| 1.3, Аноним (3), 09:02, 25/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +11 +/– |
Так а чего они её так рано раскрыли?
Или там vbulletin не реагирует на проиходящее пока его не клюнет в одно место?
| | |
| |
| 2.25, Нанобот (ok), 13:12, 25/09/2019 [^] [^^] [^^^] [ответить]
| +6 +/– |
 "они" и не раскрывали. какой-то добрый человек отправил эксплоит в список рассылки с анонимного почтового ящика. врядли мы когда-то узнаем, зачем он это сделал
| | |
| |
| 3.28, пох. (?), 13:33, 25/09/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
> "они" и не раскрывали. какой-то добрый человек отправил эксплоит в список рассылки
> с анонимного почтового ящика. врядли мы когда-то узнаем, зачем он это
> сделал
скучно стало. А за попытки делать жизнь интереснее - его всюду банят ;-)
| | |
|
|
| 1.4, Аноним (4), 09:36, 25/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +7 +/– |
Потому что почему бы и не исполнить данные, пришедшие извне. Действительно.
| | |
| |
| 2.5, Аноним (5), 09:40, 25/09/2019 [^] [^^] [^^^] [ответить]
| +10 +/– |
Ну так компьютеры для того и изобрели, чтобы выполнять код, который им дадут люди. Считаю, что не уязвимость, а удобная фича.
| | |
|
| 1.9, Аноним (9), 09:55, 25/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
Поэтому профессионалы используют TOMOYO Linux как mandatory access control. Очевидно же, что любой сетевой софт содержит неограниченное количество уязвимостей.
| | |
| |
| |
| 3.34, биба (?), 15:18, 25/09/2019 [^] [^^] [^^^] [ответить]
| –3 +/– |
НИКТО НИКОГДА НЕ НАСТРАИВАЕТ СЕЛИНУКС, кроме шляпников, которые, собственно пишут конфиги, и юзеров, которые этот селинукс отключают.
| | |
| |
| 4.35, СеменСеменыч777 (?), 16:08, 25/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> НИКТО НИКОГДА НЕ НАСТРАИВАЕТ СЕЛИНУКС
еще АНБшники настраивают (если ничего на замену не придумали).
| | |
|
|
| 2.17, Hex (??), 11:20, 25/09/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
смысл защищаться на уровне операционки, если имея уязвимость уровня приложения я могу вытащить пароли из бд?
| | |
| |
| 3.29, биба (?), 13:47, 25/09/2019 [^] [^^] [^^^] [ответить]
| –3 +/– | |
>уязвимость уровня приложения
- Можно предотвратить этим эксплуатацию уязвимости.
- Не вытащишь пароли.
- если вытащишь, то тролько из разрешенной таблицы
- не сможешь отправить эти пароли на произвольн сервер
Можно так обтянуть приложуху, что вообще всё по белому списку будет, каждая операция с каждым файлом и все сетевые запросы по типу порта, направлению трафика и тд
| | |
| 3.44, Аноним84701 (ok), 20:40, 25/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
 > смысл защищаться на уровне операционки, если имея уязвимость уровня приложения я могу вытащить пароли из бд?
Вообще-то это свидетельство кривости дизайна приложения (ну или старое доброе наследие ограничений дешевых шаред-хостингов).
Потому что фиксится даже классическими методами, без всяких молодежных SE-наворотов -- БД-файл с правами 0600 лежит под другим пользователем.
Доступ есть только через демон-прокси-авторизатор (по модномолодежному: микросервис, благо БДшки позволяют иметь больше одного пользователя) , принимающий пару пароль/логин и возвращающий "да/нет".
Удачи вытащить пароли из БД через уязвимость в приложении.
| | |
| |
| 4.54, Аноним (54), 14:58, 26/09/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> БД-файл с правами 0600 лежит под другим пользователем.
/* шутка про админа локалхоста */
| | |
| |
| 5.56, Аноним84701 (ok), 15:17, 26/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
>> БД-файл с правами 0600 лежит под другим пользователем.
> /* шутка про админа локалхоста */
/* шутка про привычки и best-practice вендузоидов и веб-макакинг */
| | |
|
|
|
|
| |
| 2.12, пох. (?), 10:37, 25/09/2019 [^] [^^] [^^^] [ответить]
| +5 +/– | |
давай, переписывай на хрусте - а мы пока попкорном похрустим
| | |
| |
| 3.23, Аноним (22), 12:20, 25/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
В твоей секте Сатьи Наделлы все веб-ресурсы должны быть на благословленной им .NET и ни на чем другом.
| | |
| |
| 4.27, пох. (?), 13:32, 25/09/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
> В твоей секте Сатьи Наделлы все веб-ресурсы должны быть на благословленной им
> .NET и ни на чем другом.
ну вот что-то халявных bulletin board'ов на ем не видно - может, молимся плохо, или постимся недостаточно? На asp были, кстати.
давайте на хрусте - вон, мазила точно правильно молится!
| | |
|
|
|
| 1.13, Аноним (13), 10:43, 25/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> на базе данного движка работают форумы Ubuntu
Вот и найдена причина неадекватных ответов на форуме Ubuntu.
| | |
| |
| 2.20, пох. (?), 11:52, 25/09/2019 [^] [^^] [^^^] [ответить]
| +2 +/– | |
твой единственный шанс понапихать им туда - адекватных, пока дыра открыта, действуй!
| | |
|
| |
| 2.49, Kuromi (ok), 06:28, 26/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Vbulletin, она же Вобла? Проприетарщина, причем злобно-копирастическая. Раньше, когда форумы были популярнее обходили ботом форумы и тем чьи домены не были в списке легальных покупателей (лицензия на домен дается) автоматом слали предупреждения "гони деньги, сноси форум или абузу хостеру".
| | |
| |
| |
| Часть нити удалена модератором |
| 4.59, Kuromi (ok), 16:40, 26/09/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> а не воровать-то чужой труд - любители шва6одки не пробовали?
На тот момент когда форумы былирелаьно популярны vB был реально одним из лучших. Сравниться с ним мог только Invision (тоже платный), и были холивары на тему что лучше. Бесплатные движки вроде phpBB не подходили по провдинутости даже близко.
С появление SMF, однако, раскладка сил слегка поменялась, т.к. бесплатный, есть моды, есть штатный установщик и обновлятор модов (никаких ручных правок кода) и SMF в общем несколько оттянул на себя пользователей. А потмо пришли социалочки и сейчас движуха вся там.
| | |
| |
| 5.64, пох. (?), 22:40, 27/09/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> На тот момент когда форумы былирелаьно популярны vB был реально одним из лучших
ну и чо - не воровать-то - никак? прям душа горела, рвалась к лучшим решениям, но (сколько там, кстати было - $100? Сейчас-то подорожала, аж 250 надо отвалить) - денег не было, приходилось держаться?
А потом плакаться про злобных копирастов, которые унижают и требуют удалить нахрен.
Хотя, казалось бы, вот тебе опенсорсный phpBB - бери и пили (мы ж за шва6оду, а не за халяву? Вот и допиливали бы потихоньку до нужного уровня фичастости)
Собственно, по моему опыту - что одно неюзабельное гуано, что другое - ну вот пиратскими торрентами обмениваться кое-как сойдет, а для общения - непригодно в принципе. Поэтому рыночек их всех и порешил, в пользу соцсеточек, где пользователю хотя бы не надо лихорадочно тыкать в миллион мелких кнопочек для каких-то совершенно тривиальных действий и по пол-часа ждать загрузки.
А более-менее работающие были только те, которые либо выпилены вручную, либо хотя бы сильно допилены владельцами - некоторые вон и до сих пор живы.
Хотя после каждого вынужденного лазанья по 4pda я очень, очень мечтаю чтобы авторы invision были мертвы, желательно максимально мучительным способом.
| | |
|
|
|
|
| |
| 2.31, Аноним (31), 14:39, 25/09/2019 [^] [^^] [^^^] [ответить]
| +4 +/– |
Бэкдоры и криптомайнеры в GEM используете на машинах разрабов и в проде?
| | |
| 2.42, Аноним (43), 19:32, 25/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Эффективный менеджер на марше? Питон еще куда ни шло, но руби вы серьёзно? В 2019 году? Он может быть оправдан только жестким легаси, надеюсь у вас это так.
| | |
| |
| 3.58, Аноним (54), 15:35, 26/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
А чё, хайп уже прошёл? Фигасе время летит. Как же питон тогда до сих пор трепыхается?
| | |
| |
| 4.62, dotgggff (?), 21:03, 26/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
 а че ему будет датамайнинг, неронка, тесты итд можошь сам(сама) дальше подолжить а что у руби?
за руби вроде не чего такого не наблюдалось
| | |
|
|
| 2.63, KonstantinB (ok), 18:32, 27/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
 если программист без мозгов и пишет eval-ы где попало, это, конечно, сильно поможет
| | |
|
| 1.32, Аноним (32), 14:49, 25/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вполне возможно что все эти 7 лет и использовалась, тут просто кому-то уже надоело и он решил показать, чего стоит эта софтина и её авторы.
| | |
| |
| 2.33, пох. (?), 14:54, 25/09/2019 [^] [^^] [^^^] [ответить]
| +/– | |
может просто им начали пользоваться, а сам он осилить - не сшмог.
А поскольку копия была краденая, другого способа обратиться в техподдержку не нашел.
| | |
|
| 1.38, Аноним (38), 17:48, 25/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Это же фича - удалённое управление. Веб-макаки знают что нужно пользователю.
| | |
| 1.39, iLex (ok), 17:55, 25/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 vBulletin в переводе на русский означает "хрен тебе, незарегистрированный пользователь, а не картинки". Ничто так не бесит при попытке нагуглить диаграмму или скриншот, как форум на vBulletin, где нужное изображение приаттачено к посту.
| | |
| |
| 2.40, robot228 (?), 18:15, 25/09/2019 [^] [^^] [^^^] [ответить]
| –4 +/– |
 > vBulletin в переводе на русский означает "хрен тебе, незарегистрированный пользователь,
> а не картинки". Ничто так не бесит при попытке нагуглить диаграмму
> или скриншот, как форум на vBulletin, где нужное изображение приаттачено к
> посту.
Та забей. Щас есть только 2 адекватных (советую погуглить значение слова) движка. Ну мб 3. Остальное дичь полнейшная.
| | |
| |
| 3.46, anonimous (?), 21:20, 25/09/2019 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> есть только 2 адекватных (советую погуглить значение слова)
адекватных чему? Сам-то погуглил слово?
| | |
|
| 2.47, пох. (?), 21:57, 25/09/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
> vBulletin в переводе на русский означает "хрен тебе, незарегистрированный пользователь,
> а не картинки". Ничто так не бесит при попытке нагуглить диаграмму
вообще-то это настраивается в админке.
> или скриншот, как форум на vBulletin, где нужное изображение приаттачено к
> посту.
эммм, твоя "диаграмма", походу, заканчивается на .torrent, а скриншот называется "crack.exe" ?
Вообще-то это и есть целевая аудитория данной фичи, как и всего vB в целом ;-)
| | |
|
| |
| 2.50, Kuromi (ok), 06:32, 26/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Стандартный "привет" от воблы пиратским установкам. Они никогда не стремились упрощать жизнь пользователям.
Кстати, приколы у них обоюдоострые, т.к. обновление Воблы - это та еще головная боль, т.к. все устанавливают моды, а моды часто заброшены и не совместимы с поздними версиями движка, да и при обновлении все моды придется чинить руками, автоматизации как минимум раньше не было.
| | |
| |
| 3.52, Аноним84701 (ok), 12:07, 26/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Стандартный "привет" от воблы пиратским установкам.
ЕМНИП, апдейты c v3 на v4 вполне бодро продавали еще в ~2016.
А основательно забили на обновления безопасности для четвертой ветки еще в середине прошлого года.
| | |
| |
| 4.60, Kuromi (ok), 16:50, 26/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> Стандартный "привет" от воблы пиратским установкам.
> ЕМНИП, апдейты c v3 на v4 вполне бодро продавали еще в ~2016.
> А основательно забили на обновления безопасности для четвертой ветки еще в середине
> прошлого года.
А что вы хотите, разрабы Воблы ничего кроме Воблы не производили. С приходом социалочек их рынок резко сократился. Все кому нужны форумы, скажем разработчки\производители для связи с поьзователями либо используют глубоко кастомизированные версии\самописные движки под свои нужды либо держат вяло просматриваемвый форум на бесплатном движке. А массовый клиент ушел, все.
Не удивлюсь если компания потихоньку распускает персонал и там просто некому особо что-то чинить.
| | |
|
|
|
| 1.51, Аноним (51), 10:36, 26/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ещё в нулевых эксплуатировал детские SQL-инъекции в vBulletin. Похоже, с тех пор ничего не поменялось.
| | |
| 1.65, Онаним (?), 22:57, 27/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
--- допускает передачу произвольного shell-кода через параметр "widgetConfig
" (просто передаётся код для запуска, даже не нужно ничего экранировать)
--- eval($code)
Это, простите, не "уязвимость". Это чистый и 100% бэкдор.
| | |
|
