<HTML><BODY>Нужно было смотреть до 27 минуты.<br><br>Основной наброс был на:<br><br>echo "/sbin/ifconfig|" | perl -e 'my $fd = "ARGV"; while(<$fd>){ print }'<br><br>Вот только в 5.18 версии, похоже дыру пофиксили...<br><br>С почтением,<br>  Илья Винокуров.<br><br><blockquote style="border-left:1px solid #0857A6; margin:10px; padding:0 0 0 10px;">
        Вторник, 29 декабря 2015, 15:06 +03:00 от Alexey Shrub <worldmind@mail.ru>:<br>
        <br>
        <div id="">
        



    











        
        


        
        
        

        

        
        

        

        
        



<div class="js-helper js-readmsg-msg">
        <style type="text/css"></style>
        <div>
                <base target="_self" href="https://e.mail.ru/">
                
            <div id="style_14513908960000000109_BODY"><div>Посмотрел 17 минут:</div>

Примеры кода без strict намекают что он реально юзает old perl<div>Невозможность указать тип аргумента это минус, но не это порождает уязвимости.<br><div>Может я что-то делал не так, но что-то не помню чтобы я писал функций которые принимают что угодно и выполняют разные действия в зависимости от типа аргументов, может у меня какой-то другой перл? Хотя и это не порождает уязвимостей.<br><div>То, что разработчика багзиллы не эскейпят данные подставляемые в запрос не косяк языка, а их косяк.</div><div>Весь его разговор крутится вокруг того что якобы хеши это безопасные структуры данных, но естественно это чушь, никакой универсальной безопасности не может быть, откуда перлу знать что программер будет данными делать - в базу вставлять или в html, эскейпить нужно явно в зависимости от того что нужно.</div><div>Дальше не хочется тратить время<br><br>On Вт, дек 29, 2015 в 12:35 , Павел Щербинин <<a href="/compose?To=dzirtik@gmail.com">dzirtik@gmail.com</a>> wrote:<br>
<blockquote type="cite"><p dir="ltr">Сегодняшний доклад про Perl на конференции 32c3 - огонь!</p>
<p dir="ltr">Всем перловикам и безопасникам обязательно смотреть видео:<br>
<a href="https://www.youtube.com/watch?v=eH_u3C2WwQ0" target="_blank">https://www.youtube.com/watch?v=eH_u3C2WwQ0</a><br data-mce-bogus="1"></p>
</blockquote></div></div></div></div>
            
                
                    <div>-- <br>
Moscow.pm mailing list<br>
<a href="/compose?To=moscow%2dpm@pm.org">moscow-pm@pm.org</a> | <a href="http://moscow.pm.org" target="_blank">http://moscow.pm.org</a><br>
</div>
                
             
        
                <base target="_self" href="https://e.mail.ru/">
        </div>

        
</div>


</div>
</blockquote>
<br></BODY></HTML>