- 1
- 2
- 3
- 4
- 5
- 6
- 7
> Наша фирма разрабатывает серьезный софт на CL, Scheme и
некоторых других языках. Но в последнее время в нашей продукции
часто стали находить эксплоиты (что-бы не пугать наших клиентов -
подробнее не скажу). Нам для LISP-подобных языков необходима
DEP (Data Execution Prevention). Есть ли подобные наработки в этой области?
Пока ничего побобного для языков этого семейства мы не находили и очень
расстроены сложившимися обстоятельствами.
HaskellGovno 27.08.2012 22:43 # −4
moderator 28.08.2012 17:03 # +3
zim 27.08.2012 22:57 # +1
bormand 28.08.2012 04:13 # +1
LispGovno 28.08.2012 09:11 # −2
govnomonad 28.08.2012 04:27 # +7
bormand 28.08.2012 07:07 # +3
Abbath 28.08.2012 20:47 # +3
bormand 28.08.2012 07:23 # +3
Хм, так в их продукции стали находить эксплойты, а не уязвимости... Ну да, тут бы я на месте клиентов послал их куда подальше. Нашли чего в программы встраивать.
LispGovno 28.08.2012 17:00 # −2
bormand 28.08.2012 17:05 # +1
guest 28.08.2012 13:27 # +3
guest 28.08.2012 13:29 # 0
http://govnokod.ru/11658
bormand 28.08.2012 13:33 # +1
P.S. Еще в лиспе была какая-то уязвимость связанная с функцией (read), но я ее если честно уже не помню.
bormand 28.08.2012 13:37 # +1
http://ideone.com/9GMbL
guest 28.08.2012 15:09 # +1
Чтобы просто считать пользовательский ввод есть
read-sequence http://ideone.com/PfLXi
и read-line http://ideone.com/sKOHT
bormand 28.08.2012 16:33 # +3
В общем то да. Оно даже документированное.
Но, будучи использованным в серьезном софте, это нормальное поведение волшебным образом превращается в уязвимость.
LispGovno 28.08.2012 16:59 # −4
bormand 28.08.2012 17:02 # +1
Вероятно в серьезном софте данный код используется как скриптовый двиг для расширения функциональности.
LispGovno 28.08.2012 17:06 # 0
bormand 28.08.2012 17:12 # +1
guest 28.08.2012 15:19 # 0
Что это означает? Почему это вообще работает?
guest 28.08.2012 15:20 # 0
bormand 28.08.2012 16:29 # +1
guest 28.08.2012 15:29 # +2
Sharpsign-Dot (#.) говорит, что сразу после чтения (read) формы произойдет ее вычисление (eval) и его результат будет возвращен.
В данном случае вычисление заключается в выводе "Oh, exploitable!" на стандартный вывод и построении списка (+ 2 2)
roman-kashitsyn 30.08.2012 09:09 # +2
LispGovno 28.08.2012 17:01 # +1
>побобного
Lure Of Chaos 28.08.2012 17:36 # +6
bormand 28.08.2012 17:45 # +4
Vindicar 29.08.2012 10:35 # 0
bormand 29.08.2012 12:14 # −1
rat4 29.08.2012 12:21 # 0
Vasiliy 29.08.2012 13:15 # −2
3.14159265 29.08.2012 18:56 # 0
А минусуют-то в основном очевидную тупость и посты гумна.
Что святая модерация с людьми -то делает?
bormand 29.08.2012 18:59 # −1
Какой багор )))
LispGovno 29.08.2012 23:43 # +1
LispGovno 29.08.2012 19:09 # 0
LispGovno 29.08.2012 19:12 # 0
На самом деле никто не знает кто из нас модератор, но всем доподленно известно, что это не гумно. Сразу станет ясна правильная тактика, чтобы втереться в доверие модератору.
3.14159265 29.08.2012 19:15 # +2
Спасибо кеп. Понятно что модератор - это вам не гумно собачье.
Хотя почему-то тебя еще ни разу не банили.
LispGovno 29.08.2012 19:21 # −1
> Хотя почему-то тебя еще ни разу не банили.
Очень хорошая догадка (:
bormand 29.08.2012 19:26 # +2
Агата Кристи. "10 негритят".
LispGovno 29.08.2012 23:41 # +3
bormand 30.08.2012 08:28 # +2
moderator 12.09.2012 14:53 # −2
Ладно. Чтобы вы не терзались догадками открою страшную тайну.
Только никому не рассказывайте:
Модератор - это Я!
3.14159265 12.09.2012 15:06 # +2
Lure Of Chaos 12.09.2012 17:36 # +2
LispGovno 13.09.2012 00:01 # +2
moderator 13.09.2012 20:22 # −6
Кара моя будет страшной.
LispGovno 13.09.2012 20:55 # +4
Даю слово модератора.
moderator 14.09.2012 15:05 # +3
Модератору зеленый цвет не к лицу.