Comments 36
Пользуясь случаем, хочу извиниться перед Нигмой. Когда пол-года назад мы писали об этой ошибке, ее домена по какой-то случайности не оказалось в наших базах, поэтому мы не предупредили команду перед публикацией. Благодаря этому факту во внутренностях ее фронта покопалось много публики.
Так как мы не сканировали ее сами, то не можем знать, что было открыто, а что нет.
Так как мы не сканировали ее сами, то не можем знать, что было открыто, а что нет.
Пользуясь случаем, хочу передать привет маме. Мама, привет! я на хабре!
UFO just landed and posted this here
если ваши сурсы лежат выше корня веб-приложения, то вам нечего боятся. Чтобы проверится — посмотрите скрытую диру .git, её содержание, попробуйте открыть файлы через браузер
На С++? Тогда это зависит от того, а присутствуют ли вообще исходники вашего проекта в document root сервера. Т.к. если уж писать на С++, то логичнее, что они там не присутствуют вообще (просто всё компилируется в один бинарник).
Я думаю, что на эти грабли будут наступать постоянно.
Что же касается диаграмм, то ни, к сожалению (я уверен на 90%) совпадут с распределением сайтов по доменному признаку и пейдж-ранку с общим количеством сайтов.
Что же касается диаграмм, то ни, к сожалению (я уверен на 90%) совпадут с распределением сайтов по доменному признаку и пейдж-ранку с общим количеством сайтов.
Я думаю, что
Надо отлить в граните :)
location ~ /\. {
deny all;
}
Надо отлить в граните :)
я думаю, что в граните надо отливать не это, а svn export
тут дело не только в svn. По стандарту, всё что начинается с "." это скрытые файлы и не должны показываться лишний раз.
по какому, извините, стандарту?
это просто соглашение об именовании.
и учтите что в альтернативных (для серверов, а не десктопов) ОС файл начинающийся на. не становится скрытым автоматически.
ну а вообще, для дополнительной защиты ваш совет очень полезен, но вместо того чтобы защищаться, лучше вообще не допускать такой ошибки.
это просто соглашение об именовании.
и учтите что в альтернативных (для серверов, а не десктопов) ОС файл начинающийся на. не становится скрытым автоматически.
ну а вообще, для дополнительной защиты ваш совет очень полезен, но вместо того чтобы защищаться, лучше вообще не допускать такой ошибки.
согласен, не вижу смысла в таком графике, я думаю, что сайтов с PR6 в 100500тыщ раз больше чем сайтов с PR10, не зависимо от их уязвимостей.
UFO just landed and posted this here
С ума сойти. Не подозревал, что их столько останется.
кстати, ребята поделились частью списком сайтов, на которых была найдена уязвимость, сравнили его с тем что у нас с первого скана — ряды пополнились. Крупные проекты, которые еще с пол года назад не юзали svn и не были найдены (часть из них проверялась руками), ныне используют его, либо же каким-то образом открыли к нему доступ.
Ежики плакали и кололись, н… ну вы поняли.
Все проблемы появляются от того, что на одном и том же уровне лежат фаилы приложения и статические фаилы. Допустим в дефолтном проекте на ROR вся статика лежит в public, a .svn/.git/.hg на уровень выше.
Хе… Я на Python еще в прошлый раз написал сканер и в юзерагенте бота вставил ссылку на соответствующую статью в своем блоге… Довольно много народу потом туда пришло…
Да! и накачал исходников сайтов больше 35Гб (сканил Ru и COM, но не смог все обойти). Правда на половине сайтов даже скрипты с ".php.svn-base" расширениями интерпретировались php и скачать не получилось
Да! и накачал исходников сайтов больше 35Гб (сканил Ru и COM, но не смог все обойти). Правда на половине сайтов даже скрипты с ".php.svn-base" расширениями интерпретировались php и скачать не получилось
А что сделали с исходниками? Засолили? :)
А попросить ваш сервис сходить по какому-либо адресу с целью проверки можно? ;-)
дык самому можно =)
там же в статье написано
> попробуйте пройти по ссылке vash-site.ru/.svn/entries и проверьте, не «светит» ли ваш entries-файл всему миру.
там же в статье написано
> попробуйте пройти по ссылке vash-site.ru/.svn/entries и проверьте, не «светит» ли ваш entries-файл всему миру.
Дык…
«404: Запрашиваемая вами страница не найдена
Если вы не можете найти необходимую информацию, пожалуйста, воспользуйтесь поиском.»
я наверное тупой, да? :)
«404: Запрашиваемая вами страница не найдена
Если вы не можете найти необходимую информацию, пожалуйста, воспользуйтесь поиском.»
я наверное тупой, да? :)
неее… значит всё ок. если бы по адресу vash-site.ru/.svn/entries была бы видна инфа соответствующая… т.е. контент файлика entries, то это плохо. Вобщем посмотри у себя на тачке файлик /.svn/entries (папочка .svn скрытая всегда) в любой директории которая под свн контролом, посмотри что в нём. Вот если чтото подобное видно из браузера, то можно достать много чего интересного с такого сервера =)
дайте пожалуйста линк на perlmonks насчет многопоточности. thx
www.perlmonks.org/?node_id=821680
Толково разъяснили насчет безопасного общего доступа к данным для потоков вместо того велосипеда, который я пытался сделать в начале
Толково разъяснили насчет безопасного общего доступа к данным для потоков вместо того велосипеда, который я пытался сделать в начале
Sign up to leave a comment.
SVN: Полгода спустя