Страница 1502 из 1515
Добавлено: 20 авг 2025, 02:06
notify_ded_bot
freepbx весьма дырявй в этом плане они не особо стараются защищать его если есть права админа в интерфейсе
я сталкивался с таким, но очень давно. И это была версия trixbox, но с тех пор много воды утекло, думал косяки поправили
Добавлено: 20 авг 2025, 02:07
notify_ded_bot
Это у той версии с шифрованием диска были какие то особенности кажется.
Добавлено: 20 авг 2025, 02:07
notify_ded_bot
Да вот сейчас просто размышляя, ты там вообще можешь свой модуль загрузить и он его выполнит
ну это будет админ, не хорошо конечно, но админ так захотел
Добавлено: 20 авг 2025, 02:09
notify_ded_bot
Ну мы говорили о том что если у тебя есть ошибка на сайте, некто её обнаруживший не сможет выйти за границы доступа отведённые сайту, даже если пароль в открытом виде.
Тоже самое с unixsocket, если пользователь под которым работает сайт только для него
Но не тоже самое для сетевого сокета и подключения по 127.0.0.1
Добавлено: 20 авг 2025, 02:11
notify_ded_bot
Ну мы говорили о том что если у тебя есть ошибка на сайте, некто её обнаруживший не сможет выйти за границы доступа отведённые сайту, даже если пароль в открытом виде.
Тоже самое с unixsocket, если пользователь под которым работает сайт только для него
Но не тоже самое для сетевого сокета и подключения по 127.0.0.1
Ошибка на сайте это плохо, так не надо. На самом деле имея возможность осуществить sql-инъекцию, можно сломать весь сервер. Получить все права и доступы. В том числе и к руту (если найдется подходящий эксплоит)
Добавлено: 20 авг 2025, 02:12
notify_ded_bot
И пароль тут не спасет
Добавлено: 20 авг 2025, 02:13
notify_ded_bot
ты видел такой хакерский тул, который выглядит как mc, с двумя панелями, и позволяет шариться по всему серверу?
Добавлено: 20 авг 2025, 02:14
notify_ded_bot
Ошибка на сайте это плохо, так не надо. На самом деле имея возможность осуществить sql-инъекцию, можно сломать весь сервер. Получить все права и доступы. В том числе и к руту (если найдется подходящий эксплоит)
Не преувеличивай.
Во первых sql иньекции проще отловить, их сейчас почти искоренили.
А во вторых он получит те же права в базе что и сайт.
Вариант получить права рута сильно сложнее через sql инъекции. Т.к. сам sql сервер не имеет прав рута.
Добавлено: 20 авг 2025, 02:14
notify_ded_bot
Не преувеличивай.
Во первых sql иньекции проще отловить, их сейчас почти искоренили.
А во вторых он получит те же права в базе что и сайт.
Вариант получить права рута сильно сложнее через sql инъекции. Т.к. сам sql сервер не имеет прав рута.
в этом и проблема. Через базу ты создаешь файлик в папке с сайтом, а в нем mc (аналог). И дальше дело техники
Добавлено: 20 авг 2025, 02:15
notify_ded_bot
Так.... Стоп, мы что-то увлеклись и засрали чат. Го в личку если есть продолжение