- 1
- 2
- 3
- 4
- 5
- 6
- 7
> Наша фирма разрабатывает серьезный софт на CL, Scheme и
некоторых других языках. Но в последнее время в нашей продукции
часто стали находить эксплоиты (что-бы не пугать наших клиентов -
подробнее не скажу). Нам для LISP-подобных языков необходима
DEP (Data Execution Prevention). Есть ли подобные наработки в этой области?
Пока ничего побобного для языков этого семейства мы не находили и очень
расстроены сложившимися обстоятельствами.
Хм, так в их продукции стали находить эксплойты, а не уязвимости... Ну да, тут бы я на месте клиентов послал их куда подальше. Нашли чего в программы встраивать.
http://govnokod.ru/11658
P.S. Еще в лиспе была какая-то уязвимость связанная с функцией (read), но я ее если честно уже не помню.
http://ideone.com/9GMbL
Чтобы просто считать пользовательский ввод есть
read-sequence http://ideone.com/PfLXi
и read-line http://ideone.com/sKOHT
В общем то да. Оно даже документированное.
Но, будучи использованным в серьезном софте, это нормальное поведение волшебным образом превращается в уязвимость.
Вероятно в серьезном софте данный код используется как скриптовый двиг для расширения функциональности.
Что это означает? Почему это вообще работает?
Sharpsign-Dot (#.) говорит, что сразу после чтения (read) формы произойдет ее вычисление (eval) и его результат будет возвращен.
В данном случае вычисление заключается в выводе "Oh, exploitable!" на стандартный вывод и построении списка (+ 2 2)
>побобного
А минусуют-то в основном очевидную тупость и посты гумна.
Что святая модерация с людьми -то делает?
Какой багор )))
На самом деле никто не знает кто из нас модератор, но всем доподленно известно, что это не гумно. Сразу станет ясна правильная тактика, чтобы втереться в доверие модератору.
Спасибо кеп. Понятно что модератор - это вам не гумно собачье.
Хотя почему-то тебя еще ни разу не банили.
> Хотя почему-то тебя еще ни разу не банили.
Очень хорошая догадка (:
Агата Кристи. "10 негритят".
Ладно. Чтобы вы не терзались догадками открою страшную тайну.
Только никому не рассказывайте:
Модератор - это Я!
Кара моя будет страшной.
Даю слово модератора.
Модератору зеленый цвет не к лицу.