Nette CVE-2020–15227 testing tool (diskuse)

hacknete si sami misto me svuj server :-D

9.10.2020 08:45 Aleš Kapica | skóre: 51 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool

A jak myslíš, že se to dělá? Za sebe musím říct, že pokud bych si nechal dělat audit na web, tak pro jistotu současně od dvou vzájemně nezávislých subjektů, protože nemůžeš vědět, jestli ten jeden něco neopomene, či ještě hůř, ten tvůj web nenainfikuje.

9.10.2020 09:43 bigBRAMBOR | skóre: 37
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool

ano, pokud na to mas firmu na audit, sepisete o tom nejakou smlouvu, sankce, NDA - pustit neco z linku ulozeneho na abclinuxu.cz jako, ze to otestuje server, ale zdrojaky neukazu je krajne rizikove chovani

9.10.2020 10:01 Aleš Kapica | skóre: 51 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool

To nerozporuji. Ale chápu, proč ty zdrojáky nechce dát veřejně k dispozici. Předpokládám, vzhledem k jeho poznámce, že autoři nette už tu chybu opravili, takže řešil situaci jak upozornit ty, co ten framework používají, že by měli ve vlastním zájmu udělat upgrade. Bohužel je fakt, byť smutný, že si firmy nechají splácat od někoho web a ten běží v nějakém kontejneru tak dlouho, dokud ho někdo nenabourá. Jen málokdo provozuje nějaký web a průběžně ho aktualizuje. Já to dělám jen v případě že si to něco vynutí. Většinou je ekonomicky přijatelnější si nechat od někoho jiného splácat web nový.

9.10.2020 13:42 Salamek | skóre: 22 | blog: salamovo
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool

test nijak nemeni kod ciloveho webu ani nepridava zadny explot etc. overit si to muzes nasmerovanim testu na web kde mas pristup k access.log a uvidis co to dela, vse to jsou GET requesty...

Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.

9.10.2020 19:04 bigBRAMBOR | skóre: 37
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool

coz zjistim z logu az to provedu. Jde uplne jasne o socialni hacking, spuste si sami kod na hacknuti stranky, neco jako kdysi ten veselej vir, vzhledem k zaostalosti nasi zeme vam nemuzeme nijak ublizit, prosim smazte si nejake soubory a poslete me dal.

9.10.2020 19:46 jiwopene | skóre: 31 | blog: Od každého trochu…
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool

Je možné si to spustit nad nějakou testovací instancí toho, co chcete testovat, ve virtuálu (a s omezenou sítí, …) a potom totéž ověřit a zopakovat manuálně tam, kde potřebujete.

.sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky.

9.10.2020 21:11 Salamek | skóre: 22 | blog: salamovo
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool

Ehm nemam problem napsat crawler a za ~24h projet cely cesky internet... ale proc bych to delal kdyz nejsem cracker ani zlodej?

Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.

9.10.2020 19:41 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool

GET neznamená, že nemůže měnit data.

Hello world ! Segmentation fault (core dumped)

9.10.2020 21:08 Salamek | skóre: 22 | blog: salamovo
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool

No Shit Sherlock, bylo to mysleno tak ze v access.log jde u GET requestu videt vse, u POST nevidis body

Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.

10.10.2020 00:04 Cabrón
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool

I to se dá, např. v nginx stačí někde definovat log_format postdata $request_body; a potom v příslušném server nebo location bloku mít access_log /var/log/www/moje-super-nette-aplikace.log postdata;