Здравствуйте, ·, Вы писали:
S>>Если же нас интересует сохранение функциональности приложения, то надо понять, как же делать интерполяцию без риска исполнить произвольный код под привилегиями приложения или открыть иную дыру в неведомые измерения. ·>Проблема text4shell в том, что либа втихушку добавляла возможности интерполяции чего угодно, в том числе и кусков кода.
Спасибо за исчерпывающие объяснения. ·>Программист ожидал, что будет работать только ${username}, а оказывается можно и запихать ${script:<code>}.
Я так понял, что в жабе такие диверсии в порядке вещей. Возникает вопрос: а там вменяемые движки интерполяции вообще существуют, или каждый автор считает своим долгом впендюрить туда remote execution?
Уйдемте отсюда, Румата! У вас слишком богатые погреба.