<p dir="ltr">Выступление классное. Парень прям хорошо держится на сцене. А если учесть, что он рассказывал о том как заэксплойтить самые частые инсталляции перловых модулей в мире, то даже некоторым инфа может пригодиться.</p>
<div class="gmail_quote">30 дек. 2015 г. 14:48 пользователь "Илья Винокуров" <<a href="mailto:ilvin@mail.ru">ilvin@mail.ru</a>> написал:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div>Сорри, ошибся.<br><br>Вот так работает:<br><br>perl -e 'use strict; use warnings; use CGI; my $fd = "ARGV"; while(<$fd>){ print }' '/sbin/ifconfig|'<br><br><br><br><blockquote style="border-left:1px solid #0857a6;margin:10px;padding:0 0 0 10px">
Среда, 30 декабря 2015, 14:26 +03:00 от Илья Винокуров <<a href="mailto:ilvin@mail.ru" target="_blank">ilvin@mail.ru</a>>:<br>
<br>
<div>
<div>
<div>
<div>
Нужно было смотреть до 27 минуты.<br><br>Основной наброс был на:<br><br>echo "/sbin/ifconfig|" | perl -e 'my $fd = "ARGV"; while(<$fd>){ print }'<br><br>Вот только в 5.18 версии, похоже дыру пофиксили...<br><br>С почтением,<br> Илья Винокуров.<br><br><div><blockquote style="border-left:1px solid #0857a6;margin:10px;padding:0 0 0 10px">
Вторник, 29 декабря 2015, 15:06 +03:00 от Alexey Shrub <<a href="https://e.mail.ru/compose?To=worldmind@mail.ru" target="_blank">worldmind@mail.ru</a>>:<br>
<br>
<div>
<div>
<div>
<div><div>Посмотрел 17 минут:</div>
Примеры кода без strict намекают что он реально юзает old perl<div>Невозможность указать тип аргумента это минус, но не это порождает уязвимости.<br><div>Может я что-то делал не так, но что-то не помню чтобы я писал функций которые принимают что угодно и выполняют разные действия в зависимости от типа аргументов, может у меня какой-то другой перл? Хотя и это не порождает уязвимостей.<br><div>То, что разработчика багзиллы не эскейпят данные подставляемые в запрос не косяк языка, а их косяк.</div><div>Весь его разговор крутится вокруг того что якобы хеши это безопасные структуры данных, но естественно это чушь, никакой универсальной безопасности не может быть, откуда перлу знать что программер будет данными делать - в базу вставлять или в html, эскейпить нужно явно в зависимости от того что нужно.</div><div>Дальше не хочется тратить время<br><br>On Вт, дек 29, 2015 в 12:35 , Павел Щербинин <<a>dzirtik@gmail.com</a>> wrote:<br>
<blockquote type="cite"><p dir="ltr">Сегодняшний доклад про Perl на конференции 32c3 - огонь!</p>
<p dir="ltr">Всем перловикам и безопасникам обязательно смотреть видео:<br>
<a href="https://www.youtube.com/watch?v=eH_u3C2WwQ0" target="_blank">https://www.youtube.com/watch?v=eH_u3C2WwQ0</a><br></p>
</blockquote></div></div></div></div>
<div>-- <br>
Moscow.pm mailing list<br>
<a>moscow-pm@pm.org</a> | <a href="http://moscow.pm.org" target="_blank">http://moscow.pm.org</a><br>
</div>
</div>
</div>
</div>
</blockquote></div>
<br>
</div>
<div>-- <br>
Moscow.pm mailing list<br>
<a href="https://e.mail.ru/compose?To=moscow%2dpm@pm.org" target="_blank">moscow-pm@pm.org</a> | <a href="http://moscow.pm.org" target="_blank">http://moscow.pm.org</a><br>
</div>
</div>
</div>
</div>
</blockquote>
<br></div>
<br>--<br>
Moscow.pm mailing list<br>
<a href="mailto:moscow-pm@pm.org">moscow-pm@pm.org</a> | <a href="http://moscow.pm.org" rel="noreferrer" target="_blank">http://moscow.pm.org</a><br>
<br></blockquote></div>