The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимости в устройствах NETGEAR, позволяющие получить доступ без аутентификации"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в устройствах NETGEAR, позволяющие получить доступ без аутентификации"  +/
Сообщение от opennews (ok), 02-Июл-21, 13:05 
В прошивке к устройствам серии NETGEAR DGN-2200v1, сочетающим функции ADSL-модема, маршрутизатора и беспроводной точки доступа, выявлены три уязвимости, позволяющие выполнить любые операции в web-интерфейсе без прохождения аутентификации...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55426

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +10 +/
Сообщение от OnTheEdgeemail (ok), 02-Июл-21, 13:05 
> Третья уязвимость позволяет извлечь пароль из дампа сохранения конфигурации, который можно получить воспользовавшись первой уязвимостью

просто прелесть, что первая, что последняя

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  –2 +/
Сообщение от Аноним (-), 02-Июл-21, 13:26 
Можно подумать что в ZyXEL-ях не так. За D-Link не скажу, но зюхелевый точно хранит пароль в открытом виде. D-Link DIR620 A и прошивка от ZyXEL.
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +1 +/
Сообщение от Аноним (18), 02-Июл-21, 14:17 
Любителям проприетарщины пламенный привет.
Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +/
Сообщение от hefenud (ok), 02-Июл-21, 17:25 
Я тебе больше скажу, так любимый россиянами Мокротик хранит пароль в обратимом виде и его можно восстановить, хотя в официальной документации они пишут, что если ты пролюбил админский пароль, то сливайте свет, тушите воду
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

44. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +/
Сообщение от Аноним (-), 02-Июл-21, 21:01 
Они же никогда не скажут, что его можно восстановить просто так!
Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +2 +/
Сообщение от hefenud (ok), 02-Июл-21, 21:08 
Ага. Просто как-то обратился чувак из гос.учреждения в Москве, я еще на родинке жил в то время, мокротик полностью настроенный и работающий, но пароль пролюбили, официальные инструкции говорят «Все сбрасывайте и перенастраивайте». Погуглил немного, скомпоновал информацию из разных источников, выяснил, что пароль хранится в обратимом виде, смог загрузить образ OpenWRT и подмонтировать раздел системы, вытащить файл и получить обратно пароль. И пофигу на официальные доки :-D
Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +/
Сообщение от Demo (??), 03-Июл-21, 12:14 
Бред.
Вернее, работало лет пять назад. В современных прошивках изменили хеш на более устойчивый к подбору.
Сейчас в случае потери админского пароля можно с помощью netinstall запустить скрипт, в котором создаётся юзер с админскими правами.
Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +1 +/
Сообщение от hefenud (ok), 03-Июл-21, 22:45 
Поменяли? Ну молодцы, чо
А вот что можно создать юзера сомневаюсь, я на днях читал плак-плак, что если пролюбил пароль, то только сброс

А по поводу, что лет пять назад, ну так я был вынужден покинуть Россию из соображений безопасности как раз пять лет назад, а это было где-то за год до того, так что все сходится

Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +/
Сообщение от Demo (??), 04-Июл-21, 11:24 
> А вот что можно создать юзера сомневаюсь

Пару месяцев пришлось именно таким образом "захачить", т. к. девайс долго был выключен и пароль от него не смогли найти за вменяемое время.

Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +/
Сообщение от hefenud (ok), 04-Июл-21, 15:46 
Ясно.
Спасибо за инфу, буду знать. Не факт что понадобится, но все равно лучше знать
Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +/
Сообщение от Анто Нимно (?), 03-Июл-21, 23:36 
Так заменить хэш на известный. Наоборот.
Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

2. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +7 +/
Сообщение от ryoken (ok), 02-Июл-21, 13:18 
Все на OpenWRT!!!
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +2 +/
Сообщение от InuYasha (??), 02-Июл-21, 13:53 
Да, давайте к нам )
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +5 +/
Сообщение от ryoken (ok), 02-Июл-21, 14:21 
> Да, давайте к нам )

Давно на нём :). Как свой первый WNDR 4300 добыл - на стоке он прожил очень недолго, может с месяц :D.

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  –1 +/
Сообщение от andy (??), 02-Июл-21, 19:09 
К кому это, к Вам?
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

61. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +/
Сообщение от Анто Нимно (?), 03-Июл-21, 23:38 
К нам, на Ве Эр Тэ.
Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  –10 +/
Сообщение от Аноним (-), 02-Июл-21, 13:24 
> серии NETGEAR DGN-2200v1, сочетающим функции ADSL-модема, маршрутизатора и беспроводной точки доступа,

ADSL ещё жив? Серьезно, в век всякой там оптики и 10G по меди кто то его юзает? Это старье небось и в приданное не дают теперь.

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +3 +/
Сообщение от Аноним (6), 02-Июл-21, 13:29 
В деревне особо выбирать не приходится либо ADSL, либо Dial-UP. Из 2 зол выбирай наименьшее, как говорится.
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  –2 +/
Сообщение от ыы (?), 02-Июл-21, 13:31 
В деревне GPON везде... вы о чем вобще?
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +1 +/
Сообщение от Аноним (6), 02-Июл-21, 13:36 
О какой деревне мы говорим? За МКАДом? У нас в Сибирской глубинке ADSL появился совсем недавно и считается здесь просто инопланетными технологиями...
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +2 +/
Сообщение от ыы (?), 02-Июл-21, 13:46 
Деревня это небольшой населенный пункт между нашим центром мира и моей дачей.. В ней постоянно пробки и чтобы их спокойно объезжать- ее обнесли МКАДом...
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +1 +/
Сообщение от Аноним (-), 02-Июл-21, 14:35 
За МКАД-ом. У Вас в Сибирской глубинке, как впрочем и любой другой глубинке, всё зависит от местных царьков. И причем не от их непонимания современных технологий. А от их непонимания как хапнув денег по плану не хапнуть ещё сверх того.
Вот тебе пример. Чел работал в Мегафоне. На чемпионат 2018 по опте проект был заложен на 3 ляма, но чел умный был, знал про взятки и прочую жлоботу. Добавил до 4 лямов. Подвес по опорам ЛЭП Ничего строить не надо. За три дня до начала чемпионата было пройдено всё, кроме одного участка. И местный царек же отгребший себе деньжат начал жадничать. Причем перепало ему чуть ли не полугодичной зарплаты нежданчик. Ему этого показалось мало. Ну чел мой знакомый позвонил заму по направлению на Рязань, тот говорит что мол вечером доложит Пу... . И сломался царек местный и дал добро на протяжку опты. Позабыв по собственные карманы с деньгами, и побоявшизь за свои мягкие ткани.
Вот так, как то.
В нете была картинка про проект РТ и темное волокно. Так вот, под госбюджет на 4 лярда там сеть на опте от Владика до Кёника. 400G. По одному волокну, а их там 96.
ЗЫ. Потом эту трассу сломали. Почему не знаю.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

35. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +/
Сообщение от user (??), 02-Июл-21, 16:10 
надо к вам перебираться. У нас последнее слово науки - это голубиная почта
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

53. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  –1 +/
Сообщение от BrainFucker (ok), 03-Июл-21, 11:03 
>  За МКАДом?

Да, говорят в Европе до сих пор очень популярен у домашних пользователей. Да и в Штатах вроде тоже.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

26. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +1 +/
Сообщение от Гость (??), 02-Июл-21, 14:51 
Этой если деревня до 5 км от крупного райцентра, и при этом далеко от трассы где нет 3.5-4G, что сейчас тоже редкость.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

50. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +/
Сообщение от Хан (?), 03-Июл-21, 03:10 
В деревне ADSL? Лол ты хоть в деревне хоть раз был или на картинках только видел?

... в деревне на крыше на палку вешают CDMA/LTE модем, хотя я видел еще как на дереве возле дома модем висел

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

7. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +/
Сообщение от Аноним (-), 02-Июл-21, 13:30 
> ADSL ещё жив? Серьезно, в век всякой там оптики

Оплатишь прокладку?
> и 10G по меди

Писал бы сразу: 100500G по меди.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

11. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +2 +/
Сообщение от Аноним (11), 02-Июл-21, 13:37 
В Европе очень много мест где есть только ADSL
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

21. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +1 +/
Сообщение от OpenEcho (?), 02-Июл-21, 14:27 
> ADSL ещё жив?

