forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость конфигураций Nginx с некорректными настройками бл..."
Отправлено Аноним, 07-Июл-23 13:38

> Ну, для статического контента такую таблицу можно генерировать веб сервером автоматически
> из целевой директории.
> Например.
И как это улучшает вон то состояние дел? Типа вот там сервер на@бывается, а вот тут не будет? Зато появляется еще и база. С своим пониманием кучи спецсимволов чего доброго, если это скуль какой, так что накидав файлов с креативно оформленными именами можно слегка отредактировать базу попутно с дропом всяких ненужносайтов - чтоб даунтайм побольше :). Чочо, проипли список студентов за последний год - и их сайты тоже? :)
Можно конечно тупенький и быстрый key-value поставить - но файлуха примерно этим и является. А контент легитимно юзает ../../img/somthing/abc.jpg какое-нибудь на раз. И совсем взять и вырубить эту фичу ФС - ну, ок, куча контента сломается.
> Но можно и просто чуть более разумно парсить путь к файлу если
> уже так хочется прямого отношения части урлы к структуре каталогов.
По-моему радикально огородить серв в чрут а лучше контейнер (т.к. чрут имеет ряд проблем) так то эффективнее решает задачу с меньшей возней.
> Ключевое что не должно быть копипаста данных из урлы в запрос к ФС.
Ну да, давайте в базу отправим. Чего доброго скульную, да? У которой своей специальной трактовки символов хватает. И будем стрематься вдвое большего числа спецсимволов в именах, и из-за фс и из-за базы. Не понимаю как добавление проблем может их убавить.

Исходное сообщение
"Уязвимость конфигураций Nginx с некорректными настройками бл..." Отправлено Аноним, 07-Июл-23 13:38
> Ну, для статического контента такую таблицу можно генерировать веб сервером автоматически > из целевой директории. > Например. И как это улучшает вон то состояние дел? Типа вот там сервер на@бывается, а вот тут не будет? Зато появляется еще и база. С своим пониманием кучи спецсимволов чего доброго, если это скуль какой, так что накидав файлов с креативно оформленными именами можно слегка отредактировать базу попутно с дропом всяких ненужносайтов - чтоб даунтайм побольше :). Чочо, проипли список студентов за последний год - и их сайты тоже? :) Можно конечно тупенький и быстрый key-value поставить - но файлуха примерно этим и является. А контент легитимно юзает ../../img/somthing/abc.jpg какое-нибудь на раз. И совсем взять и вырубить эту фичу ФС - ну, ок, куча контента сломается. > Но можно и просто чуть более разумно парсить путь к файлу если > уже так хочется прямого отношения части урлы к структуре каталогов. По-моему радикально огородить серв в чрут а лучше контейнер (т.к. чрут имеет ряд проблем) так то эффективнее решает задачу с меньшей возней. > Ключевое что не должно быть копипаста данных из урлы в запрос к ФС. Ну да, давайте в базу отправим. Чего доброго скульную, да? У которой своей специальной трактовки символов хватает. И будем стрематься вдвое большего числа спецсимволов в именах, и из-за фс и из-за базы. Не понимаю как добавление проблем может их убавить.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> Ну, для статического контента такую таблицу можно генерировать веб сервером автоматически >> из целевой директории. >> Например. > И как это улучшает вон то состояние дел? Типа вот там сервер > на@бывается, а вот тут не будет? Зато появляется еще и база. > С своим пониманием кучи спецсимволов чего доброго, если это скуль какой, > так что накидав файлов с креативно оформленными именами можно слегка отредактировать > базу попутно с дропом всяких ненужносайтов - чтоб даунтайм побольше :). > Чочо, проипли список студентов за последний год - и их сайты > тоже? :) > Можно конечно тупенький и быстрый key-value поставить - но файлуха примерно этим > и является. А контент легитимно юзает ../../img/somthing/abc.jpg какое-нибудь на раз. > И совсем взять и вырубить эту фичу ФС - ну, ок, > куча контента сломается. >> Но можно и просто чуть более разумно парсить путь к файлу если >> уже так хочется прямого отношения части урлы к структуре каталогов. > По-моему радикально огородить серв в чрут а лучше контейнер (т.к. чрут имеет > ряд проблем) так то эффективнее решает задачу с меньшей возней. >> Ключевое что не должно быть копипаста данных из урлы в запрос к ФС. > Ну да, давайте в базу отправим. Чего доброго скульную, да? У которой > своей специальной трактовки символов хватает. И будем стрематься вдвое большего числа > спецсимволов в именах, и из-за фс и из-за базы. Не понимаю > как добавление проблем может их убавить.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру