The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: Защита веб-приложений на Perl"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"OpenNews: Защита веб-приложений на Perl"  +/
Сообщение от opennews (??) on 29-Окт-07, 16:42 
В материале представлено (http://rusdj.chat.ru/articles/perl-webapp-protection/perl-we...) 18 правил для обеспечения безопасности web-приложений, написанных на языке Perl.

URL: http://rusdj.chat.ru/articles/perl-webapp-protection/perl-we...
Новость: http://www.opennet.me/opennews/art.shtml?num=12567

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


3. "Защита веб-приложений на Perl"  +/
Сообщение от leon55 on 29-Окт-07, 18:15 
на самом деле, практика показала что ломается всё что создано человеком и ломается им же.. :(
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Защита веб-приложений на Perl"  +/
Сообщение от Я (??) on 29-Окт-07, 18:21 
предлагаю сразу же писать так  - "Все сломано (c) Автор"
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Защита веб-приложений на Perl"  +/
Сообщение от vbv (ok) on 29-Окт-07, 18:22 
Берем Нормальную книгу по perl + /dev/hands (по прямее). Все то-же самое.
А публиковать список правил....
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Защита веб-приложений на Perl"  +/
Сообщение от se (??) on 29-Окт-07, 18:44 
бесполезная статья.
все перечисленное - тупое пересказывание общеизвестных фактов.
imho приведи автор кусочки кода с примерами и реализацией атак на них, вышел бы толк.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Защита веб-приложений на Perl"  +/
Сообщение от Аноним on 29-Окт-07, 23:29 
вот почему чем дальше, тем больше появляется долпаепов которым обязательно надо все обосрать.
ну не нравится если тебе, то помолчи, может за умного сойдешь...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Защита веб-приложений на Perl"  +/
Сообщение от Аноним on 29-Окт-07, 23:39 
Чё за 3.14здабол писал это?
[quote]
7. Данные от пользователя без фильтрации в регулярном выражении следует использовать только так:

  $a = param 'a';
  if ( $text =~ /\Q$a\E/ )
  {
    # ...
  }
[/quote]

Он обкурился? Если кто-то это почитает и сделает так-же?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Защита веб-приложений на Perl"  +/
Сообщение от deadl2 email on 30-Окт-07, 02:04 
А что не так?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Защита веб-приложений на Perl"  +/
Сообщение от Аноним on 30-Окт-07, 02:12 
А представьте что приходит вам от клиента параметр a такого вот типа:
(?{ а тут, к примеру, perl-код для открытия шела... })

в общем по статье - кг/ам. аффтар сам ни в зуб ногой, покопировал откуда-то чего нашел, и выложил.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Защита веб-приложений на Perl"  +/
Сообщение от angra (ok) on 30-Окт-07, 06:24 
"Не критикуй других на той почве, на которой сам не твердо стоишь" (с) Марк Твен
Вы бы хоть man perlre заглянули на предмет того что такое \Q\E. Так что "ни в зуб ногой" это к вам, а не автору.

P.S. на всякий случай, \E внутри $a вам не поможет

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Защита веб-приложений на Perl"  +/
Сообщение от Аноним on 30-Окт-07, 10:11 
Действительно...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Защита веб-приложений на Perl"  +/
Сообщение от Stanislaus on 30-Окт-07, 11:51 
Большое спасибо автору за труд. Хоть большинство фактов и общеизвестные, он потрудился собрать их в одном месте.

Потом я, лично для себя, узнал о существовании таких WYSIWYG js эдиторов как FCKeditor, TinyMCE.

И наконец, $text =~ /\Q$a\E/ относится к тому, что я действительно не знал и у меня было полно таких дырок.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Защита веб-приложений на Perl"  +/
Сообщение от zoonman on 30-Окт-07, 12:04 
статья полезна новичку, но не профи
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Защита веб-приложений на Perl"  +/
Сообщение от Аноним on 30-Окт-07, 20:54 
Действительно интересно
\Q\E
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Защита веб-приложений на Perl"  +/
Сообщение от Онанимус on 31-Окт-07, 16:53 
> Как вам перспектива накрутки счетчика
> злоумышленником, либо добавление записей
> флудером при помощи метода HEAD?

очень хорошая перспектива,
но HTTP range - еще лучше.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Защита веб-приложений на Perl"  +/
Сообщение от djandrey (??) on 02-Ноя-07, 12:33 
2: Аноним, 23:39:32, 29/10/2007; Аноним, 02:12:45, 30/10/2007

1) не покопировал, а составил из собственного опыта
и того, на что напарывались коллеги

2) читайте доки внимательно или хотябы проверяйте, перед тем, как писать такое.
для справки: все, что находится между \Q и \E в регулярке не интерполируется.

2 zoonman:

так и есть

2 all:

это далеко не всё, что можно было написать. я вспомнил ещё некоторые вещи, которые мне встречались. статья будет дополнена как минимум ещё один раз.
учту комментарии, некоторые вещи нужно поподробнее мотивировать и примеры добавить.
спасибо за отзывы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Защита веб-приложений на Perl"  +/
Сообщение от djandrey (??) on 02-Янв-10, 09:16 
Сайт переехал на новый домен, статья теперь живёт по этому адресу:
http://dj-andrey.ru/articles/perl-web-application-security
Она дополнена новыми пунктами (и кусочками кода, как советовал se). Чувствую, и это далеко не последняя версия, так как во время работы то и дело рождаются записи в TODO по новым пунткам.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру