| 1.2, VecH (ok), 23:51, 14/12/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +18 +/– |
 Новость прочитал на одном дыхании как какой то боевик
хорошо что ничего с Joomla меня не связывает, хотя это была одна из первых CMS с которой я знакомился
| | |
| |
| 2.8, Аноним (-), 00:14, 15/12/2015 [^] [^^] [^^^] [ответить] | +2 +/– | https github com PhilETaylor Joomla1 5 999 commit 95741d8a2bbb92ea3c8aeaa5427f... большой текст свёрнут, показать | | |
| |
| 3.10, Аноним (-), 00:22, 15/12/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> + $this->set('session.client.forwarded', $_SERVER['HTTP_X_FORWARDED_FOR']);
Ух ты! Судя по всему починив дыру с HTTP_USER_AGENT они тут же посадили точно такую же дыру, но с HTTP_X_FORWARDED_FOR. Правим эксплоит на передачу атакующего кода через HTTP-заголовок X-Forwarded-For и имеем новый 0-day.
| | |
| |
| 4.12, freehck (ok), 00:52, 15/12/2015 [^] [^^] [^^^] [ответить]
| +/– |
 Вряд ли. Десятью строчками выше у них стоит filter_var, с параметрами намекающими на валидацию поля.
| | |
| 4.19, Аноним (-), 03:27, 15/12/2015 [^] [^^] [^^^] [ответить]
| +4 +/– |
Зато сколько бесполезных +/- по части whitespace... Погромисты на пхп - такие погромисты :)
| | |
|
|
| 2.28, Аноним (28), 09:15, 15/12/2015 [^] [^^] [^^^] [ответить]
| –16 +/– |
 обновится до последней версии или закрыть доступ из вне.
а лучше перенести сайт на bitrix например
| | |
|
| 1.5, Аноним (-), 00:06, 15/12/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
whois 146.0.72.83
address: Tussen de Bogen 6, 1013 JB Amsterdam, The Netherlands
OrgName: RIPE Network Coordination Centre
whois 74.3.170.33 | grep address
OrgName: Shaw Telecom G.P.
whois 194.28.174.106 | grep address
org-name: ON-LINE Ltd
address: 21029, Ukraine, Vinnitsa Khmelnytske shose str 112-A
| | |
| 1.6, th3m3 (ok), 00:07, 15/12/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 Я для прикола пишу в кодах сайтов, что это Joomla. Потом столько весёлых действий в логах ;)
И ведь находятся индивидуумы, которые ещё этим говнокодов на php пользуются.
| | |
| |
| |
| 3.16, Аноним (-), 01:28, 15/12/2015 [^] [^^] [^^^] [ответить]
| –4 +/– |
Я уж совсем не программист, но свои визитки-хелловорлды делал на друпале, т к чуть быстрее и чуть безопаснее.
| | |
| |
| 4.61, Аноним (-), 18:57, 15/12/2015 [^] [^^] [^^^] [ответить]
| +3 +/– |
блин, более бессмысленного гогна чем этот твой битрикс походу вообще не существует.
| | |
| |
| 5.64, . (?), 20:09, 15/12/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ты просто пессимист! Нет предела совершенству! :)))
| | |
|
|
| 3.66, Michael Shigorin (ok), 21:13, 15/12/2015 [^] [^^] [^^^] [ответить]
| +/– |
 > чем же прикажете пользоваться кроме как не им?
Да почти чем угодно -- жумла по характеру дыр в ней и головах разработчиков сопоставима разве что с тем ещё phpNuke.
Тут как-то приходил человек, который угробил немало времени и сил на попытки данное положение дел исправить. Пришёл к выводу, что не лечится, и покинул проект.
Из примерно той же категории уже названный Drupal, из более мощных систем тоже на PHP -- TYPO3. Оба неидеальны, но ни в какое сравнение с жумловыми проблемы их эксплуатации не идут.
| | |
|
|
| 1.9, dlazerka (ok), 00:20, 15/12/2015 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Слушайте, 2015 год на дворе. Кто ещё записывает данные в БД напрямую, без прослойки, которая подставляет+чистит данные?
Я думал уже давно все делают через шаблоны, типа "INSERT INTO test({foo}, {bar})"
а потом дальше в коде говоришь возьми вот этот шаблон, и подставь туда вместо {foo} вот это значени, вместо {bar} вот это.
В JDBC это по-моему с рождения было. А сегодня декабрь 2015-го.
| | |
| |
| |
| 3.20, dlazerka (ok), 03:51, 15/12/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> кто-кто, похапешники
Ну я сам писал на пехапе года 3, 8 лет назад. Но уже тогда использовал какую-то либку (может сам написал, не помню) через которую шли все 100% моих SQL запросов.
Мне кажется это больше говорит о программистах, чем о языке. Тяжёлый недуг -- PHP рук. Слава богу, евросоюз недавно принял законы обязывающие многие IT компании серьёзнее относиться к безопасности. Ну у нас зарплаты вырастут, как следствие.
| | |
| |
| 4.32, Аноним (-), 09:27, 15/12/2015 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Тяжёлый недуг -- PHP рук.
Ненене, PHP не в клозетах, а в головах.
| | |
|
| 3.26, АнонимУася (?), 08:03, 15/12/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
ППЦ, на чем можешь написать ты что нибудь серьезное?
А по делу - различных орм, всяких разных, больших и маленьких, тысячи их. На крайний случай есть PDO, в котором можно забиндить значения или переменные. И язык не виноват, что используется для быстрого создания мелких страниц, сайтов и приложений, и благодаря чему в него приходят уроды халявщики.
| | |
| |
| 4.49, dlazerka (ok), 11:41, 15/12/2015 [^] [^^] [^^^] [ответить]
| +/– |
> ППЦ, на чем можешь написать ты что нибудь серьезное?
> А по делу - различных орм, всяких разных, больших и маленьких, тысячи
> их. На крайний случай есть PDO, в котором можно забиндить значения
> или переменные. И язык не виноват, что используется для быстрого создания
> мелких страниц, сайтов и приложений, и благодаря чему в него приходят
> уроды халявщики.
Согласен. Хотя язык всё же виноват, за то что он привлекает "уродов халявщиков". Точно так же как Scala виновата в том, что привлекает эгоистичных самодуров, которые поганят хороший язык операторами вроде :=++ или implicit-ами из которых потом не пойми откуда пуля прилетает прямо в ногу. Пускай бы шли обратно в свой любимый идеальный Lisp.
| | |
|
|
| 2.21, Отражение луны (ok), 04:41, 15/12/2015 [^] [^^] [^^^] [ответить]
| –2 +/– |
 Кто-то в 2015 году использует ненужные тормозные прослойки? Мои соболезнования. Вы не далеко ушли от этой самой джумлы.
| | |
| |
| 3.36, dlazerka (ok), 10:23, 15/12/2015 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Кто-то в 2015 году использует ненужные тормозные прослойки?
А вы как эскейпите SQL параметры?
| | |
| |
| |
| 5.39, angra (ok), 10:48, 15/12/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Титеретик? Был бы у тебя практический опыт, ты бы знал, что они не работают для достаточно большого количества реальных запросов в БД и вообще зависят от используемой БД.
| | |
| |
| 6.44, dlazerka (ok), 11:25, 15/12/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Титеретик? Был бы у тебя практический опыт, ты бы знал, что они
> не работают для достаточно большого количества реальных запросов в БД и
> вообще зависят от используемой БД.
Не могу говорить за предыдущего участника, но я вот практик, и что-то не помню таких случаев. Давно SQL не занимался правда. Приведите примеров пару, реально интересно.
| | |
| |
| 7.48, angra (ok), 11:34, 15/12/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Самый простой пример - имена полей и таблиц в большинстве БД не попадают под возможности prepared statement. Смотря на другие ваши комментарии, заострю внимание именно на возможностях самих БД, а не оберток типа DBI или JDBC, которые могут предоставить псевдо prepared statement за счет манипуляций со строками.
| | |
|
|
| 5.45, dlazerka (ok), 11:27, 15/12/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Никак. Нормальные люди юзают подготовленные выражения.
Ну так а я о чём? PreparedStatement и есть прослойка. А вы называете её тормознутой. Противоречите себе.
| | |
| |
| 6.51, Аноним (-), 11:55, 15/12/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Никак. Нормальные люди юзают подготовленные выражения.
> Ну так а я о чём? PreparedStatement и есть прослойка. А вы
> называете её тормознутой. Противоречите себе.
Не совсем так, это прослойка немного другого уровня (которая в части применений позволяет ускорить работу по сравнению с параметрами в sqlText.
| | |
|
|
| |
| 5.46, dlazerka (ok), 11:29, 15/12/2015 [^] [^^] [^^^] [ответить]
| +/– |
>> А вы как эскейпите SQL параметры?
> Query Parameters Binding?
Ну так а я о чём? См мой первый коммент с которого началась ветка: "INSERT INTO test({foo}, {bar})". Потом биндим фуу бары.
| | |
|
|
|
| 2.40, angra (ok), 10:55, 15/12/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Слушайте, 2015 год на дворе. Кто ещё записывает данные в БД напрямую,
> без прослойки, которая подставляет+чистит данные?
Ты точно хорошо вычитал на этот предмет код всех ORM, с которыми приходится сталкиваться? Вдруг окажется, что в одной функции авторы ORM ожидают уже экранированные данные, а в другой чистые. А сможешь всегда держать в голове эти нюансы и не забывать просматривать код всех новых версий?
| | |
| |
| 3.43, dlazerka (ok), 11:23, 15/12/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> Слушайте, 2015 год на дворе. Кто ещё записывает данные в БД напрямую,
>> без прослойки, которая подставляет+чистит данные?
> Ты точно хорошо вычитал на этот предмет код всех ORM, с которыми
> приходится сталкиваться? Вдруг окажется, что в одной функции авторы ORM ожидают
> уже экранированные данные, а в другой чистые. А сможешь всегда держать
> в голове эти нюансы и не забывать просматривать код всех новых
> версий?
Да, я читал код JDBC, именно на предмет экранирования. Да и что там читать, Ctrl-клик на вызов preparedStatement.setString() в своём коде и вот оно экранирование.
Не вдруг, не окажется. НЕТ функций, которые ожидают экранированные данные. Зачем вообще в коде держать экранированные?
| | |
|
|
| 1.11, Иван Ер0хин (?), 00:44, 15/12/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Ох жесть, когда уже наконец выжгут каленным железом на интересных местах о том, что любые входные данные должны фильтроваться и проверяться.
| | |
| |
| 2.62, Аноним (-), 19:31, 15/12/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Ох жесть, когда уже наконец выжгут каленным железом на интересных местах о том, что любые входные данные должны фильтроваться и проверяться.
Программисты тут ни при чём.
Приходит заказчик, у тебя-умного сайт можно сделать за 1000 денег, у знакомого студента - за 250. У заказчика физически есть только 250. А ты отказываешься работать за четверть зп, а на остальные три четверти искать вторую работу. Вот они и идут к студентам.
| | |
| |
| 3.68, Michael Shigorin (ok), 21:17, 15/12/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Приходит заказчик, у тебя-умного сайт можно сделать за 1000 денег,
> у знакомого студента - за 250. У заказчика физически есть только 250.
Значит, ему сейчас не нужен сайт. Серьёзно. Потому что потеряет он на нём сперва 2000, а потом и репутацию.
Некоторые понимают это на второй стадии, но многие и на третьей не замечают ничего необычного...
| | |
|
|
| 1.13, Аноним (-), 00:56, 15/12/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Большинству, не нужны супер мега написанные движки вручную на php, которые соответсвуют стандартам правильности, культуры программирования, надежности, обхода всех нежелательных переполнений буфероф и прочих правильных вещей. Главное, чтобы крутилось и можно было получать с этого выгоду.
| | |
| |
| 2.69, Michael Shigorin (ok), 21:18, 15/12/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Главное, чтобы крутилось и можно было получать с этого выгоду.
Вот такие дебилы, не побоюсь этого слова, и строят скорорушащиеся дома.
Чтоб они все подавились этой "выгодой".
| | |
|
| 1.23, Аноним (-), 06:49, 15/12/2015 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Похапе-хейтеры в курсе, что Википедия и, если не ошибаюсь, Фейсбук с Вконтактом написаны на пхп?
| | |
| |
| 2.25, Аноним (-), 07:46, 15/12/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
Конечно в курсе,эти же люди по совместительству ненавидят социальные сети и считают, что википедия давно скатилась.
| | |
| |
| 3.30, Аноним (-), 09:18, 15/12/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Конечно в курсе,эти же люди по совместительству ненавидят социальные сети и считают,
> что википедия давно скатилась.
Пусть тогда ненавидят еще и питон за дырки в moinmoin, руби за дырки в гитхабе, си за дырки в системном софте, баш - за shellshock, ...
| | |
|
| 2.41, Аноним (-), 11:15, 15/12/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
да, фейсбук и контакт изначально использовали пхп, и сейчас жалеют об этом. Дело дошло до того, что им пришлось написать свои собственные интерпретаторы этого недоязыка и вынести все что можно в библиотеки на C/C++.
| | |
| |
| 3.63, Аноним (-), 19:35, 15/12/2015 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> изначально использовали пхп, и сейчас жалеют об этом [...] вынести все что можно в библиотеки на C/C++.
Поверь, те, кто одновременно с фейсбуком начали писать социальную сеть на С/C++, сейчас жалеют не меньше.
| | |
|
|
| 1.56, Аноним (-), 13:22, 15/12/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Пропатчил движки подведомственных сайтов.
Однако на парочке серверов в логах обнаружил __test|O:21:\"JDatabaseDriverMysqli
Двумя часами ранее, чем патчи накатил.
Не совсем понял - как могли эту уязвимость заэксплуатировать и что теперь стоит еще проверить?
Сторонних файлов на вскидку не обнаружил в системе. Детально пока не изучал.
| | |
| |
| 2.59, Игорь (??), 16:25, 15/12/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
 А я вчера все обновил, но сегодня в логах появилось такое чудо.
| | |
| |
| 3.70, brandy (ok), 21:19, 15/12/2015 [^] [^^] [^^^] [ответить]
| +/– |
 На другом сайте советуют в .htaccess так же докинуть
RewriteCond %{HTTP_USER_AGENT} .*\{.* [NC]
RewriteRule .* - [F,L]
| | |
|
| 2.74, Аноним (-), 05:55, 16/12/2015 [^] [^^] [^^^] [ответить]
| +/– |
Аналогично, нашел в логах упомянутые строки. Поднял старую копию из бэкапа, сверил хэши - ничего не изменено. Провел аудит системы - тоже все чисто.
| | |
| |
| 3.76, Ilya Indigo (ok), 10:46, 16/12/2015 [^] [^^] [^^^] [ответить]
| +/– |
 > Аналогично, нашел в логах упомянутые строки. Поднял старую копию из бэкапа, сверил
> хэши - ничего не изменено. Провел аудит системы - тоже все
> чисто.
А вы БД сверяли?
| | |
| |
| 4.78, Аноним (-), 12:08, 16/12/2015 [^] [^^] [^^^] [ответить]
| +/– | |
Нет, т.к. это проблематично (делаются регулярные изменения в магазине). Но новых пользователей нет, права админов/суперадминов у определенных пользователей без изменений, доступ в админку закрыт через .htaccess
| | |
|
|
|
| 1.67, brandy (ok), 21:14, 15/12/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Чёрт, поздно прочитал новость, просмотр логов дал инфу о сегодняшнем посещении такого Юзер-Агента в 8 вечера с ip из Украины и ближе к 9 вечера с ip из Канады.
А вчера, позавчера, позапоза... - всё чисто. Увидел бы вовремя, раньше бы поужинал.
Ушел откатываться на точки автобэкапов хостинга и обновляться...
| | |
| 1.72, Atla (?), 05:13, 16/12/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Судя по всему, эта уязвимость эксплуатировалась годами, просто выявлена была после массовой, автоматической, попытки эксплуатации.
У меня в логах есть подобная запись от 15.12 и на этом всё: ничего не изменено, не удалено и не добавлено. Смысл уязвимости: remote code execution, так что копать нужно ОС сервера на наличие "гостей" а не бэкапы joomla откатывать :).
| | |
| |
| 2.75, тоже Аноним (ok), 08:48, 16/12/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Если у вас на сервере пользователь, от которого работает сайт, может подсадить "гостей" куда-то вне каталога сайта, то вам еще глубже копать надо.
| | |
| |
| 3.82, Atla (?), 22:24, 16/12/2015 [^] [^^] [^^^] [ответить]
| +/– |
Да, всё верно! И это уже проблемы хостера если используется хостинг. В любом из случаев: увидел подобного гостя в логах - проверяй всю систему. Хорошо если стоит какой-то *nix, хуже если поделка от майкрософта.
| | |
|
|
| 1.77, йцукен (??), 10:55, 16/12/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Дал url на эту статью веб мастеру. После не долгого прочтения было – “Та ну нах… Мы за файрволом.”
Вопрос – “Как «стимулировать» веб мастера пропатчить jooml’у?”
| | |
| |
| 2.79, Аноним (-), 15:14, 16/12/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ответ - пригласить для веб мастера помощника и дать возможность поработать в двоем пару деньков.
Пусть опытом обменяются.
| | |
| 2.81, Аноним (-), 19:16, 16/12/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Как «стимулировать» веб мастера пропатчить jooml’у?
Попробуйте деньгами? И пообещайте оплатить время, которое (если) потребуется для исправлений, если в результате обновления что-то поломается.
| | |
| 2.83, Atla (?), 22:30, 16/12/2015 [^] [^^] [^^^] [ответить]
| +/– |
Объяснить мастеру что файервол тут никак не поможет, потому как joomla разрешена в правилах файервола, уязвимость в ней же и "гости" потом могут под её же процесс замаскироваться и спокойно работать. Если веб-мастер этого не понимает - то....а вообще, что взять с веб-мастера? :))
| | |
|
|
