают безопасными, а скаляры нет. Ну что за бред?) Он просто клоун)
2015-12-30 17:57 GMT+06:00 Andrey Kovbovich <[email protected]>: > Выступление классное. Парень прям хорошо держится на сцене. А если учесть, > что он рассказывал о том как заэксплойтить самые частые инсталляции > перловых модулей в мире, то даже некоторым инфа может пригодиться. > 30 дек. 2015 г. 14:48 пользователь "Илья Винокуров" <[email protected]> > написал: > > Сорри, ошибся. >> >> Вот так работает: >> >> perl -e 'use strict; use warnings; use CGI; my $fd = "ARGV"; >> while(<$fd>){ print }' '/sbin/ifconfig|' >> >> >> >> Среда, 30 декабря 2015, 14:26 +03:00 от Илья Винокуров <[email protected]>: >> >> Нужно было смотреть до 27 минуты. >> >> Основной наброс был на: >> >> echo "/sbin/ifconfig|" | perl -e 'my $fd = "ARGV"; while(<$fd>){ print }' >> >> Вот только в 5.18 версии, похоже дыру пофиксили... >> >> С почтением, >> Илья Винокуров. >> >> Вторник, 29 декабря 2015, 15:06 +03:00 от Alexey Shrub <[email protected] >> <https://e.mail.ru/[email protected]>>: >> >> Посмотрел 17 минут: >> Примеры кода без strict намекают что он реально юзает old perl >> Невозможность указать тип аргумента это минус, но не это порождает >> уязвимости. >> Может я что-то делал не так, но что-то не помню чтобы я писал функций >> которые принимают что угодно и выполняют разные действия в зависимости от >> типа аргументов, может у меня какой-то другой перл? Хотя и это не порождает >> уязвимостей. >> То, что разработчика багзиллы не эскейпят данные подставляемые в запрос >> не косяк языка, а их косяк. >> Весь его разговор крутится вокруг того что якобы хеши это безопасные >> структуры данных, но естественно это чушь, никакой универсальной >> безопасности не может быть, откуда перлу знать что программер будет данными >> делать - в базу вставлять или в html, эскейпить нужно явно в зависимости от >> того что нужно. >> Дальше не хочется тратить время >> >> On Вт, дек 29, 2015 в 12:35 , Павел Щербинин <[email protected]> wrote: >> >> Сегодняшний доклад про Perl на конференции 32c3 - огонь! >> >> Всем перловикам и безопасникам обязательно смотреть видео: >> https://www.youtube.com/watch?v=eH_u3C2WwQ0 >> >> -- >> Moscow.pm mailing list >> [email protected] | http://moscow.pm.org >> >> >> -- >> Moscow.pm mailing list >> [email protected] <https://e.mail.ru/compose?To=moscow%[email protected]> | >> http://moscow.pm.org >> >> >> >> -- >> Moscow.pm mailing list >> [email protected] | http://moscow.pm.org >> >> > -- > Moscow.pm mailing list > [email protected] | http://moscow.pm.org > >
-- Moscow.pm mailing list [email protected] | http://moscow.pm.org
