Re: HACK NGINX+DAV

2016-12-03 Пенетрантность itcod
Максим добрый день. Что найдено то и показано. Без затей. Для тех кого это может коснуться. > Этим вы показали только то, что устаревшая версия nginx с кучей сторонних > модулей имеет возможность переименовывать/удалять директории, на которые у > nginx нет прав. Инет не идеален:) Версия не самая

Re: HACK NGINX+DAV

2016-12-03 Пенетрантность itcod
Константин спасибо! Так и сделаю. вообще все излишества уберу при тесте. Уважаемые если у кого нибудь уже стоит такой минималистический nginx, буду благодарен услышать Ваш результат. Проверить можно за 2 минуты. Вот тут ролик как это сделать.

Re: HACK NGINX+DAV

2016-12-03 Пенетрантность Maksim Kulik
Этим вы показали только то, что устаревшая версия nginx с кучей сторонних модулей имеет возможность переименовывать/удалять директории, на которые у nginx нет прав. При всех сторонних модулях вы даже не показали конфиг. Я предполагаю, что тот же lua можно заставить запускать внешние скрипты через

Re: HACK NGINX+DAV

2016-12-03 Пенетрантность itcod
Добрый день уважаемые. Меня попросили подтвердить слова о баге который я описал в первом посте. Заснял процесс переименования и удаления папки владельца root, гипотетически не имея на это прав. Использовались WEBDAV команды MOVE и DELETE которые формировал BitKinex.

Re: HACK NGINX+DAV

2016-12-03 Пенетрантность Konstantin Baryshnikov
> On Dec 3, 2016, at 1:03 PM, itcod wrote: > > Буду благодарен если сообщество подскажет где для этих тестов взять > бесплатную временную виртуалку с федорой. Без заморочек с инсталяциями оси и > излишней настройкой, а то как обычно времени на админскую рутину нет >

Re: HACK NGINX+DAV

2016-12-03 Пенетрантность Vitaliy Okulov
Коллеги, кажется автор знатный троль. 3 декабря 2016 г., 18:20 пользователь itcod написал: > Эх Виталий! Перед новым годом, временем на танцы с бубном > катастрофически не хватает:))) Проще арендовать готовую VPS'ку на месяц за > 250рублей и протестить найденый

[offtop] was: HACK NGINX+DAV

2016-12-03 Пенетрантность Anton Yuzhaninov
On 12/03/16 05:03, itcod wrote: Буду благодарен если сообщество подскажет где для этих тестов взять бесплатную временную виртуалку с федорой. Без заморочек с инсталяциями оси и излишней настройкой, а то как обычно времени на админскую рутину нет совсем:) У Amazon AWS есть Free Tair - для

Re: HACK NGINX+DAV

2016-12-03 Пенетрантность itcod
Эх Виталий! Перед новым годом, временем на танцы с бубном катастрофически не хватает:))) Проще арендовать готовую VPS'ку на месяц за 250рублей и протестить найденый баг:) Posted at Nginx Forum: https://forum.nginx.org/read.php?21,271302,271321#msg-271321

Re: HACK NGINX+DAV

2016-12-03 Пенетрантность itcod
И так и эдак. Без разницы каким девайсом терминально по ssh на серв в инете входить Если и не прозвучат демо-VPS'ки, для быстрого старта тестов, то через пару недель как поосвобожусь, разверну у кого нить из своих друзей vps'ку тестовую под libvirt и сделаю тесты найденой дыры на чистой

Re: HACK NGINX+DAV

2016-12-03 Пенетрантность Vitaliy Okulov
Почитайте про вагрант, он как раз на личный ПК ставится и позволяет запустить базовый образ с уже установленной ОС на базе virtualbox. Развернуть федору можно за 5 минут. 3 декабря 2016 г., 13:35 пользователь itcod написал: > У меня своих только боевой и девел-серв

Re: HACK NGINX+DAV

2016-12-03 Пенетрантность Denis Kot
А управляете Вы этим всем с планшета или телефона? Denis Kot Skype: kot.denis 3 декабря 2016 г., 11:35 пользователь itcod написал: > У меня своих только боевой и девел-серв на которых по феншую "ничего > лишнего". Так что варианты с vagrant/ libvirt/etc отпадают.

Re: HACK NGINX+DAV

2016-12-03 Пенетрантность itcod
У меня своих только боевой и девел-серв на которых по феншую "ничего лишнего". Так что варианты с vagrant/ libvirt/etc отпадают. Идеально imho VPS'ку гдето в инете с привычным федоркой:) Posted at Nginx Forum: https://forum.nginx.org/read.php?21,271302,271313#msg-271313

Re: HACK NGINX+DAV

2016-12-03 Пенетрантность Vitaliy Okulov
Можно поставить vagrant и подгрузить этот образ: https://atlas.hashicorp.com/fedora/boxes/23-cloud-base 3 декабря 2016 г., 13:03 пользователь itcod написал: > Дмитрий добрый день! > > Предлагаю повторить это все на с нуля установленной системе и nginx > > без

Re: HACK NGINX+DAV

2016-12-03 Пенетрантность itcod
Дмитрий добрый день! > Предлагаю повторить это все на с нуля установленной системе и nginx > без сторонних модулей Буду благодарен если сообщество подскажет где для этих тестов взять бесплатную временную виртуалку с федорой. Без заморочек с инсталяциями оси и излишней настройкой, а то как обычно