Уязвимости PHP

Форум для программистов

Сообщение Andrew » Чт сен 20, 2007 9:35 am

А толку? Секурность PHP ниже плинтуса. Народ потихоньку перелазит на .NET и Java.


<!--coloro:#FF0000--><span style="color:#FF0000"><!--/coloro-->Отодрал от темы <a href="http://www.fforum.ru/index.php?showtopic=22468" target="_blank">"Eclipse дотянулся до PHP"</a> про PDT. Sh0Ck_filE.<!--colorc--></span><!--/colorc-->
Последний раз редактировалось Andrew Пт сен 21, 2007 3:49 pm, всего редактировалось 1 раз.
Что нас не убъет, то сделает нас сильнее.
Первая проба пера <a href="http://t5-keeper.livejournal.com/" target="_blank">http://t5-keeper.livejournal.com/</a>
Andrew
Подполковник
 
Сообщений: 587
Зарегистрирован: Чт мар 28, 2002 6:29 pm
Откуда: Минск
Пункты репутации: 0

Сообщение Scalder » Чт сен 20, 2007 2:37 pm

Andrew,
А можно по подробнее по секурность и в отдельном топике?
Ото такие заявление в топиках не в тему все горазды делать...
<!--coloro:green--><span style="color:green"><!--/coloro-->А что я не так сказал?<!--colorc--></span><!--/colorc-->
<!--coloro:red--><span style="color:red"><!--/coloro-->А ты как думал? Конечно это ИМХО<!--colorc--></span><!--/colorc-->

<!--coloro:red--><span style="color:red"><!--/coloro-->>В каждом системном администраторе есть что-то от Бога.<!--colorc--></span><!--/colorc-->
В каждом программисте есть что-то от Бога для Бога. :-р
<a href="http://www.erepublik.com/en/referrer/mrScalder" target="_blank">Изображение</a>
Scalder
Генерал-майор
 
Сообщений: 2587
Зарегистрирован: Пн апр 08, 2002 10:21 am
Пункты репутации: 0

Сообщение Mafin » Чт сен 20, 2007 3:16 pm

<!--quoteo--><div class='quotetop'>Цитата</div><div class='quotemain'><!--quotec-->Andrew,
А можно по подробнее по секурность и в отдельном топике?
Ото такие заявление в топиках не в тему все горазды делать...
<!--QuoteEnd--></div><!--QuoteEEnd-->

Да-да-да. Интересно-интересно!!!
<span style='color:green'>Я здесь, я везде, я всегда...</span>
Mafin
Полковник
 
Сообщений: 1585
Зарегистрирован: Пт мар 29, 2002 9:53 am
Откуда: Центральная Чехия
Пункты репутации: 0

Сообщение Sh0Ck_filE » Чт сен 20, 2007 7:53 pm

Как бывшего РНР-шнику мне тож интересно :)))
<!--coloro:red--><span style="color:red"><!--/coloro-->"Для того чтобы быть человеком, надо им какое-то время не быть."<!--colorc--></span><!--/colorc--> ©<a href="http://zhurnal.lib.ru/b/brigadir_j_a/" target="_blank">Ю. А. Бригадир.</a>
<a href="http://counter.li.org/cgi-bin/runscript/display-person.cgi?user=437143" target="_blank">Registered Linux user #437143</a>.
Sh0Ck_filE
Генерал-лейтенант
 
Сообщений: 3474
Зарегистрирован: Пн апр 21, 2003 6:20 pm
Откуда: СССР
Пункты репутации: 0

Сообщение NickFW » Пт сен 21, 2007 3:51 am

Andrew,
ага... тож хочу почитать...
NickFW
Маршал
 
Сообщений: 6178
Зарегистрирован: Чт апр 11, 2002 11:46 am
Откуда: kemerovo / siberia
Пункты репутации: 0

Сообщение Andrew » Пт сен 21, 2007 9:19 am

<a href="http://www.securitylab.ru/vulnerability/index.php?arrFilter_ff%5BSECTION_ID%5D=&arrFilter_ff%5BSEARCHABLE_CONTENT%5D=PHP&set_filter=%D4%E8%EB%FC%F2%F0&set_filter=Y" target="_blank">Тут</a> очень большой список уязвимостей. Практически большинство из них решается установкой патча или последнейшей версии. Хочу обратить внимание на то, что редкий день обходится без публикации PHP уязвимости.

Есть тут энтузиасты готовые на рабочем серваке патчить php каждый день?
Последний раз редактировалось Andrew Пт сен 21, 2007 9:19 am, всего редактировалось 1 раз.
Что нас не убъет, то сделает нас сильнее.
Первая проба пера <a href="http://t5-keeper.livejournal.com/" target="_blank">http://t5-keeper.livejournal.com/</a>
Andrew
Подполковник
 
Сообщений: 587
Зарегистрирован: Чт мар 28, 2002 6:29 pm
Откуда: Минск
Пункты репутации: 0

Сообщение Sh0Ck_filE » Пт сен 21, 2007 2:17 pm

Посмотрел на ссылку. Вдумчиво прочитал первую страницу. Проглядел по диагонали вторую. И влёгкую пробежался по третьей. Ничего, ну абсолютно ничего про PHP. Все уязвимости - в продуктах, написанных на пыхпыхе. Думаю, разницу объяснять не надо? Криворукие быдлокодеры, не могущие обезопасить своё приложение - это то, что можно увидеть сплошь и рядом. И РНР тут абсолютно не при чём.
<!--coloro:red--><span style="color:red"><!--/coloro-->"Для того чтобы быть человеком, надо им какое-то время не быть."<!--colorc--></span><!--/colorc--> ©<a href="http://zhurnal.lib.ru/b/brigadir_j_a/" target="_blank">Ю. А. Бригадир.</a>
<a href="http://counter.li.org/cgi-bin/runscript/display-person.cgi?user=437143" target="_blank">Registered Linux user #437143</a>.
Sh0Ck_filE
Генерал-лейтенант
 
Сообщений: 3474
Зарегистрирован: Пн апр 21, 2003 6:20 pm
Откуда: СССР
Пункты репутации: 0

Сообщение Andrew » Пт сен 21, 2007 2:36 pm

Ну почему же так мало криворуких быдлокодеров на Java? На страничке есть поиск-посмотри сколько уязвимостей на продуктах java.
Что нас не убъет, то сделает нас сильнее.
Первая проба пера <a href="http://t5-keeper.livejournal.com/" target="_blank">http://t5-keeper.livejournal.com/</a>
Andrew
Подполковник
 
Сообщений: 587
Зарегистрирован: Чт мар 28, 2002 6:29 pm
Откуда: Минск
Пункты репутации: 0

Сообщение Sh0Ck_filE » Пт сен 21, 2007 3:31 pm

Andrew,
Ява таки на порядок сложнее. К тому же те, кто пишут на J2EE используют JBOSS, Struts и другие прекрасные, отлаженные фреймворки, в которых для безопасности уже предусмотрено многое. (Родной пример для меня - Rails-фреймворк для Ruby).

А у пыхпыха недостаточно стандартизированности - всё, что есть для него, это PEAR да Smarty (из самых крупных), да и то - каждый кодер на рнр в любом случае изо всех сил старается изобрести велосипед. Так что опять же - всё выливается в проблемы ККР (коэффициента кривизны рук) программиста.
<!--coloro:red--><span style="color:red"><!--/coloro-->"Для того чтобы быть человеком, надо им какое-то время не быть."<!--colorc--></span><!--/colorc--> ©<a href="http://zhurnal.lib.ru/b/brigadir_j_a/" target="_blank">Ю. А. Бригадир.</a>
<a href="http://counter.li.org/cgi-bin/runscript/display-person.cgi?user=437143" target="_blank">Registered Linux user #437143</a>.
Sh0Ck_filE
Генерал-лейтенант
 
Сообщений: 3474
Зарегистрирован: Пн апр 21, 2003 6:20 pm
Откуда: СССР
Пункты репутации: 0

Сообщение Andrew » Пн сен 24, 2007 8:45 am

Другой момент. Если честно лениво искать эту новость, но два месяца назад команда разработчиков PHP объявила месяц патчей (или уязвимостей - не помню точно) с целью повысить секурность PHP4 и PHP5.

С чего бы это?
Что нас не убъет, то сделает нас сильнее.
Первая проба пера <a href="http://t5-keeper.livejournal.com/" target="_blank">http://t5-keeper.livejournal.com/</a>
Andrew
Подполковник
 
Сообщений: 587
Зарегистрирован: Чт мар 28, 2002 6:29 pm
Откуда: Минск
Пункты репутации: 0

Сообщение Mafin » Пн сен 24, 2007 3:29 pm

Посмотрел тот сурс на верху, полностью согласен с Sh0Ck_filE, это из-за ККР. (очень понравилось это определение) :lol: Чего-то я там не нашел ошибок PHP, только ошибки в коде РНР.
А что касается фреймворков на РНР, так есть Zend Framework, авторы, кстати, идеи черпали в RoR.
<span style='color:green'>Я здесь, я везде, я всегда...</span>
Mafin
Полковник
 
Сообщений: 1585
Зарегистрирован: Пт мар 29, 2002 9:53 am
Откуда: Центральная Чехия
Пункты репутации: 0

Сообщение SiMM » Пн сен 24, 2007 4:16 pm

Andrew писал(а):Другой момент. Если честно лениво искать эту новость, но два месяца назад команда разработчиков PHP объявила месяц патчей (или уязвимостей - не помню точно) с целью повысить секурность PHP4 и PHP5.
Патчи и уязвимости всё же разные вещи - давайте конкретику.
IRC: <a href='http://www.fileforum.ru/irc.php' target='_blank'>RUSNET #fileforum</a> (irc.tsk.ru:6669)
SiMM
Подполковник
 
Сообщений: 588
Зарегистрирован: Чт июн 13, 2002 8:41 am
Пункты репутации: 0

Сообщение Andrew » Вт сен 25, 2007 11:02 am

Ну вот вам конкретика.

1. Я нашел ссылку на эту статью. С приблизительной датой я естественно ошибся, потому что не трекаю уязвимости PHP. Просто они мне постоянно "мозолят глаза" своим количеством. Ссылка на <a href="http://www.securitylab.ru/news/292073.php" target="_blank">Секлаб</a> и ссылка на <a href="http://www.php-security.org/" target="_blank">первоисточник</a>.

2. Как исправляют разработчики уязвимости ядра PHP смотрим <a href="http://www.securitylab.ru/news/302087.php" target="_blank">тут</a> и <a href="http://www.securitylab.ru/news/297389.php" target="_blank">тут</a>.

3. А <a href="http://www.securitylab.ru/vulnerability/298017.php" target="_blank">тут</a> уязвимость которая не устранена до сих пор с 21 июня этого года. Да, конечно, это локальная уязвимость, но наличие любой другой удаленной уязвимости с возможностью выполнения произвольного кода (команды) даже в других продуктах и рабочий эксплоит (который есть) сделают свое дело.

Хотите больше конкретики - читайте бюлетни на секлабе.
Что нас не убъет, то сделает нас сильнее.
Первая проба пера <a href="http://t5-keeper.livejournal.com/" target="_blank">http://t5-keeper.livejournal.com/</a>
Andrew
Подполковник
 
Сообщений: 587
Зарегистрирован: Чт мар 28, 2002 6:29 pm
Откуда: Минск
Пункты репутации: 0


Вернуться в Программирование

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3

cron