[Moscow.pm] Безопасность Perl

[Anatoly Y]

какие инсталяции? CGI.pm ? который выпилили из коре. О котом Sawyer ещё
года два или три назад говорил очень звучно на конфе )
Или про то, что он утверждает будто разработчики хэши считают безопасными,
а скаляры нет. Ну что за бред?)
Он просто клоун)

2015-12-30 17:57 GMT+06:00 Andrey Kovbovich <akovbovich на gmail.com>:

> Выступление классное. Парень прям хорошо держится на сцене. А если учесть,
> что он рассказывал о том как заэксплойтить самые частые инсталляции
> перловых модулей в мире, то даже некоторым инфа может пригодиться.
> 30 дек. 2015 г. 14:48 пользователь "Илья Винокуров" <ilvin на mail.ru>
> написал:
>
> Сорри, ошибся.
>>
>> Вот так работает:
>>
>> perl -e 'use strict; use warnings; use CGI; my $fd = "ARGV";
>> while(<$fd>){ print }' '/sbin/ifconfig|'
>>
>>
>>
>> Среда, 30 декабря 2015, 14:26 +03:00 от Илья Винокуров <ilvin на mail.ru>:
>>
>> Нужно было смотреть до 27 минуты.
>>
>> Основной наброс был на:
>>
>> echo "/sbin/ifconfig|" | perl -e 'my $fd = "ARGV"; while(<$fd>){ print }'
>>
>> Вот только в 5.18 версии, похоже дыру пофиксили...
>>
>> С почтением,
>>   Илья Винокуров.
>>
>> Вторник, 29 декабря 2015, 15:06 +03:00 от Alexey Shrub <worldmind на mail.ru
>> <https://e.mail.ru/compose?To=worldmind@mail.ru>>:
>>
>> Посмотрел 17 минут:
>> Примеры кода без strict намекают что он реально юзает old perl
>> Невозможность указать тип аргумента это минус, но не это порождает
>> уязвимости.
>> Может я что-то делал не так, но что-то не помню чтобы я писал функций
>> которые принимают что угодно и выполняют разные действия в зависимости от
>> типа аргументов, может у меня какой-то другой перл? Хотя и это не порождает
>> уязвимостей.
>> То, что разработчика багзиллы не эскейпят данные подставляемые в запрос
>> не косяк языка, а их косяк.
>> Весь его разговор крутится вокруг того что якобы хеши это безопасные
>> структуры данных, но естественно это чушь, никакой универсальной
>> безопасности не может быть, откуда перлу знать что программер будет данными
>> делать - в базу вставлять или в html, эскейпить нужно явно в зависимости от
>> того что нужно.
>> Дальше не хочется тратить время
>>
>> On Вт, дек 29, 2015 в 12:35 , Павел Щербинин <dzirtik на gmail.com> wrote:
>>
>> Сегодняшний доклад про Perl на конференции 32c3 - огонь!
>>
>> Всем перловикам и безопасникам обязательно смотреть видео:
>> https://www.youtube.com/watch?v=eH_u3C2WwQ0
>>
>> --
>> Moscow.pm mailing list
>> moscow-pm на pm.org | http://moscow.pm.org
>>
>>
>> --
>> Moscow.pm mailing list
>> moscow-pm на pm.org <https://e.mail.ru/compose?To=moscow%2dpm@pm.org> |
>> http://moscow.pm.org
>>
>>
>>
>> --
>> Moscow.pm mailing list
>> moscow-pm на pm.org | http://moscow.pm.org
>>
>>
> --
> Moscow.pm mailing list
> moscow-pm на pm.org | http://moscow.pm.org
>
>
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mail.pm.org/pipermail/moscow-pm/attachments/20151230/f0d03998/attachment.html>