Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в GitLab, позволяющая записать файлы в произвольный каталог на сервере, opennews (?), 26-Янв-24, (0) [смотреть все] Tor Project просто молодцы, что перешли на это заведомое рeшето , Адмирал Майк Роджерс (?), 10:06 , 26-Янв-24, (1) –4 // Критикуешь предлагай Какие альтернативы , scriptkiddis (?), 15:48 , 26-Янв-24, (22) –1 // trac, который был до перехода на GitLab , Аноним (26), 16:15 , 26-Янв-24, (26) +2 // Который в стагнации уже очень давно , jkkj (?), 01:54 , 27-Янв-24, (37) Вообще непонятно, почему многие когда-то туда ломанулись Gitea же намного лучше, Аноним (31), 19:15 , 26-Янв-24, (31) внизапна просто git , лютый жабби.... (?), 20:11 , 26-Янв-24, (32) +1 Gitea или как там ее То что используют codeberg и notabug В цать раз менее мон, Аноним (-), 20:52 , 26-Янв-24, (33) Гениально Что ни день - то патчи продуктов всё лучше и лучше, Бывалый смузихлёб (?), 10:16 , 26-Янв-24, (2) +4 // это же классика NSFW контент далее data json_decode data if is_null , Аноним (5), 10:31 , 26-Янв-24, (5) +3 // что за мерзкий язык похожий на JS, и почему там не или , penetrator (?), 12:34 , 26-Янв-24, (13) +1 // Рядом, это пыха А почему И , потому что до сих пор в пыхе да и в js null - , Аноним (5), 12:53 , 26-Янв-24, (14) +1 Стоит отметить, что json_decode поддерживает флаг JSON_THROW_ON_ERROR начиная гд, Аноним (23), 15:50 , 26-Янв-24, (23) +1 Скрыто модератором, Аноним (-), 20:54 , 26-Янв-24, (34) Скрыто модератором, Аноним (5), 22:39 , 26-Янв-24, (36) ОК, допустим, мы такие а вдруг распарсит без ошибок и вернет нул из json_decode,, penetrator (?), 04:29 , 28-Янв-24, (41) не, все так, Аноним (5), 14:19 , 28-Янв-24, (42) То есть вторая часть условия никогда не сработает, потому что json_last_error_ms, qwe (??), 02:22 , 27-Янв-24, (38) // Yep, лоханулся Хорошо что это не стек отсюда не скопируют , Аноним (5), 22:22 , 27-Янв-24, (40) Это вообще жесть А проверить строку на левые юникод символы это типо слишком сло, Аноньимъ (ok), 19:05 , 26-Янв-24, (30) Эти упражнения с юникодом будут вечны , Аноним (39), 11:33 , 27-Янв-24, (39) Надо YAML- JSON- XML, так ещё вероятнее обнаружение некорректных конструкций Та, Аноним (8), 11:38 , 26-Янв-24, (8) +2 // У XML хоть DTD есть , anonymous (??), 12:07 , 26-Янв-24, (10) +2 // Вот бы люди изобрели json schema , hshhhhh (ok), 14:46 , 26-Янв-24, (19) У JSON хоть JSON Schema есть, Аноним (20), 14:56 , 26-Янв-24, (20) // 8230 но её никто не использует , Аноним (29), 18:53 , 26-Янв-24, (29) +1 То есть, ни подобрать с самого начала, ни перейти сейчас на нормальную либу для , YetAnotherOnanym (ok), 12:06 , 26-Янв-24, (9) +1 // Ямл и нормално в одном предложении , anonymous (??), 12:08 , 26-Янв-24, (11) +4 А в чём уязвимость-то Отдай свои ценные файлы гитлабу бесплатно , anonymous (??), 13:28 , 26-Янв-24, (16) бесполезная уязвимость, Пряник (?), 15:06 , 26-Янв-24, (21) // Получение доступа к любому файлу в var opt gitlab такое себе , scriptkiddis (?), 15:51 , 26-Янв-24, (24) Это какое-то зумерское исправление Я сейчас пытаюсь осознать, что зумеры чтоб, Аноним (25), 16:09 , 26-Янв-24, (25) +4   // К сожалению со сравнением строк тоже не все хорошо Вон недавно в GNU split не см, Аноним (-), 17:02 , 26-Янв-24, (27)   Это тебе еще повезло А то могут и при помощи камеры на мобильнике Ну подумаешь, Аноним (-), 20:55 , 26-Янв-24, (35)   1,2,8,9,16,21,25

Сообщения

[Сортировка по времени | RSS]

25. "Уязвимость в GitLab, позволяющая записать файлы в произвольн..."	+4 +/–
Сообщение от Аноним (25), 26-Янв-24, 16:09
> в патче проблема решена преобразованием YAML в JSON и проверкой наличия конструкций, корректных в YAML, но недопустимых в JSON из-за использования определённых Unicode-символов Это какое-то зумерское "исправление". Я сейчас пытаюсь осознать, что зумеры чтобы проверить на наличие определённых символов перегоняют один смузи-формат в другой... Наверняка с гигабайтами задействованных фреймворков. Это какая-то странная квази-айтишная эволюция пост-советских офисных тётенек, зачем-то перегонявших документ в .jpeg  с помощью принтера и сканера. Что дальше, для тупого сравнения строк будет запускаться нейросеть в облаке? Мозги, для чего они?
Ответить | Правка | Наверх | Cообщить модератору

	27. "Уязвимость в GitLab, позволяющая записать файлы в произвольн..."	+/–
	Сообщение от Аноним (-), 26-Янв-24, 17:02
	> Что дальше, для тупого сравнения строк К сожалению со сравнением строк тоже не все хорошо. Вон недавно в GNU split не смогли строку на две части разделить. И получили уязвимость...
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Уязвимость в GitLab, позволяющая записать файлы в произвольн..."	+/–
	Сообщение от Аноним (-), 26-Янв-24, 20:55
	> Это какая-то странная квази-айтишная эволюция пост-советских офисных тётенек, > зачем-то перегонявших документ в .jpeg  с помощью принтера и сканера. Это тебе еще повезло. А то могут и при помощи камеры на мобильнике. Ну подумаешь, не в фокусе немного.
	Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема