Zpět na seznam článků     Zpět na článek

Komentáře ke článku

 
 
 BBCode
Fil-kun | E-mail28.10.2016 23:14
Ahoj, tuto chybu jsem nahlásil na jednom nejmenovaném hostingu a chci se podělit o jejich reakci. Odepsali mi, že jsou si vědomi, že toto nativní nastavení může být nebezpečné avšak programátor, který aplikaci programuje si toho měl být vědom a změnit si pomocí ini_set lokální nastavení php nebo používat frameworky, které toto řeší. Nicméně ještě opravili globální nastavení php na serveru, aby zamezili průlomům do nezabezpečených aplikací.

----------
Spravedlnost bez síly je marnost, ale síla bez spravedlnosti je zločin.
.cCuMiNn. | E-mail | Website | PGP27.10.2016 16:14
JaKoB: Záleží na tom, kde tu obranu použiješ. Neúčinná bude pouze v případě, že můžeš na serveru spustit svůj vlastní kód, tedy na hostingu určitě funkční nebude. Na druhou stranu, pokud je to tvé VPS nebo nabízíš zmíněné cloudové služby, (a jsi si jist, že tam nejsou chyby jako RCE) pak je tato obrana dostatečná. Samozřejmě, že vícestupňová ochrana je vždy lepší, takže lze jednoznačně doporučit nasazení i ostatních zmíněných metod, ale nutné to proti této zranitelnosti není.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
JaKoB | E-mail27.10.2016 15:43
.cCuMiNn.: Ve videu zmiňuješ že jedním z řešení by bylo uložit do session také identifikátor domény. V odkazovaném článku z roku 2011 útočník upravuje session proměnné dle libosti, není tedy tato ochrana neúčinná? Děkuji za odpověď.
Sparrow318 | 217.66.162.*26.10.2016 23:54
Uz jsem ani nedoufal, ze to zverejnis a jsem rad, ze jsi tak ucinil.
Jde o zajímavý typ útoku a je až zarážející, jak je snadný.
.cCuMiNn. | E-mail | Website | PGP25.10.2016 20:52
Vikt0r: Postup řešení zazněl v přiloženém videu na Kafemlejnku. CZ.NIC oslovil webhostingy s možností nechat se na tento typ útoku otestovat. Osloveny byly také velcí provozovatelé cloudových služeb, kdy cca 20% z testovaných bylo zranitelných. Na těchto službách pak došlo k nápravě, takže smysl čekání rozhodně mělo vzhledem k počtu na nich hostovaných aplikací. Tento postup pro mě byl určitě nejsnažší cestou. To, zda byla současně i nejlepší, to nechám na individuálním posouzení.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
Vikt0r | 93.99.185.*25.10.2016 18:06
Diky za pekny clanek a ukonceni rok trvajiciho napinaku.
Nehodi se asi hledat kdo s tim kdy prisel prvni a jak dobre to popsal, ale mohl bys nam rict jestli bylo k necemu o tom nemluvit verejne? Rok? Zlepsilo to neco? Nebo jen doslo k odkladu. A jak budes postupovat priste?
t | 195.28.75.*25.10.2016 13:12
Takt toto je ten novy vektor utoku?
Ide o vseobecne znamy typ utoku, ktory je spomenuty na strankach OWASP, NETTE, ...
To ze je problem o nom nieco dohladat je absolutny nezmysel.
To co tu autor kvoli tomuto vyvadzal posledny rok bola saskaren.

Teraz k veci. Ide naozaj o typ utoku ktoremu sa dostava malo priestoru ... naozaj patri k tym menej znamym.
Clanok je z tohto pohladu prinosom a je spracovany sa vysokej urovni, podobne ak aj ostatne clanky autora.
Len tak dalej.

Stránky: 1