Re[3]: Из-за чего весь сыр-бор: про уязвимость Text4Shell
От: Sinclair Россия https://github.com/evilguest/
Дата: 01.11.22 17:15
Оценка:
Здравствуйте, ·, Вы писали:

S>>Если же нас интересует сохранение функциональности приложения, то надо понять, как же делать интерполяцию без риска исполнить произвольный код под привилегиями приложения или открыть иную дыру в неведомые измерения.

·>Проблема text4shell в том, что либа втихушку добавляла возможности интерполяции чего угодно, в том числе и кусков кода.
Спасибо за исчерпывающие объяснения.
·>Программист ожидал, что будет работать только ${username}, а оказывается можно и запихать ${script:<code>}.
Я так понял, что в жабе такие диверсии в порядке вещей. Возникает вопрос: а там вменяемые движки интерполяции вообще существуют, или каждый автор считает своим долгом впендюрить туда remote execution?
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.