[Moscow.pm] Безопасность Perl
Andrey Kovbovich
akovbovich на gmail.com
Ср Дек 30 03:57:24 PST 2015
Выступление классное. Парень прям хорошо держится на сцене. А если учесть,
что он рассказывал о том как заэксплойтить самые частые инсталляции
перловых модулей в мире, то даже некоторым инфа может пригодиться.
30 дек. 2015 г. 14:48 пользователь "Илья Винокуров" <ilvin на mail.ru> написал:
> Сорри, ошибся.
>
> Вот так работает:
>
> perl -e 'use strict; use warnings; use CGI; my $fd = "ARGV"; while(<$fd>){
> print }' '/sbin/ifconfig|'
>
>
>
> Среда, 30 декабря 2015, 14:26 +03:00 от Илья Винокуров <ilvin на mail.ru>:
>
> Нужно было смотреть до 27 минуты.
>
> Основной наброс был на:
>
> echo "/sbin/ifconfig|" | perl -e 'my $fd = "ARGV"; while(<$fd>){ print }'
>
> Вот только в 5.18 версии, похоже дыру пофиксили...
>
> С почтением,
> Илья Винокуров.
>
> Вторник, 29 декабря 2015, 15:06 +03:00 от Alexey Shrub <worldmind на mail.ru
> <https://e.mail.ru/compose?To=worldmind@mail.ru>>:
>
> Посмотрел 17 минут:
> Примеры кода без strict намекают что он реально юзает old perl
> Невозможность указать тип аргумента это минус, но не это порождает
> уязвимости.
> Может я что-то делал не так, но что-то не помню чтобы я писал функций
> которые принимают что угодно и выполняют разные действия в зависимости от
> типа аргументов, может у меня какой-то другой перл? Хотя и это не порождает
> уязвимостей.
> То, что разработчика багзиллы не эскейпят данные подставляемые в запрос не
> косяк языка, а их косяк.
> Весь его разговор крутится вокруг того что якобы хеши это безопасные
> структуры данных, но естественно это чушь, никакой универсальной
> безопасности не может быть, откуда перлу знать что программер будет данными
> делать - в базу вставлять или в html, эскейпить нужно явно в зависимости от
> того что нужно.
> Дальше не хочется тратить время
>
> On Вт, дек 29, 2015 в 12:35 , Павел Щербинин <dzirtik на gmail.com> wrote:
>
> Сегодняшний доклад про Perl на конференции 32c3 - огонь!
>
> Всем перловикам и безопасникам обязательно смотреть видео:
> https://www.youtube.com/watch?v=eH_u3C2WwQ0
>
> --
> Moscow.pm mailing list
> moscow-pm на pm.org | http://moscow.pm.org
>
>
> --
> Moscow.pm mailing list
> moscow-pm на pm.org <https://e.mail.ru/compose?To=moscow%2dpm@pm.org> |
> http://moscow.pm.org
>
>
>
> --
> Moscow.pm mailing list
> moscow-pm на pm.org | http://moscow.pm.org
>
>
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mail.pm.org/pipermail/moscow-pm/attachments/20151230/252ab683/attachment-0001.html>
Подробная информация о списке рассылки Moscow-pm