Судя по всему дите тщательно берегут от реального мира и еще не выпускали в мир с комфортной откормочной базы мегаполиса. Полетай по миру, - сильно удивишся !

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

58. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +1 +/
Сообщение от Пикапика (?), 03-Июл-21, 21:29 
2021 год, деда. В моем 50к захолустье pon/fttb
Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  –1 +/
Сообщение от anonymous (??), 02-Июл-21, 17:57 
It is still used in Europe, unfortunately :(
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

65. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +/
Сообщение от DIO (?), 05-Июл-21, 02:41 
наверное Вас сильно удивит но в Европе очень много АДСЛя
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

5. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +1 +/
Сообщение от Урри (ok), 02-Июл-21, 13:27 
/facepalm/

> В коде имеется проверка запроса по маскам типовых имён файлов и расширений, реализованная через поиск подстроки во всём URL, в том числе в параметрах к запросу.

Ититьколотить. Это кто ж им такое писал то? Бомж за миску риса??

Давненько я такого гoвнoкода не видел...

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +2 +/
Сообщение от ыы (?), 02-Июл-21, 13:35 
Специалисты заняты обсуждением Раста на опеннете.. им некогда.. Вот и набирают по объявлению чтоб код писать...
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +1 +/
Сообщение от Аноним (13), 02-Июл-21, 13:50 
А ты попробуй на сях лучше написать. Это ж тебе не spring framework где овердофига готового и структурированного. Здесь у тебя указатель на память и всё, делай что хочешь и как умеешь.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

22. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +1 +/
Сообщение от ыы (?), 02-Июл-21, 14:30 
Кстати, а вы не в курсе, а за каким лядом им вообще понадобилось писать ЭТО на сях?? им php мало?
Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +/
Сообщение от Аноньимъ (ok), 02-Июл-21, 15:47 
Железка слабая поди.
И подпадает под эмбед.

А пхп это плохой тон.
Для меня загадка почему некоторые позволяют себе пхп где-то кроме криво свёрстанного вёрдпресса.

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +1 +/
Сообщение от Аноним (27), 02-Июл-21, 14:52 
Ну так не умеешь - иди раст обсуждать. Зачем в роутеры-то крюки совать.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

32. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +2 +/
Сообщение от Аноньимъ (ok), 02-Июл-21, 15:43 
Высококлассные Си инженеры системные писали.
Это понимать нужно, не говнокод на пхп, не раст там всякий, тут мозги нужно иметь.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

34. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +/
Сообщение от Анончик (?), 02-Июл-21, 16:00 
обычно прикладуху и отдают самым зеленым писать, что бы учились. просто не досмотрели немного.
Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +4 +/
Сообщение от Аноним (42), 02-Июл-21, 18:39 
Намного О_о... Даже страшно представить что для вас "сильно недосмотрели"
Ответить | Правка | Наверх | Cообщить модератору

15. Скрыто модератором  +1 +/
Сообщение от Ананоним (?), 02-Июл-21, 13:54 
Ответить | Правка | Наверх | Cообщить модератору

37. Скрыто модератором  +/
Сообщение от Lin (??), 02-Июл-21, 16:15 
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +1 +/
Сообщение от InuYasha (??), 02-Июл-21, 13:58 
Так, погодите... Я тока проснулся. Откуда у микрософта исходники прошивки?
Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +1 +/
Сообщение от Аноним (18), 02-Июл-21, 14:16 
Текст на скрине выглядит как декомпилированнный, это не исходники.
Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +/
Сообщение от InuYasha (??), 02-Июл-21, 15:15 
> Текст на скрине выглядит как декомпилированнный, это не исходники.

Вот, не удивлюсь, если он в оригинале так и выглядит! (или хуже)

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  –1 +/
Сообщение от ryoken (ok), 02-Июл-21, 14:25 
Не исходники, почитайте статью по ссылке :). "In our research, we unpacked the router firmware and found three vulnerabilities that can be reliably exploited."

Хотя само по себе удивительно, что монстрософт делает вид, что они не говнокодеры (ну или что они чуть меньшие говнокодеры :D ).

(Не сидеть под рутом их до сих не научили что ли..?)

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

23. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +1 +/
Сообщение от ыы (?), 02-Июл-21, 14:33 
Более того, микрософт (или кто там у них постарался) только что совершил действие, которое  сам микрософт в отношении своих продуктов резко не приветствует- он декомпилировал чужой софт...
Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +/
Сообщение от ыы (?), 02-Июл-21, 14:37 
Более того, не только декомпилировал (что в морду их EULA Российское законодательство делать позволяет) но и разтрезвонил окружающим как оно там внутри устроено (а этого наше законодательство уже не позволяет).
Двойные стандарты...
Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +1 +/
Сообщение от ryoken (ok), 02-Июл-21, 15:00 
> Двойные стандарты...

Я, конечно, далёк от идеи защищать монстрософт. Но вот это вот: "To answer these questions, we performed a static analysis of the HTTPd binary, along with some dynamic analysis by running QEMU, an open-source emulator, and hooking the specialized invocations (for example, NVRAM getters and setters)" как-то не похоже на декомпиляцию. Да и определение того, что же собссно за файл и распаковка образа фирмвари делается ну очень несложными методами (лично я взял бы программы file & 7z).

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +1 +/
Сообщение от ыы (?), 02-Июл-21, 15:23 
"
Принимая это соглашение или используя программное обеспечение, вы соглашаетесь со всеми настоящими условиями, а также даете согласие на передачу определенной информации в процессе активации и использования программного обеспечения в соответствии с Заявлением о конфиденциальности корпорации Microsoft, описанным в Разделе 4. Если вы не принимаете и не выполняете настоящие условия, вы не имеете права использовать данное программное обеспечение или его функции.
"
...
эта лицензия не предоставляет вам права:

"
пытаться обойти технические ограничения в программном обеспечении;
"

"
изучать технологию программного обеспечения, декомпилировать, деассемблировать его или пытаться это сделать
"
   // ну тут скриншоты вобщем все сами за себя говорят.

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +2 +/
Сообщение от Аноним (31), 02-Июл-21, 15:33 
Нетжыр, такой нетжыр.
Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +1 +/
Сообщение от Онаним (?), 02-Июл-21, 16:14 
1 и 3 суровы. Школьники писали на полставки?
Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +1 +/
Сообщение от Аноним (40), 02-Июл-21, 17:34 
>можно отправить запрос "https://10.0.0.1/WAN_wan.htm?pic.gif"

Подумаешь, отправить дик пик. А вообще, прикольно.

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +/
Сообщение от Аноним (46), 02-Июл-21, 23:10 
> В коде имеется проверка запроса по маскам типовых имён файлов и расширений, реализованная через поиск подстроки во всём URL, в том числе в параметрах к запросу.

Была такая цитата...

Каждый раз сталкиваясь с проблемой некоторые люди, говорят: "А давайте воспользуемся регулярными выражениями". Теперь у них две проблемы.

История цитаты: http://regex.info/blog/2006-09-15/247

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +1 +/
Сообщение от Аноньимъ (ok), 03-Июл-21, 08:35 
>The notion that everything is a stream of bytes is utterly braindead.

Святой человек.
Уровень специалистов с тех времён сильно понизился.

>Каждый раз сталкиваясь с проблемой некоторые люди, говорят: "А давайте воспользуемся регулярными выражениями". Теперь у них две проблемы.

Регулярки удобный инструмент. В данном случае он не причём, ошибка в архитектуре ПО.

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +1 +/
Сообщение от Аноним (46), 03-Июл-21, 17:56 
Сами по себе регулярки вообще прекрасный и замечательный инструмент.

Просто перед тем как использовать регулярные выражения нужно ответить на 3 вопроса

1) Является ли грамматика регулярной?

Регулярные выражения применимы только для разбора языков с регулярными грамматиками (Тип 3 по иерархии Хомского). Отсюда следует, например, что нельзя писать регулярки для XML/HTML и прочих контекстно-свободных языков.

Вы можете использовать регулярные выражения и для подмножества языка с КС-грамматик (Тип 2) при том условии, что синтаксис подмножества превратился в регулярный, но на практике это бессмысленно.
Вы должны быть точно уверены что входной текст на КС-языке стал подходящим под разбор регулярным выражением. То есть есть какой-то валидатор, который уже разобрал его и проверил. Закономерный вопрос, а зачем тогда вообще регулярка, если есть нормальный способ... (см п. 2)

2) Есть ли готовый парсер/транслятор?

