M
а вообще это же круто - разберись, стань спецом, напиши книгу о том как ты провел аудит безопасности и какой ты крутой чувак и как ты мировую киберпреступность победил
Очень смешно )
Size: a a a
2020 May 16
A
дефолтная валидация yii не спасает ?
а какая у тебя валидация - ты например разрешил только картинки а тебя загружают js или php
A
дефолтная валидация yii не спасает ?
может если у тебя загрузка разрешена - вот тебе и загружают файлы - и где тут дыра если ты это разрешаешь??
A
Очень смешно )
это не смешно! это важно!
M
а какая у тебя валидация - ты например разрешил только картинки а тебя загружают js или php
На внешнем сайте нет загрузки файлов
Загрузка файлов есть в админке сайта, там все проверяется через rules и access control
Загрузка файлов есть в админке сайта, там все проверяется через rules и access control
A
составь список всех потенциальных уязвимостей которые тебе перечислили и шпарь по списку
M
составь список всех потенциальных уязвимостей которые тебе перечислили и шпарь по списку
Ok, спасибо всем большое
A
На внешнем сайте нет загрузки файлов
Загрузка файлов есть в админке сайта, там все проверяется через rules и access control
Загрузка файлов есть в админке сайта, там все проверяется через rules и access control
ок - в директорию какую загружаются - в ту которая в upload контроллере для этого или в ту к которой доступа не должно быть?
логи смотрел - там же есть наверно дата создания файла - смотри что зазапрос был
логи смотрел - там же есть наверно дата создания файла - смотри что зазапрос был
A
если не чз сервер - ну значит пароль слился
A
ты же проверить это глащами блин можешь
A
че ты тупишь
M
ты же проверить это глащами блин можешь
Ищу я в логах
Сайт посещают много людей
Не нахожу что то
Сайт посещают много людей
Не нахожу что то
OM
никогда не работайте с сервером по фтп, особенно - через всякие файлзиллы, фары итд. Только SSH/SFTP. Иначе взломы будут регулярно
M
никогда не работайте с сервером по фтп, особенно - через всякие файлзиллы, фары итд. Только SSH/SFTP. Иначе взломы будут регулярно
Спасибо
O
никогда не работайте с сервером по фтп, особенно - через всякие файлзиллы, фары итд. Только SSH/SFTP. Иначе взломы будут регулярно
@nex_otaku (4) reacted to a message from @kwazaro (2)
T🐜
Зачем использовать для очередей то, что для очередей не предназначено? Костылить под очереди key-value хранилище. Я не понимаю зачем. Юзайте любой amqp клиент, кролика к примеру
кролика тоже не особо хвалят
T🐜
никогда не работайте с сервером по фтп, особенно - через всякие файлзиллы, фары итд. Только SSH/SFTP. Иначе взломы будут регулярно
файлзилла так-то умеет в sftp
А
The Ant 🐜
файлзилла так-то умеет в sftp
Умеет конечно.
ВС
The Ant 🐜
кролика тоже не особо хвалят
Кролика хуесосят за то, что он не вывозит большие очереди. Это не актуально для небольших проектов, где нет таких очередей.
ВС
Большие - в несколько миллионов.