В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

PHP

1752 membersпожаловаться на группу
2020 April 10

AM

Artem Molotov in PHP
invariance
ну т.е. например юзер делится картинкой с какого-нибудь сайта в общем чате, а там внутри какой-нибудь xss
Конечно, что задаются. Более того, довольно часто делают кучку костылей, что бы не спалить свою подсеть и не словить банальный DDOS, если у админов нет панели для отсеивания трафика у вышестоящих партнёров.
источник
13:01пожаловаться#1

˸A

˸̧̨ ͅBlack Akula˸̧̨ ͅ ̤ ̬̪ in PHP
invariance
ну т.е. например юзер делится картинкой с какого-нибудь сайта в общем чате, а там внутри какой-нибудь xss
Так mime тип по первым байтам файла можно определять, прежде, чем добавлять такую картинку
источник
13:01пожаловаться#2

AM

Artem Molotov in PHP
С эксплойтами, ясен хер, всё куда серьёзнее :)
источник
13:02пожаловаться#3

i

invariance in PHP
˸̧̨ ͅBlack Akula˸̧̨ ͅ ̤ ̬̪
Так mime тип по первым байтам файла можно определять, прежде, чем добавлять такую картинку
но первые байты можно подменить в теории, не?
источник
13:02пожаловаться#4

˸A

˸̧̨ ͅBlack Akula˸̧̨ ͅ ̤ ̬̪ in PHP
invariance
но первые байты можно подменить в теории, не?
Тогда скрипт клиентом не выполнится
источник
13:02пожаловаться#5

AM

Artem Molotov in PHP
˸̧̨ ͅBlack Akula˸̧̨ ͅ ̤ ̬̪
Так mime тип по первым байтам файла можно определять, прежде, чем добавлять такую картинку
Человек, видимо, о ситуациях, когда юзер указывает ссылку к картинке и сервис уже обрабатывает эту картинку с скачиванием по ссылке. Но да, даже если это обычный аплоад с обработкой всяким ffmpeg'ем, то тоже можно словить эксплойт. Даже на десериализации в некоторое время можно было эксплойт цепануть.
источник
13:03пожаловаться#6

AM

Artem Molotov in PHP
˸̧̨ ͅBlack Akula˸̧̨ ͅ ̤ ̬̪
Тогда скрипт клиентом не выполнится
Т.е.?
источник
13:04пожаловаться#7

˸A

˸̧̨ ͅBlack Akula˸̧̨ ͅ ̤ ̬̪ in PHP
Artem Molotov
Т.е.?
Я имею в виду, как браузер выполняет скрипт из картинки? Не в зависимости от mime типа, разве?
источник
13:05пожаловаться#8

AM

Artem Molotov in PHP
˸̧̨ ͅBlack Akula˸̧̨ ͅ ̤ ̬̪
Я имею в виду, как браузер выполняет скрипт из картинки? Не в зависимости от mime типа, разве?
Эксплойты бывают не только для эксплуатации дыр браузеров. Злоумышленники вполне могут пытаться залезть на сервер той или иной компании.
источник
13:06пожаловаться#9

˸A

˸̧̨ ͅBlack Akula˸̧̨ ͅ ̤ ̬̪ in PHP
Artem Molotov
Эксплойты бывают не только для эксплуатации дыр браузеров. Злоумышленники вполне могут пытаться залезть на сервер той или иной компании.
Автор вопроса упомянул xss
источник
13:07пожаловаться#10

AM

Artem Molotov in PHP
˸̧̨ ͅBlack Akula˸̧̨ ͅ ̤ ̬̪
Автор вопроса упомянул xss
Да, я видел. Но подумал в ином ключе.

В таком случае, если в браузере есть дыра при обработке картинки, то вполне можно заразить юзеров любой корректной картинкой и вряд ли это можно как-то проверить (кроме как прогонять каждую картинку по антивирусным базам).
источник
13:10пожаловаться#11

DM

Dmitry MiksIr in PHP
Я видел такой эксплойт с картинкой... мог удалить все файлы
источник
13:36пожаловаться#12

DM

Dmitry MiksIr in PHP
invariance
ну т.е. например юзер делится картинкой с какого-нибудь сайта в общем чате, а там внутри какой-нибудь xss
http://tiny.cc/8nksmz
источник
13:42пожаловаться#13

i

invariance in PHP
Dmitry MiksIr
http://tiny.cc/8nksmz
жесть
источник
13:42пожаловаться#14

VM

Volodymyr Melko in PHP
Dmitry MiksIr
http://tiny.cc/8nksmz
черт, меня хакнули
источник
14:24пожаловаться#15

б

бахнув пельменів in PHP
http://tiny.cc/s48smz
источник
21:42пожаловаться#16

A4

Anon 43 in PHP
xdebug долго настраиается?
источник
21:43пожаловаться#17

б

бахнув пельменів in PHP
В php.ini 2 строчки
источник
21:45пожаловаться#18

б

бахнув пельменів in PHP
Раскоментировать расширение и указать название для соединения со своей IDE
источник
21:45пожаловаться#19

АБ

Андрей Бородин in PHP
image_2020-04-10_21-49-47.png
(15.72 Кб)
всем привет. первый раз пытаюсь установить что-то через композер, что ему нужно и как это устранить?
источник
21:49пожаловаться#20