Видимо, издержки виртуального хостинга)В том же ISPmanager и других панелях — PHP для домена отключается довольно элементарно.
Ну хотя бы вот: docs.ispsystem.ru/ispmanager-lite/php/reyoimy-raboty-php
Или FastPanel: fastpanel.direct/wiki/ru/site-settings#php-settings
Временами чувствую, как сильно не хватает команды, хорошего технаря-программера. Я же — гуманитарий, и работаю над сайтом один, поэтому в технические дебри не лезу… боюсь! ))
Вот вам и Apache((
Наглядно экспойтим реверс-шелл на v2.4.49. Сработает и на v2.4.50 (CVE-2021-42013). Жесть ведь?? Полная жесть))
Вот ещё: Уязвимость в PHP, позволяющая обойти ограничения, заданные в php.ini
7.0 — все версии на сегодняшний день
7.1 — все версии на сегодняшний день
7.2 — все версии на сегодняшний день
7.3 — все версии на сегодняшний день
7.4 — все версии на сегодняшний день
8.0 — все версии на сегодняшний день
github.com/mm0r1/exploits/tree/master/php-filter-bypass
> Примечательно, что в предложенном эксплоите используется уязвимость, о которой разработчикам PHP было сообщено более 10 лет назад, но они посчитали её несущественной проблемой, не влияющей на безопасность.
Удивительно, но некоторые вещи, аналогично, извините за слово, считаю фигней. 😀 Не, по уму, я за то, чтобы было все правильно, чтобы докопаться нельзя было, до всего. Но, так не бывает и не будет. В любой ОС и в любом языке, в любом ПО. Думаю, стоит рассматривать всё в контексте, применительно конкретно к определенному случаю. ИМХО. Движок, движок полезней смотреть, для начала...
Не, по уму, я за то, чтобы было все правильно, чтобы докопаться нельзя было, до всего. Но, так не бывает и не будет. В любой ОС и в любом языке, в любом ПО.
Где-то риски выше, а где-то ниже.
Например, безопасность Django (тот, который на питоне): docs.djangoproject.com/en/3.2/topics/security/
Сам фреймворк строится таким образом, чтобы минимизировать риски + имеет встроенные защиты. Другое дело, что бюджеты и время.
При низких бюджетах и ограниченном времени — равных разработке на PHP нет, ну разве что на Node.js еще… Но кроме «модно-молодежно», пока особых преимуществ не видно… Разве что асинхронность, недоступная для PHP??
Понятно, что при низких бюджетах и ограниченном времени мы как бы добровольно жертвуем безопасностью. ОК. Поэтому есть смысл немного заморочиться и минимизировать риски — провести хотя бы базовый пентистинг на систему, поставить WAF или, допустим, простые фильтры запросов на nginx и т.д.
Разве что асинхронность, недоступная для PHP??
Расскажите зачем вам асинхронность?
Разве что асинхронность, недоступная для PHP??
Расскажите зачем вам асинхронность?
Даже не знаю что ответить)) Вы (для примера) возьмите тот же jQuery, использующийся в icms и поотключайте эту самую асинхронность в ajax вызовах. А потом начните пользоваться сайтом. Посмотрите, что получится и вряд ли впредь такие вопросы будете задавать.
Вы (для примера) возьмите тот же jQuery, использующийся в icms и поотключайте эту самую асинхронность в ajax вызовах.
Думаю, вы путаете тёплое с мягким. Посмотрите хотя бы определение асинхронности здесь.
Можете сформулировать Вашу мысль) Что с чем я путаю… Не понимаю, что такое асинхронное выполнение кода?
Не понимаю, что такое асинхронное выполнение кода?
Да. В контексте вашего примера выше.
Не понимаю, что такое асинхронное выполнение кода?
Да. В контексте вашего примера выше.
То есть по-Вашему, синхронный ajax запрос — не блокирует поток? Так?
синхронный ajax запрос — не блокирует поток? Так?
Давайте рассмотрим ситуацию. Запрос браузером произвольной страницы-> Работает сервер(PHP) -> Страница загрузилась -> Клик по баттону -> JS формирует новый запрос к серверу -> Работает сервер(PHP) отдает какой-то json -> JS встраивает ответ сервера в тело страницы. Где блокировка потока?
синхронный ajax запрос — не блокирует поток? Так?
Давайте рассмотрим ситуацию. Запрос браузером произвольной страницы-> Работает сервер(PHP) -> Страница загрузилась -> Клик по баттону -> JS формирует новый запрос к серверу -> Работает сервер(PHP) отдает какой-то json -> JS встраивает ответ сервера в тело страницы. Где блокировка потока?
Вам было предложено отключить асинхронные запросы. Давайте на мухах и котлетах.
Получим текст самого первого заголовка вот этого прекрасного сайта:
Опять же на любимом всеми jQuery. Хотя можно и без него. Не суть.
Получаем заголовок асинхронно (как и положено).
Что раньше выведется вам? 1 или Why is CORS important?
Можете открыть консоль браузера прямо на этом форуме, вставить туда этот код и нажать enter;
А теперь то же самое, но синхронно:
Вопросы, замечания?))
Был у нас в конторе специалист по безопасности и клялся, что сломать можно всё.
Я ему выдал внешний ip домашнего роутера (DIR-320) и попросил забрать с рабочего стола моего домашнего компа письмо с суммой моего вознаграждения за удачный взлом.
Никто ничего не забрал, конечно, но с тех я его подкалывал предлагать заказчикам невзламываемый дилинк 320.
К чему это я...
Absolute134, давайте я напишу вам в личку адрес своего сайта, а Вы мне в ответ вышлете пароль базы данных из конфига моего сайта?
Ломайте хоть всё, если сможете. У меня есть все необходимые бэкапы.
Absolute134, давайте я напишу вам в личку адрес своего сайта, а Вы мне в ответ вышлете пароль базы данных из конфига моего сайта?
Ломайте хоть всё, если сможете. У меня есть все необходимые бэкапы.
Один вопрос страннее другого сегодня.
Во-первых, мне Ваш сайт совсем не сдался.
Во-вторых, я не пытаюсь потешить свое ЧСВ или кому-то что-то доказать.
В-третьих, Вы имеете полное право считать, что уязвимостей не существует в принципе, равно как и людей способных эксплуатировать эти уязвимости.
синхронный ajax запрос — не блокирует поток?
блокирует поток таких же запросов из js.
Вы (для примера) возьмите тот же jQuery, использующийся в icms и поотключайте эту самую асинхронность в ajax вызовах. А потом начните пользоваться сайтом.
Ничего не изменится. Потому что у нас страница грузится вся сразу (серверный рендеринг) и по ajax после загрузки страницы мы не получаем ничего.
Вы путаете асинхронность выполнения кода в javascript с асинхронностью в ajax вызовах.