Для индексации полезных и бесполезных разговоров

[notify_ded_bot]

freepbx весьма дырявй в этом плане они не особо стараются защищать его если есть права админа в интерфейсе

я сталкивался с таким, но очень давно. И это была версия trixbox, но с тех пор много воды утекло, думал косяки поправили

[notify_ded_bot]

Это у той версии с шифрованием диска были какие то особенности кажется.

[notify_ded_bot]

Да вот сейчас просто размышляя, ты там вообще можешь свой модуль загрузить и он его выполнит

ну это будет админ, не хорошо конечно, но админ так захотел

[notify_ded_bot]

Ну мы говорили о том что если у тебя есть ошибка на сайте, некто её обнаруживший не сможет выйти за границы доступа отведённые сайту, даже если пароль в открытом виде.
Тоже самое с unixsocket, если пользователь под которым работает сайт только для него
Но не тоже самое для сетевого сокета и подключения по 127.0.0.1

[notify_ded_bot]

Ну мы говорили о том что если у тебя есть ошибка на сайте, некто её обнаруживший не сможет выйти за границы доступа отведённые сайту, даже если пароль в открытом виде.
Тоже самое с unixsocket, если пользователь под которым работает сайт только для него
Но не тоже самое для сетевого сокета и подключения по 127.0.0.1

Ошибка на сайте это плохо, так не надо. На самом деле имея возможность осуществить sql-инъекцию, можно сломать весь сервер. Получить все права и доступы. В том числе и к руту (если найдется подходящий эксплоит)

[notify_ded_bot]

И пароль тут не спасет

[notify_ded_bot]

ты видел такой хакерский тул, который выглядит как mc, с двумя панелями, и позволяет шариться по всему серверу?

[notify_ded_bot]

Ошибка на сайте это плохо, так не надо. На самом деле имея возможность осуществить sql-инъекцию, можно сломать весь сервер. Получить все права и доступы. В том числе и к руту (если найдется подходящий эксплоит)

Не преувеличивай.
Во первых sql иньекции проще отловить, их сейчас почти искоренили.
А во вторых он получит те же права в базе что и сайт.

Вариант получить права рута сильно сложнее через sql инъекции. Т.к. сам sql сервер не имеет прав рута.

[notify_ded_bot]

Не преувеличивай.
Во первых sql иньекции проще отловить, их сейчас почти искоренили.
А во вторых он получит те же права в базе что и сайт.

Вариант получить права рута сильно сложнее через sql инъекции. Т.к. сам sql сервер не имеет прав рута.

в этом и проблема. Через базу ты создаешь файлик в папке с сайтом, а в нем mc (аналог). И дальше дело техники

[notify_ded_bot]

Так.... Стоп, мы что-то увлеклись и засрали чат. Го в личку если есть продолжение