|
| 1.4, Аноним (-), 20:21, 08/04/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Хм.. для этой уязвимости необходимо чтобы выполнились условия
1. PHP 5.2.x
2. Использование фильтров для проверки email.
Зная это очень легко устранить эту уязвимость.
На сегодняшний день. Очень немногие используют эту версию. | | |
| 1.6, aTz (?), 23:30, 08/04/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Честно говоря я не очень понял в чём заключается уязвимость такая прям страшная. Ну да ... согласен:
<?
$var = "test@example.com\n";
var_dump(filter_var($var, FILTER_VALIDATE_EMAIL));
?>
Действительно не возвращает false - а ДОЛЖНО было бы. Но зато:
<?
$var = "test@example.com\nCc:test@example.com";
var_dump(filter_var($var, FILTER_VALIDATE_EMAIL));
?>
Уже возвращает false, да и вообще если после "\n" хоть что-то написать - возвращает false.
Так в чём заключается уязвимость, которая открывает такие широкие ворота спамерам? Объясните кто-нибудь? :) | | |
| |
| 2.8, SubGun (ok), 10:56, 09/04/2007 [^] [^^] [^^^] [ответить]
| +/– |
 Я так понял, что после \n можно скрипт хитрый напихать и он выполнится. | | |
|
| 1.9, bolk (?), 11:53, 09/04/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 О фильтрах ещё даже мало кто знает пока, не говоря уже об использовании. | | |
| 1.10, Iscander (??), 17:24, 09/04/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
А что мешает использовать собственный валидатор? Религия не позволяет? Как правило у любого нормального программиста через пару месяцев есть готовые валидаторы практичекси на всё к тому же отлаженые. Уязвимость для script-kidy программистов, своё писать надо, а не доверять существующему. В особо критичных случаях можно и нужно перепроверять получателя по SMTP. | | |
| |
| 2.17, Anatoliy (??), 14:14, 11/04/2007 [^] [^^] [^^^] [ответить]
| +/– |
 А еще через пару месяцев, когда программист становится НОРМАЛЬНЫМ он прекращает использовать PHP (ака Basic for WEB) совсем. | | |
|
| 1.11, lopux (?), 18:08, 09/04/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> А что мешает использовать собственный валидатор? Религия не позволяет?
Esli kazhdiy budet pisat' sobstvenniy validator mi daleko ne uidem v etom mire :)
> В особо критичных случаях можно и нужно перепроверять получателя по SMTP
A vot eto voobche durnoy ton. "перепроверять" nikogda nichego ne nuzhno. Nuzhno "proveryat'" odin raz, i navsegda :) Ne doveryaete biblioteke? Voz'mite druguyu. | | |
| 1.12, Аноним (-), 23:27, 09/04/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Больше всего меня улыбает читая новости на опеннете, это очередные вести о дырках. Прочитав в рссах заголовок новости, тут же кинулся посмотреть, что скажут пхписты. Первый коммент выразил я думаю всеобщее настроение)) | | |
| |
| 2.15, Антон (??), 12:32, 10/04/2007 [^] [^^] [^^^] [ответить]
| +/– | |
А ты preg_match ищи: Results 1 - 10 of about 49,300.
FILTER_VALIDATE_EMAIL лишь одно проявление глобальной проблемы, которая больше с криворукостью связана, чем с PHP.
На perl тоже полно штучек, очень часто пишут /$user_var/ вместо /\Q$user_var\E/. Если в $user_var подставить "?{ system(qw(ls -al /)); }" будет "Ой".
| | |
| |
| 3.18, balex (??), 11:08, 12/04/2007 [^] [^^] [^^^] [ответить]
| +/– | |
>FILTER_VALIDATE_EMAIL лишь одно проявление глобальной проблемы, которая больше с криворукостью связана, чем с PHP.
Вполне согласен, достаточно просто от этого защититься:
filter_var(trim($var), FILTER_VALIDATE_EMAIL);
И все проблемы как рукой снимет. | | |
|
|
|
