Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   Уязвимости | PHP (http://forum.oszone.net/showthread.php?t=28690)

Greyman 03-08-2004 17:47 199576
Уязвимости | PHP
 
Цитата:
Удаленное выполнение произвольного кода в PHP
Уязвимость обнаружена в PHP, когда компилирован с включенным параметром 'memory_limit'. Удаленный пользователь может выполнить произвольный код на целевой системе.




Добавлено:

Цитата:
Обход strip_tags() функции в PHP
Если отключено 'magic_quotes_gpc' и функция strip_tags() используется для удаления HTML тэгов из данных, представленных пользователем, удаленный пользователь может представить специально обработанные тэги, которые не будут должным образом отфильтрованы функцией.

П.С.
Отсюда, ИМХО логичная мысль :), что magic_quotes отключать не стоит...


[s]Исправлено: Greyman, 14:11 4-08-2004[/s]

Greyman 28-01-2005 17:24 293098
Цитата:
Заплатки для PHP
PHP Group выпустила две заплатки, устраняющих уязвимости в интерпретаторе языка серверных сценариев PHP. Это версии 4.3.10 и 5.0.3 — сервисные выпуски, заменяющие 4.3.9 и 5.0.2. Используя ошибки, хакер мог захватить контроль над Web-сервером. Всего было найдено 7 ошибок, позволяющих подвесить сервер или выполнить на нем произвольный код: две ошибки переполнения целочисленной переменной в командах упаковки Web-страниц (pack и unpack), три уязвимости, связанные с неправильной обработкой путей в функциях «безопасного режима» (safe_mode_exec_dir, safe_mode и realpath), и две уязвимости в модуле работы с памятью (unserialize). Уязвимости ставят под угрозу безопасность пользователей множества популярных форумов, работающих на движках, написанных на PHP: PHPBB, Invision Board, vBulletin и других.
...


Время: 00:45.

Время: 00:45.
© OSzone.net 2001-