myDC.ru

Здравствуйте, гость ( Вход | Регистрация )

 
2 страниц V  < 1 2  
Ответить в данную темуНачать новую тему

> Пингер NMDC-хабов, Ударим опенсорсом по нездоровой шняге

Теги
Нет тегов для показа
alex82
сообщение 10.4.2011, 21:41
Сообщение #21


Местный
*******

Группа: Неактивированные
Сообщений: 908
Регистрация: 26.12.2008
Пользователь №: 1 574
Спасибо сказали: 1406 раз




Цитата
Я указал на потенциально небезопасный кусок кода. Дальше уже автору решать, оставить как есть или исправлять.
Вы ни разу не указывали ни на один кусок кода. Перестаньте наконец заниматься газификацией мелких водоемов, и покажите код, кажущийся Вам подозрительным. Или не пишите вовсе.
Go to the top of the page
+Quote Post
HackFresse
сообщение 11.4.2011, 12:46
Сообщение #22


Продвинутый участник
****

Группа: Пользователи
Сообщений: 155
Регистрация: 11.1.2009
Пользователь №: 1 772
Спасибо сказали: 29 раз




Мне почему-то кажется, что вы обсуждаете некую сферическую уязвимость в вакууме.. что-то типа "даже в самой неприступной крепости найдётся дырка, где пролезет осёл"

Повлиять на работу скрипта может только входящий поток данных, так? Тогда фильтровать/обрабатывать/чистить данные, получаемые из сокета, и всё, нету проблемы.
Или я то-то не так понял?
Go to the top of the page
+Quote Post
Stribog
сообщение 11.4.2011, 17:06
Сообщение #23


Участник
**

Группа: Пользователи
Сообщений: 46
Регистрация: 11.2.2009
Пользователь №: 2 187
Спасибо сказали: 3 раза




Цитата(HackFresse @ 11.4.2011, 12:46) *
Мне почему-то кажется, что вы обсуждаете некую сферическую уязвимость в вакууме.. что-то типа "даже в самой неприступной крепости найдётся дырка, где пролезет осёл"

Повлиять на работу скрипта может только входящий поток данных, так? Тогда фильтровать/обрабатывать/чистить данные, получаемые из сокета, и всё, нету проблемы.
Или я то-то не так понял?


ДА тут дело больше не в уязвимости, а в амбициях big_smile1.gif .
Мне кажется не безопасным бесконечное считывание данных из сокета, но видимо кто то считает, что за это должен отвечать интерпретатор.
Уж как минимум к замусориванию оперативной памяти, это привести может, и хорошо бы что бы только к замусориванию.
Приведу код. (даже не знаю зачем)
Кусок кода
Код
                        l,e = client:receive(1)
            tbuf = {}
            while not e do
                if l == "|" then
                                        #Тут собственно обработка команды.
                else
                    #Тут постоянное добавление новых данных.
                end

                l,e = client:receive(1)
            end


Вот собственно о чем спор. И никак тут его не разрешить походу. Тем более, что я в меньшинстве.

Мое сугубо личное мнение. (Риторический вопрос)
Команды, получаемые от хаба, как правило имеют длину не более 2048 байт. Почему бы не ограничить их размер?

Одно можно сказать точно, я, видимо, совершенно напрасно высказал гипотезу относительно исполнения шел кода, тк она является лишь плодом моей фантазии. И не думаю что кто-то захочет потратить свое личное время и попробовать что-то подобное. Это всего лишь мое разыгравшееся воображение, а не дыра в данном пингере.

Но ведь тут действительно нельзя однозначно сказать что это эпик фейл, никто же не проверял, да и сказать что это правильно, вроде, тоже как то не скажешь.

Вот как-то так можно пересказать всю эту дискуссию.

ЗЫ Я не пытаюсь навязать свою точку зрения или заклеймить автора, просто указал на не достаточную фильтрацию входных данных.
Go to the top of the page
+Quote Post
alex82
сообщение 11.4.2011, 18:12
Сообщение #24


Местный
*******

Группа: Неактивированные
Сообщений: 908
Регистрация: 26.12.2008
Пользователь №: 1 574
Спасибо сказали: 1406 раз




Эта "уязвимость" исправляется при помощи двух строк кода, и это может сделать сам юзер, если чувствует в себе зачатки паранойи.


Спасибо сказали:
Go to the top of the page
+Quote Post

2 страниц V  < 1 2
Ответить в данную темуНачать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

Collapse

> Похожие темы

  Тема Ответов Автор Просмотров Последнее сообщение
No new Topic has attachmentsОткрытие двух хабов
19 000000 16 742 4.4.2017, 21:57 Посл. сообщение: Saymon21
No new Topic has attachmentsВопросы по протоколу NMDC
Делаю программу
26 Master255 29 751 12.1.2015, 0:38 Посл. сообщение: Master255
No New Posts Халявные поддомены для хабов
2 CheshirCa 7 833 15.6.2014, 14:16 Посл. сообщение: SKIFI
No New Posts От: вопрос по NMDC.
От темы с ID: 4932
0 MIKHAIL 5 536 25.1.2013, 19:48 Посл. сообщение: MIKHAIL
No new Бесплатный хостинг хабов
29 dj_crazy_joker 32 362 11.6.2012, 21:23 Посл. сообщение: dj_crazy_joker
No new Topic has attachmentsОт: Бесплатный хостинг хабов
От темы с ID: 5291
21 po fenshyj' 18 826 9.6.2012, 22:23 Посл. сообщение: Saymon21
No New Posts вопрос по NMDC.
.
6 Lamo 13 356 29.5.2012, 19:35 Посл. сообщение: Lamo
No New Posts Синхронизация двух хабов
4 Grand 7 968 15.3.2012, 12:33 Посл. сообщение: Grand
No new Topic has attachmentsПротокол IPv6 в протоколе NMDC
Спецификация и тестирование IPv6 в NMDC
109 gif-t 95 916 26.2.2012, 10:12 Посл. сообщение: AMD
No New Posts NMDC Extensions
Расширения и новые команды NMDC протокола
10 Meloun 18 412 19.2.2012, 16:39 Посл. сообщение: gif-t
No New Posts Реклама хабов с помощью создание сборок
8 dj_crazy_joker 10 789 11.2.2012, 12:52 Посл. сообщение: dj_crazy_joker
No New Posts От: NMDC Extensions
От темы с ID: 5095
0 Артём 5 599 4.1.2012, 18:56 Посл. сообщение: Артём
No New Posts пингер на perl
.
0 Lamo 8 116 5.8.2011, 23:30 Посл. сообщение: Lamo
No New Posts Универсальный Пингер для ptokax 4.1.2
6 Maksim_94 10 921 22.7.2011, 6:40 Посл. сообщение: Damaks
No New Posts Хостинг Хабов
11 roflDDDD 16 383 5.5.2011, 21:15 Посл. сообщение: roflDDDD

 



RSS Сейчас: 26.11.2024, 23:36