Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Режим отображения отдельной подветви беседы | [ Отслеживать ] |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
6. "Атака через подстановку аргументов при использовании масок в..." | +13 +/– | |
Сообщение от Аноним (-), 28-Июн-14, 11:18 | ||
два минуса придумали как раз для этого, для разделения интерпретируемых аргументов и подставленных имён файлов | ||
Ответить | Правка | Наверх | Cообщить модератору |
8. "Атака через подстановку аргументов при использовании масок в..." | +1 +/– | |
Сообщение от Anonymus (?), 28-Июн-14, 11:31 | ||
Всё равно это бага, broken by design по ихнему. Интерпретатор понятия не имеет о назначении аргументов. Правильное решение когда программа сама обрабатывает маски, а не когда приходится вбивать слеш или заворачивать маску в кавычки. И, кстате, в некоторых случаях (а у некоторых -- очень даже во многих) легко напороться на дофига файлов и упереться в ограничение длины командной строки. | ||
Ответить | Правка | Наверх | Cообщить модератору |
9. "Атака через подстановку аргументов при использовании масок в..." | +6 +/– | |
Сообщение от Аноним (-), 28-Июн-14, 11:35 | ||
для этого и придумали два минуса, всё что после них обрабатывается как имя файла, а реализовывать один и тот же алгоритм разбора масок в каждой программе достаточно глупо. | ||
Ответить | Правка | Наверх | Cообщить модератору |
10. "Атака через подстановку аргументов при использовании масок в..." | –1 +/– | |
Сообщение от Anonymus (?), 28-Июн-14, 12:14 | ||
ага, C startup code в каждой программе вообще глупость, да? | ||
Ответить | Правка | Наверх | Cообщить модератору |
22. "Атака через подстановку аргументов при использовании масок в..." | +1 +/– | |
Сообщение от Аноним (-), 28-Июн-14, 14:25 | ||
идиотское сравнение | ||
Ответить | Правка | Наверх | Cообщить модератору |
33. "Атака через подстановку аргументов при использовании масок в..." | +5 +/– | |
Сообщение от Аноним (-), 28-Июн-14, 15:52 | ||
> ага, C startup code в каждой программе | ||
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору |
42. "Атака через подстановку аргументов при использовании масок в..." | +/– | |
Сообщение от Ordu (ok), 28-Июн-14, 17:51 | ||
> для этого и придумали два минуса, всё что после них обрабатывается как | ||
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору |
65. "Атака через подстановку аргументов при использовании масок в..." | –1 +/– | |
Сообщение от Аноним (-), 29-Июн-14, 01:15 | ||
> для этого и придумали два минуса | ||
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору |
120. "Атака через подстановку аргументов при использовании масок в..." | +1 +/– | |
Сообщение от Аноним (120), 29-Июн-14, 23:28 | ||
> А обрабатывать два минуса в каждой программе, это умно, ага. | ||
Ответить | Правка | Наверх | Cообщить модератору |
121. "Атака через подстановку аргументов при использовании..." | +1 +/– | |
Сообщение от arisu (ok), 29-Июн-14, 23:32 | ||
>> А обрабатывать два минуса в каждой программе, это умно, ага. | ||
Ответить | Правка | Наверх | Cообщить модератору |
20. "Атака через подстановку аргументов при использовании масок в..." | +2 +/– | |
Сообщение от Аноним (-), 28-Июн-14, 14:21 | ||
Работа с аргументной строкой как с монолитной raw строкой в принципе 'broken by design', случай с разворачиванием звёздочки только один из подобных негативных сайдэффектов. В нормальной архитектуре чанки аргументной строки должны быть теггированы. | ||
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору |
41. "Атака через подстановку аргументов при использовании масок в..." | +/– | |
Сообщение от Ordu (ok), 28-Июн-14, 17:47 | ||
Если говорить о linux'е, то ни о каких монолитных raw строках речи не идёт. В помощь вам: man 2 execve. | ||
Ответить | Правка | Наверх | Cообщить модератору |
43. "Атака через подстановку аргументов при использовании масок в..." | +1 +/– | |
Сообщение от rob pike (?), 28-Июн-14, 17:54 | ||
Товарищ явно имел в виду что-то типа Windows Shell, чтоб шаг влево-вправо - расстрел. | ||
Ответить | Правка | Наверх | Cообщить модератору |
50. "Атака через подстановку аргументов при использовании масок в..." | –1 +/– | |
Сообщение от Crazy Alex (ok), 28-Июн-14, 19:45 | ||
Расстрелом делать не обязательно, но метаинформация - вообще штука хорошая | ||
Ответить | Правка | Наверх | Cообщить модератору |
85. "Атака через подстановку аргументов при использовании масок в..." | +2 +/– | |
Сообщение от rob pike (?), 29-Июн-14, 11:18 | ||
Для чего хорошая? В каких случаях хорошая? | ||
Ответить | Правка | Наверх | Cообщить модератору |
95. "Атака через подстановку аргументов при использовании масок в..." | +/– | |
Сообщение от Crazy Alex (ok), 29-Июн-14, 14:54 | ||
Сильно зависит от реализации, конечно, но в общем - Я бы предпочёл для любых случаев иметь формализованный вариант и текущий как фоллбек. Потому что одно дело - быстро наляпать одноразовый скрипт для известных данных, а другое - какие-то долго/часто используемые инструменты или программы со сложным выводом вроде ps. | ||
Ответить | Правка | Наверх | Cообщить модератору |
105. "Атака через подстановку аргументов при использовании..." | +1 +/– | |
Сообщение от arisu (ok), 29-Июн-14, 19:34 | ||
как минимум шелл ты себе можешь заменить на что угодно. знаешь, он ведь не прибит гвоздями к ядру. | ||
Ответить | Правка | Наверх | Cообщить модератору |
136. "Атака через подстановку аргументов при использовании..." | –1 +/– | |
Сообщение от Crazy Alex (ok), 30-Июн-14, 04:42 | ||
Мне не шелл бы, а соглашение о формате. В идеале - поддержанная на уровне системы метаинформация для пайпов, чтобы реципиент мог узнать хоть что-то о получаемом потоке данных не полагаясь на его контент (который, разумеется, может быть каким угодно). К примеру, уметь устанавливать писателем и получать читателем mimetype или что-о подобное. Дальше - делать форк coreutils, умеющий это дело понимать. | ||
Ответить | Правка | Наверх | Cообщить модератору |
137. "Атака через подстановку аргументов при использовании..." | +1 +/– | |
Сообщение от arisu (ok), 30-Июн-14, 04:47 | ||
> Мне не шелл бы, а соглашение о формате. | ||
Ответить | Правка | Наверх | Cообщить модератору |
154. "Атака через подстановку аргументов при использовании..." | –1 +/– | |
Сообщение от Crazy Alex (ok), 01-Июл-14, 10:10 | ||
А теперь расскажи, как мне сделать, чтобы можно было из любого процесса, как-либо оплучившего fd, узнать, в каком формате через него данные ждать. Ну, то есть можно в /tmp пытаться что-то вроде базы держать, но маразм же. А иначе - смысла не имеет, выдумывать способ детектирования - это нарываться на проблемы. | ||
Ответить | Правка | Наверх | Cообщить модератору |
156. "Атака через подстановку аргументов при использовании..." | +2 +/– | |
Сообщение от arisu (ok), 01-Июл-14, 10:39 | ||
> А теперь расскажи, как мне сделать, чтобы можно было из любого процесса, | ||
Ответить | Правка | Наверх | Cообщить модератору |
163. "Атака через подстановку аргументов при использовании..." | +/– | |
Сообщение от Crazy Alex (ok), 01-Июл-14, 14:48 | ||
Не, я просто хочу более мощные механизмы. В частности - мне не нравится, что куча инфы безвозвратно теряется при вываливании в байтовый поток, а я потом об это бьюсь, пытаясь понять, где там разделяются поля, где невесть что в имени файла, где формат поменялся потому что локаль не та и где я поставил три, а не четыре бэкслэша и поэтому экранирование кривое. Я, право же, не вижу, чем пачка инструментов, умеющих обрабатывать структуру, хуже такой же пачки, обрабатывающей текст, в который эту же структуру упростили. При том, что если нужен тупой текст, а получил структуру - это делается тривиально, а вот наоборот - шиш. | ||
Ответить | Правка | К родителю #156 | Наверх | Cообщить модератору |
164. "Атака через подстановку аргументов при использовании..." | +3 +/– | |
Сообщение от arisu (ok), 01-Июл-14, 15:00 | ||
хуже в том, что без специнструментов с этими структурами уже ничего не сделаешь. а текст можно руками напечатать и глазами прочитать. поэтому текст — универсален, хоть и немного неудобен временами. а спецструктуры — нет. | ||
Ответить | Правка | К родителю #163 | Наверх | Cообщить модератору |
165. "Атака через подстановку аргументов при использовании..." | +/– | |
Сообщение от JL2001 (ok), 14-Июл-14, 11:23 | ||
в языках программирования это давно решено через Object.toString() и new Object(string) | ||
Ответить | Правка | К родителю #164 | Наверх | Cообщить модератору |
166. "Атака через подстановку аргументов при использовании..." | +/– | |
Сообщение от arisu (ok), 14-Июл-14, 11:31 | ||
хорошо, что мы никогда не столкнёмся в реале, товарищ Беспроблемный. | ||
Ответить | Правка | К родителю #165 | Наверх | Cообщить модератору |
128. "Атака через подстановку аргументов при использовании масок в..." | +/– | |
Сообщение от vi (?), 30-Июн-14, 00:25 | ||
| ||
Ответить | Правка | К родителю #95 | Наверх | Cообщить модератору |
140. "Атака через подстановку аргументов при использовании масок в..." | +/– | |
Сообщение от rob pike (?), 30-Июн-14, 05:41 | ||
> И, право, я не вижу ничего ужасного в том, чтобы отдавать вывод | ||
Ответить | Правка | К родителю #95 | Наверх | Cообщить модератору |
142. "Атака через подстановку аргументов при использовании..." | +1 +/– | |
Сообщение от arisu (ok), 30-Июн-14, 05:45 | ||
> Только если не понимать как она работает и пытаться её использовать через | ||
Ответить | Правка | Наверх | Cообщить модератору |
155. "Атака через подстановку аргументов при использовании масок в..." | +/– | |
Сообщение от Crazy Alex (ok), 01-Июл-14, 10:21 | ||
Он много почему не взлетел. И потому что нефиг совать RPC туда, где должны быть сообщения, и потому что сам формат ужасен и в принципе не пригоден для быстрого обмена, особенно бинарными данными. И вообще XML-RPC - это не о том. Я не предлагаю на всё наклепать жесткие прототипы, а просто если есть в выводе поля - их аннотировать и разделять. То есть прилетает ридеру что-то - он в глаза может формата не знать, но если ему нужно поле "foo" - он смотрит в заголовок, видит, как это поле выгрести из структуры и выгребает. Ничего из возможностей того же grep и прочих утилит это не отменяет, просто избавляет от игр с разделителями, экранированием и тому подобным. | ||
Ответить | Правка | К родителю #140 | Наверх | Cообщить модератору |
167. "Атака через подстановку аргументов при использовании масок в..." | +/– | |
Сообщение от Vkni (ok), 14-Июл-14, 16:53 | ||
> А PowerShell - это всего лищь паршивая реализация, и только. | ||
Ответить | Правка | К родителю #95 | Наверх | Cообщить модератору |
61. "Атака через подстановку аргументов при использовании масок в..." | +/– | |
Сообщение от Аноним (-), 28-Июн-14, 21:31 | ||
> Товарищ явно имел в виду что-то типа Windows Shell, чтоб шаг влево-вправо - расстрел. | ||
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору |
74. "Атака через подстановку аргументов при использовании масок в..." | +/– | |
Сообщение от Аноним (-), 29-Июн-14, 01:42 | ||
> Товарищ явно имел в виду что-то типа Windows Shell, чтоб шаг влево-вправо - расстрел. | ||
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору |
75. "Атака через подстановку аргументов при использовании..." | +/– | |
Сообщение от arisu (ok), 29-Июн-14, 01:59 | ||
опять эти улучшатели… всем лёнины лавры покоя не дают. | ||
Ответить | Правка | Наверх | Cообщить модератору |
86. "Атака через подстановку аргументов при использовании масок в..." | +/– | |
Сообщение от rob pike (?), 29-Июн-14, 11:24 | ||
И получится у вас XML-RPC. | ||
Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору |
89. "Атака через подстановку аргументов при использовании масок в..." | –1 +/– | |
Сообщение от all_glory_to_the_hypnotoad (ok), 29-Июн-14, 12:15 | ||
В каком месте это хоть как-то похоже на xml-rpc? Тут, конечно, понятно что ты херню несёшь составленную из незнакомых слов, но может потрудишься хотя бы в википедию сходить и сделать сравнение. | ||
Ответить | Правка | Наверх | Cообщить модератору |
72. "Атака через подстановку аргументов при использовании масок в..." | +/– | |
Сообщение от Аноним (-), 29-Июн-14, 01:28 | ||
если говорить о linux и юниксах, где значительная часть операций идёт через шел, то строки именно монолитные и в execve попадают порезанными примерно по пробелам шеллом. Покрути своей невнимательнйо мордочкой вверх и узри что речь идёт о sh. | ||
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору |
73. "Атака через подстановку аргументов при использовании..." | +1 +/– | |
Сообщение от arisu (ok), 29-Июн-14, 01:35 | ||
> нет никаких способов защиты от таких распрастранённых ошибок. | ||
Ответить | Правка | Наверх | Cообщить модератору |
76. "Атака через подстановку аргументов при использовании..." | +2 +/– | |
Сообщение от all_glory_to_the_hypnotoad (ok), 29-Июн-14, 02:04 | ||
> это у говнокодеров нет. у остальных нормальных людей есть конвенции по интерпретации параметров и волшебный параметр «--». | ||
Ответить | Правка | Наверх | Cообщить модератору |
77. "Атака через подстановку аргументов при использовании..." | –2 +/– | |
Сообщение от arisu (ok), 29-Июн-14, 02:13 | ||
хм, а раньше ты таким идиотом не был. или маскировался хорошо? in either case: fuck you. | ||
Ответить | Правка | Наверх | Cообщить модератору |
78. "Атака через подстановку аргументов при использовании..." | +1 +/– | |
Сообщение от vle (ok), 29-Июн-14, 03:44 | ||
>> это у говнокодеров нет. у остальных нормальных людей есть конвенции по интерпретации параметров и волшебный параметр «--». | ||
Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору |
88. "Атака через подстановку аргументов при использовании..." | –1 +/– | |
Сообщение от all_glory_to_the_hypnotoad (ok), 29-Июн-14, 12:12 | ||
точно прочитал мой коммент прежде чем отвечать? | ||
Ответить | Правка | Наверх | Cообщить модератору |
83. "Атака через подстановку аргументов при использовании масок в..." | +1 +/– | |
Сообщение от Anonym2 (?), 29-Июн-14, 10:52 | ||
> если говорить о linux и юниксах, где значительная часть операций идёт через | ||
Ответить | Правка | К родителю #72 | Наверх | Cообщить модератору |
107. "Атака через подстановку аргументов при использовании масок в..." | +/– | |
Сообщение от Алексей (??), 29-Июн-14, 21:09 | ||
Так это вызывающие стороны мануал по шеллу не читали, поэтому трудно предсказывать | ||
Ответить | Правка | Наверх | Cообщить модератору |
90. "Атака через подстановку аргументов при использовании масок в..." | +/– | |
Сообщение от Ordu (ok), 29-Июн-14, 13:02 | ||
> если говорить о linux и юниксах, где значительная часть операций идёт через | ||
Ответить | Правка | К родителю #72 | Наверх | Cообщить модератору |
91. "Атака через подстановку аргументов при использовании масок в..." | +1 +/– | |
Сообщение от rob pike (?), 29-Июн-14, 13:35 | ||
> кончится это неуёмным использованием xml'я во все щели | ||
Ответить | Правка | Наверх | Cообщить модератору |
96. "Атака через подстановку аргументов при использовании масок в..." | –2 +/– | |
Сообщение от all_glory_to_the_hypnotoad (ok), 29-Июн-14, 15:00 | ||
> Будем ли мы дополнять его тегированием, или не будем, но резать строку на части всё равно придётся, потому что я вбиваю команды разбивая отдельные части пробелами. | ||
Ответить | Правка | К родителю #90 | Наверх | Cообщить модератору |
98. "Атака через подстановку аргументов при использовании масок в..." | +/– | |
Сообщение от Ordu (ok), 29-Июн-14, 16:14 | ||
> Немного отхотя от темы замечу, что у шелла есть достаточно данных для | ||
Ответить | Правка | Наверх | Cообщить модератору |
49. "Атака через подстановку аргументов при использовании масок в..." | +/– | |
Сообщение от Crazy Alex (ok), 28-Июн-14, 19:44 | ||
Проблема в том, чтобы получить с правильной архитектурой ту же простоту... А так - согласен, парсинг текста - хороший фоллбек, но в большинстве случаев что-то более структурированное было бы неплохо иметь. | ||
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору |
67. "Атака через подстановку аргументов при использовании..." | +/– | |
Сообщение от arisu (ok), 29-Июн-14, 01:19 | ||
> И, кстате, в некоторых случаях (а у некоторых -- очень даже | ||
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору |
109. "Атака через подстановку аргументов при использовании..." | +/– | |
Сообщение от Алексей (??), 29-Июн-14, 21:38 | ||
ну во-первых не 32кб, реально можно столько использовать, на сколько памяти хватит. это вполне удобным бывает (чисто практически, а то что изначально механизм не предназначен был для больших объемов - так это эстетство уже). | ||
Ответить | Правка | Наверх | Cообщить модератору |
112. "Атака через подстановку аргументов при использовании..." | +/– | |
Сообщение от arisu (ok), 29-Июн-14, 22:05 | ||
реально это зависит от многих факторов, включая то, какой shell используется. на современных GNU/Linux с bash 32 килобайта точно пролазит, поэтому я взял это как минимум. | ||
Ответить | Правка | Наверх | Cообщить модератору |
125. "Атака через подстановку аргументов при использовании..." | +/– | |
Сообщение от Алексей (??), 30-Июн-14, 00:03 | ||
лимит - четверть максимального размера стека (RLIMIT_STACK), гарантируется не менее 128кб, по дефолту мне везде попадалось 2мб (макс. память, занятая аргументами execve, включая env). но это искуственное ограничение, в баше достаточно сделать ulimit -s unlimited, и пролезет столько, сколько памяти хватит. и сами данные не в стеке находятся (ограничение на аргументы ставится для того, чтобы обеспечить выделение памяти под стек). | ||
Ответить | Правка | Наверх | Cообщить модератору |
132. "Атака через подстановку аргументов при использовании..." | +/– | |
Сообщение от arisu (ok), 30-Июн-14, 01:15 | ||
про shell тактично не заметил? | ||
Ответить | Правка | Наверх | Cообщить модератору |
134. "Атака через подстановку аргументов при использовании..." | +/– | |
Сообщение от Алексей (??), 30-Июн-14, 02:23 | ||
так shell сам не ограничивает длину, ограничивает ядро. | ||
Ответить | Правка | Наверх | Cообщить модератору |
135. "Атака через подстановку аргументов при использовании..." | +/– | |
Сообщение от arisu (ok), 30-Июн-14, 02:42 | ||
> так shell сам не ограничивает длину | ||
Ответить | Правка | Наверх | Cообщить модератору |
149. "Атака через подстановку аргументов при использовании..." | –1 +/– | |
Сообщение от all_glory_to_the_hypnotoad (ok), 30-Июн-14, 22:47 | ||
> и сами данные не в стеке находятся | ||
Ответить | Правка | К родителю #125 | Наверх | Cообщить модератору |
93. "Атака через подстановку аргументов при использовании масок в..." | +1 +/– | |
Сообщение от анон (?), 29-Июн-14, 13:45 | ||
это "broken by design" обсуждается с конца 80-х и есть антидоты. | ||
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору |
147. "Атака через подстановку аргументов при использовании масок в..." | +/– | |
Сообщение от Андрей (??), 30-Июн-14, 19:56 | ||
> Правильное решение когда программа сама обрабатывает маски | ||
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору |
153. "Атака через подстановку аргументов при использовании..." | +2 +/– | |
Сообщение от arisu (ok), 01-Июл-14, 00:41 | ||
>> Правильное решение когда программа сама обрабатывает маски | ||
Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |