[Moscow.pm] Безопасность Perl

[Илья Винокуров]

 Сорри, ошибся.

Вот так работает:

perl -e 'use strict; use warnings; use CGI; my $fd = "ARGV"; while(<$fd>){ print }' '/sbin/ifconfig|'



>Среда, 30 декабря 2015, 14:26 +03:00 от Илья Винокуров <ilvin на mail.ru>:
>
>Нужно было смотреть до 27 минуты.
>
>Основной наброс был на:
>
>echo "/sbin/ifconfig|" | perl -e 'my $fd = "ARGV"; while(<$fd>){ print }'
>
>Вот только в 5.18 версии, похоже дыру пофиксили...
>
>С почтением,
>  Илья Винокуров.
>
>>Вторник, 29 декабря 2015, 15:06 +03:00 от Alexey Shrub < worldmind на mail.ru >:
>>
>>Посмотрел 17 минут: Примеры кода без strict намекают что он реально юзает old perl
>>Невозможность указать тип аргумента это минус, но не это порождает уязвимости.
>>Может я что-то делал не так, но что-то не помню чтобы я писал функций которые принимают что угодно и выполняют разные действия в зависимости от типа аргументов, может у меня какой-то другой перл? Хотя и это не порождает уязвимостей.
>>То, что разработчика багзиллы не эскейпят данные подставляемые в запрос не косяк языка, а их косяк.
>>Весь его разговор крутится вокруг того что якобы хеши это безопасные структуры данных, но естественно это чушь, никакой универсальной безопасности не может быть, откуда перлу знать что программер будет данными делать - в базу вставлять или в html, эскейпить нужно явно в зависимости от того что нужно.
>>Дальше не хочется тратить время
>>
>>On Вт, дек 29, 2015 в 12:35 , Павел Щербинин < dzirtik на gmail.com > wrote:
>>>Сегодняшний доклад про Perl на конференции 32c3 - огонь!
>>>Всем перловикам и безопасникам обязательно смотреть видео:
>>>https://www.youtube.com/watch?v=eH_u3C2WwQ0
>>-- 
>>Moscow.pm mailing list
>>moscow-pm на pm.org |  http://moscow.pm.org
>
>-- 
>Moscow.pm mailing list
>moscow-pm на pm.org |  http://moscow.pm.org

----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mail.pm.org/pipermail/moscow-pm/attachments/20151230/12dde1f3/attachment.html>