asterisk.ru

Русский форум Asterisk сообщества
https://forum.asterisk.ru/

Для индексации полезных и бесполезных разговоров

https://forum.asterisk.ru/viewtopic.php?t=26297

Страница 1499 из 1516

Cообщение от   Telegram-канал spiridonov_dv

Добавлено: 20 авг 2025, 01:44
notify_ded_bot

Я к тому что unixsocket и без пароля я понимаю. Ты каждому пльзователю ос раздаёшь свои права в базе. root полный доступ к базе, www только к его базам.
Твой вариант с 127.0.0.1 это не тоже самое. Тут всем одинаковый доступ.

Cообщение от   Telegram-канал fish9370

Добавлено: 20 авг 2025, 01:44
notify_ded_bot
Я к тому что unixsocket и без пароля я понимаю. Ты каждому пльзователю ос раздаёшь свои права в базе. root полный доступ к базе, www только к его базам.
Твой вариант с 127.0.0.1 это не тоже самое. Тут всем одинаковый доступ.

но ты не привел пример, когда через ошибку пхп, ты получаешь доступ к базе

Cообщение от   Telegram-канал fish9370

Добавлено: 20 авг 2025, 01:44
notify_ded_bot

что там за ошибка такая?

Cообщение от   Telegram-канал spiridonov_dv

Добавлено: 20 авг 2025, 01:45
notify_ded_bot
но через ошибку в php и так можно получить доступ

И ты получаешь доступ только пользователя www, ты не можешь убить mysql, читать базы других проектов

Cообщение от   Telegram-канал fish9370

Добавлено: 20 авг 2025, 01:45
notify_ded_bot
И ты получаешь доступ только пользователя www, ты не можешь убить mysql, читать базы других проектов

можешь, потому что тебе становится доступен его конфиг, а оттуда ты получишь и логин и пароль

Cообщение от   Telegram-канал spiridonov_dv

Добавлено: 20 авг 2025, 01:47
notify_ded_bot
но ты не привел пример, когда через ошибку пхп, ты получаешь доступ к базе

Через ошибку ты можешь выполнить скрипт, ошибки бывают у всех.
Тут вон приходил чел в каким то зашифрованным астериск с freepbx. Мне понадобилось час что бы найти как в этой старой версии freepbx имея доступ к веб интерфейсу выполнить код. Помоему через скрипт записи получилось.

Cообщение от   Telegram-канал spiridonov_dv

Добавлено: 20 авг 2025, 01:48
notify_ded_bot
можешь, потому что тебе становится доступен его конфиг, а оттуда ты получишь и логин и пароль

Мы сейчас сраниваем unixsocket и 127.0.0.1. Поясни о каком конфиге речь?

Cообщение от   Telegram-канал fish9370

Добавлено: 20 авг 2025, 01:48
notify_ded_bot
Через ошибку ты можешь выполнить скрипт, ошибки бывают у всех.
Тут вон приходил чел в каким то зашифрованным астериск с freepbx. Мне понадобилось час что бы найти как в этой старой версии freepbx имея доступ к веб интерфейсу выполнить код. Помоему через скрипт записи получилось.

Ну ошибки ошибкам рознь. Надо тебя пригласить провести аудит. Чтобы ты и на моей системе такое попробовал

Cообщение от   Telegram-канал spiridonov_dv

Добавлено: 20 авг 2025, 01:49
notify_ded_bot
Ну ошибки ошибкам рознь. Надо тебя пригласить провести аудит. Чтобы ты и на моей системе такое попробовал

Не буду, потом ты придёшь у меня искать, а у меня есть косяки не закрытые =)

Cообщение от   Telegram-канал fish9370

Добавлено: 20 авг 2025, 01:49
notify_ded_bot
Мы сейчас сраниваем unixsocket и 127.0.0.1. Поясни о каком конфиге речь?

о конфиге фрипбх, там где он инициализируется. За счет ошибки можно выполнить скрипт от имени www, а это значит тебе этот конфиг становится доступным
Часовой пояс: UTC+03:00
Страница 1499 из 1516

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB