[Moscow.pm] Безопасность Perl
Vladimir Lettiev
thecrux на gmail.com
Вт Дек 29 06:05:03 PST 2015
On Tue, Dec 29, 2015 at 04:41:39PM +0300, Ruslan Zakirov wrote:
> 2015-12-29 15:33 GMT+03:00 Vladimir Lettiev <thecrux на gmail.com>:
>
> > Кроме того единственный представленный эксплойт для Багизиллы не работает
> > по дефолту из-за самой крутой фичи в безопасности языка, о которой товарищ
> > позорно умалчивает: Taint check.
> >
>
> Не уйдет ли taint флаг при парсинге JSON ввода?
Думаю, что нет.
$ perl -T -e '
use JSON;
my $x = JSON::decode_json($ARGV[0]);
open my $fh, ">", "$x->{test}" or die $!;
' '{ "test" : "data" }'
Insecure dependency in open while running with -T switch at -e line 1
--
Vladimir Lettiev aka crux ✉ theCrux на gmail.com
Подробная информация о списке рассылки Moscow-pm