https://www.opennet.me/openforum/vsluhforumID3/115142.html В Packagist (https://packagist.org), крупнейшем репозитории пакетов на языке PHP, ежемесячно обслуживающем более 400 млн загрузок и по умолчанию применяемом в пакетной менеджере Composer, выявлена (https://justi.cz/security/2018/08/28/packagist-org-rce.html) критическая уязвимость, позволяющая выполнить код на сервере проекта через передачу специально оформленных значений в форму добавления нового пакета. <br><br><br><br>Уязвимость вызвана отсутствием должной проверки передаваемых значений перед их обработкой в shell-скриптах. В частности, для выполнения произвольных shell-команд в текстовое поле с URL репозитория добавляемого проекта достаточно было ввести строку вида "$(код)". На стороне сервера данный URL передаётся в качестве аргумента при вызове команд git, p4, svn и hg. Для git и hg выполняется экранирование строки кавычками, но для p4 (Perforce) и svn (Subversion) строка передаётся как есть, например, при вводе "$(sleep 1)" будет запущена команда "svn info --non-interactive $(sleep 1)". Разработчики Packagist у https://www.opennet.me/openforum/vsluhforumID3/115142.html#45 Fri, 31 Aug 2018 11:25:17 GMT Можно было бы заморочится в систему типов, введя безопасные и небезопасные строки. Вот константа - безопасна, так как не подвержена инъекции. А вот $_GET опасен. Складываем безопасную с опасной - получаем опасную. При таком подходе инхекций не было бы, так как у говнокодеров сайт просто падал бы с ошибкой.<br><br>Впрочем в пыхе и более простые вещи поломаны, о чём можно говорить?<br> https://www.opennet.me/openforum/vsluhforumID3/115142.html#44 Thu, 30 Aug 2018 21:31:31 GMT &gt; как GNU расшифровывается.<br><br>так оно у тебя ещё и зашифровано?!! <br> https://www.opennet.me/openforum/vsluhforumID3/115142.html#43 Thu, 30 Aug 2018 21:24:35 GMT Согласно концепции web2.0 ты сейчас тоже пишешь "для веба". Нежнее надо быть, Анон!<br>Хотя комментарии содержащие слово "все" можно удалять неглядя, ибо 98% их есть чушь.<br> https://www.opennet.me/openforum/vsluhforumID3/115142.html#39 Thu, 30 Aug 2018 15:19:08 GMT Зато вы, как узнали, сразу илитой себя ощутили, да?<br> https://www.opennet.me/openforum/vsluhforumID3/115142.html#38 Thu, 30 Aug 2018 13:07:44 GMT Что, в принципе, тоже вполне себе модель разработки, имеющая доказанную примерами экономическую эффективность. Если не впадать в крайности, то по ней большая часть софта и пишется. Ну по крайней мере, из того, что где-то запущен и генерирует денежную выгоду, а не существует в умах идеалистов, не продвинувшихся дальше филигранного оттачивания идей в своём воображении.<br> https://www.opennet.me/openforum/vsluhforumID3/115142.html#37 Thu, 30 Aug 2018 11:12:27 GMT А почему бы и нет? Если на сайт заходят в день полтора анонимуса, можно и через system вызывать, а если нагрузка высокая, то на каждый запрос запускать процесс - это уже непозволительное расточительство, тут уже стОит озаботиться каким-то более эффективным способом.<br> https://www.opennet.me/openforum/vsluhforumID3/115142.html#36 Thu, 30 Aug 2018 09:38:57 GMT а потом сраться в комментариях о гендере и прочем sjw<br> https://www.opennet.me/openforum/vsluhforumID3/115142.html#35 Thu, 30 Aug 2018 09:22:27 GMT Окей, корректировочка: тянуть код автоматом из слабо верифицированных реп. Дальше хлебнуть смузи и ждать следующего ахтунга.<br> https://www.opennet.me/openforum/vsluhforumID3/115142.html#33 Thu, 30 Aug 2018 07:39:06 GMT в смысле? У них ее отродясь как раз и не было - фильтруют где попало и когда попало - с весьма предсказуемым результатом.<br><br>Причем в основных частях все сделано уже почти правильно (за миллион итераций с remote exec каждый раз), но, поскольку это каждый раз делалось для конкретного случая, а не общий интерфейс предусмотрен - оно каждый раз оказывается забыто в очередном новом месте ;-)<br>Не говоря уже про авторов плагинов, которые велосипед изобретают каждый раз заново. Потому что опять же нет готового api для них.<br><br><br>