@DC7499

Страница 1472 из 1477

vgb

09.10.2018
17:10:17

Добрый вечер, кто может подсказать: Есть телеграм-бот, бежит на debian сервере. К примеру в боте есть метод, который позволяет пользователям загружать zip файлы (т.е. бот распаковывает архив на сервере) Вопрос в следующем: Может ли какой-либо хитрый пользователь вшить в архив зверька, что бы получить доступ к машине или файлам на сервере. Или стоит добавить скрипт который шлет все архивы на проверку vt?

Corsars

09.10.2018
17:12:53

Смотря как распаковываешь :-)

vgb

09.10.2018
17:13:23

ну unzip-ом к примеру

Black

09.10.2018
17:13:29

А если файл в архиве криптованый?)

Google

Dmitriy A.

09.10.2018
17:14:48

ты же просто распаковываешь по сути без запуска файлов

$p33d_$n@i1

09.10.2018
17:17:01

Добрый вечер, кто может подсказать: Есть телеграм-бот, бежит на debian сервере. К примеру в боте есть метод, который позволяет пользователям загружать zip файлы (т.е. бот распаковывает архив на сервере) Вопрос в следующем: Может ли какой-либо хитрый пользователь вшить в архив зверька, что бы получить доступ к машине или файлам на сервере. Или стоит добавить скрипт который шлет все архивы на проверку vt?

Была уязвимость вроде, если в архив положить ссылку

Добрый вечер, кто может подсказать: Есть телеграм-бот, бежит на debian сервере. К примеру в боте есть метод, который позволяет пользователям загружать zip файлы (т.е. бот распаковывает архив на сервере) Вопрос в следующем: Может ли какой-либо хитрый пользователь вшить в архив зверька, что бы получить доступ к машине или файлам на сервере. Или стоит добавить скрипт который шлет все архивы на проверку vt?

https://m.habr.com/post/245159/

vgb

09.10.2018
17:20:19

благодарю за мысли и наводки

т.е. если просто распаковывать архив, но не запускать содержимое на сервере, риск сводится к минимуму. Переформулирую: на сколько по 10 бальной шкале трудно получить доступ к машине с помощью отправки архива?

$p33d_$n@i1

09.10.2018
17:22:27

Ну там проблема была в том, что софт читал/парсил файл и отдавал обратно пользователю содержимое. Если в архиве ссылка, то будет читать содержимое по ссылке. Смотря как ваш скрипт будет отдавать файлы

vgb

09.10.2018
17:27:55

интересуюсь с целью защиты кода от кражи. если к примеру сделать 2 сервера: 1 - хранится и обрабатывается код бота 2 - используется как хранилище для архивов, т.е. зип файлы лежат отдельно от кода. когда пользователь запрашивает файл, бот коннектится к серверу №2 оттуда тянет файл и возвращает пользователю, это будет более-менее безопасное решение?

Dmitriy A.

09.10.2018
17:29:27

https://m.habr.com/post/245159/

хм, интересно, не читал про это

Marbolo

09.10.2018
17:56:28

т.е. если просто распаковывать архив, но не запускать содержимое на сервере, риск сводится к минимуму. Переформулирую: на сколько по 10 бальной шкале трудно получить доступ к машине с помощью отправки архива?

Зип бомб не боишься?

Random

09.10.2018
17:57:04

А как на нее проверить?

Corsars

09.10.2018
18:02:34

В jail :-)

Marbolo

09.10.2018
18:03:08

А как на нее проверить?

Ну, можно не заморачиваться, и с ключами -j -d анзипать. А можно и заморочиться с проверкой в тестовой директории

vgb

09.10.2018
18:13:09

благодарю за информацию

Google

vgb

09.10.2018
18:15:27

Ну, можно не заморачиваться, и с ключами -j -d анзипать. А можно и заморочиться с проверкой в тестовой директории

типа скрипта распаковки - распокавать файл - если размер директории превышает х: остановить распаковку?

Novi

09.10.2018
19:36:08

типа скрипта распаковки - распокавать файл - если размер директории превышает х: остановить распаковку?

- zip умеет стримать данные без декомпресии в отличии 7z как пример, но спасет ли это от "zipbomb" - надо посмотреть. - ну и телеграм бота как писали в выше лучше обернуть в jail / container

Marbolo

09.10.2018
21:34:03

https://stackoverflow.com/questions/13622706/how-to-protect-myself-from-a-gzip-or-bzip2-bomb

http://qaru.site/questions/2731144/how-to-check-for-an-exploding-zip-file-in-bash

эти решения выглядят правдоподобно

но нужно тестить

DEFCON

10.10.2018
09:29:31

Пятнадцатая встреча DC7499 запланирована на 10 и 11 ноября. 10 числа DEFCON Moscow расположится в Конгресс центре МТУСИ с основным треком (Main Track) в большом зале на 30-40 минут и залом поменьше обозначенным как "давай сделаем это по-быстрому" (Fast Track) на 15-20 минут. 11 числа двигаемся в сторону @rndmbar, и с полудня продолжаем в формате "Villages" и главной сценой клуба с докладами на 20-30 минут. Под занавес всего этого безудержного веселья потанцуем под искреннюю электронную музыку. Хочешь выступить? Отправляй заявку на электропочту cfp@defcon.su Stay tuned!

Alex Фэils?︙

10.10.2018
09:29:54

ура, снова у нас в инсте дефкон

Keddad

10.10.2018
11:12:48

Товарищи, меня тут неожиданно отпрпавляют на конкурс от любимой гимназии. Как можно выучить основы настройки AD? Нужно что то вроде небольшого мануала

Corsars

10.10.2018
11:17:12

Ржу

Старые книги по AD NT хороши

2000 годов?

dumbmode