Написание трансляторов - математически сложная задача. Если вы считаете, что сможете в рамках своей подзадачи написать лучше, чем то что работает для разбора всей грамматики языка, то вы ошибаетесь.

Чаще всего такие проблемы подбора инструмента встречаются при работе с документами. Благо, есть стандарт DOM, описывающий объектную модель документа. Тонна стандартизированных форматов и куча готовых парсеров в самых разных языках. Написание своего формата/парсера - это еще и проблема сопровождения (см п. 3).
Этот вопрос можно перефразировать иначе. Если вы как разработчик-автор формата документа, то почему это не XML?

3) А как потом читать это регулярное выражение?

Вопрос не технический, а гуманитарный. Вы пишете код, который, возможно, останется на долго. С вами работают люди, разработчики, техническая поддержка. А люди в массе своей, чисто статистически не очень сильны в математике, в частности, в информатике (приложение математики к лингвистике).

Есть высокая вероятность того что ваши коллеги или кто-то после вас не смогут справиться с дальнейшим сопровождением кода на ваших регулярных выражениях и всё придется переписывать.

Финально. Регулярные выражения разбирают и находят совпадения. Сами по себе они не проверяют входной поток данных. Еще раз, они ищут совпадения внутри текста, но не проверяют правильность самого текста.

Вообще валидировать что бы то ни было регулярными выражениями, в общем случае плохая идея. Есть частные случаи, когда это допустимо. Например, если над потоком потенциально бесконечных входных данных стоит некая программа, которая разделила его на конечные буферы и мы считаем текст внутри этого буфера, например, строкой, то тогда при правильных ответах на п. 1-3 мы можем написать регулярное выражение, которое проверяет с учетом границ этого буфера ^$.

И это будет поиск полного совпадения с учетом границ. А что сделали разработчики NETGEAR? Стыд...

P.S. Причем даже для валидации есть исключение: валидация адреса e-mail в форме документа.
Проще отправить письмо, чем писать регулярку, которая охватывает современный стандарт.

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +/
Сообщение от Аноньимъ (ok), 03-Июл-21, 20:25 
Да, всё так.
Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +/
Сообщение от Аноним (47), 02-Июл-21, 23:39 
"Первая уязвимость вызвана тем, что в коде http-сервера жёстко прошита возможность прямого обращения к картинкам, CSS и другим вспомогательным файлам, не требующая аутентификации.
......
"Третья уязвимость позволяет извлечь пароль из дампа сохранения конфигурации, который можно получить, воспользовавшись первой уязвимостью (например, отправив запрос "http://10.0.0.1:8080/NETGEAR_DGN2200.cfg?pic.gif)". Пароль присутствует в дампе в зашифрованном виде, но для шифрования используется алгоритм DES и постоянный ключ "NtgrBak", который можно извлечь из прошивки."

К-к-к-комбо! xD

Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +/
Сообщение от Аноним (48), 02-Июл-21, 23:42 
> "Первая уязвимость вызвана тем, что в коде http-сервера жёстко прошита возможность прямого
> обращения к картинкам, CSS и другим вспомогательным файлам, не требующая аутентификации.

facepalm.jpg


Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +1 +/
Сообщение от Ананоним (?), 03-Июл-21, 00:29 
Ну что за люди эти любопытные, всё время фичи палят... Как спецлюдям вы все надоели!
Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +/
Сообщение от КО (?), 03-Июл-21, 07:10 
1. http-сервера - кто ж в здравом уме его на нем подымет
2. подобрать пароль - ну это не так себе уязвимость
3. можно получить, воспользовавшись первой уязвимостью - смотреть пункт 1
Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +/
Сообщение от Ivanremail (?), 03-Июл-21, 13:53 
Может кто-нибудь пояснить, проверка одного символа в strcmp делается парой ассемблерных команд и занимает несколько наносекунд, в то время, как задержка по сети может колебаться в пределах нескольких миллисекунд, каким образом можно увидеть задержку в функции strcmp?
Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимости в устройствах NETGEAR, позволяющие получить досту..."  +/
Сообщение от Анонимemail (64), 04-Июл-21, 23:10 
Можно подумать в tp link нет подобных уязвимостей
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру