Не пытайся. Это потенциальная уязвимость, если у тебя в компании есть служба безопасности — за такое тебя очень сильно дрюкнут. А если злобная СБ — еще и штрафанут.
На минусы не смотри — это друзяшки автора, заминусовали как могли. Они не очень умные, как бы грустно это не звучало((
Плюс все попадающие в XML данные по-нормальному должны экранироваться, что так же исключает любые XXE.
Должны, но в данном случае никакого экранирования не наблюдается.
Но не в этом дело. Изначальный комментарий был о том, что очередная обнаруженная уязвимость в подсистеме xml, запросто скомпроментирует все приложение. Такие уязвимости существуют и гарантии, что нашли все из них — нет. Т.е. практически не получив выгоды, была добавлена дополнительная точка отказа.
Не думаю, что правилами хабра допускается непосредственное описание взлома.
В любом случае речь шла о том, что человек добавил лишний вектор атаки на приложение не получив существенной пользы при этом. Так делать нельзя, но как ни странно, на хабре есть люди считающие иначе…
Как и любую другую xml дыру — для удаленного выполнения произвольного кода. И будет очень хорошо если привилегий хватит только на то, чтобы утащить данные скомпроментированного приложения.
Вот так люди извращаются, а потом в XML либе микрософта находят дыру (не первый раз и даже не второй) и стройное приложение превращается в дырявую мечту скрипт-киддиса…
Вобще это даже забавно когда пытаются сравнить VS и VS Code…
А комментарии в стиле — «я перешел с VS на Code и мне норм», ничего кроме кривой ухмылки не вызывают. Только упоротый мазохист пойдет на это, ну или человек который только думает что он разрабатывает на дотнете.
При этом, как подчеркнули в Microsoft, участники программы, которые попытаются получить доступ к конфиденциальным данным пользователей Xbox, будут автоматически дисквалифицированы.
Не совсем понятно, а если у них дыра через которую утекают приватные данные, то ее отправлять нельзя, получишь бан? Так что-ли?
Это не количество в качество. Это скорее преодоление эффекта плато, сугубо индивидуальная вещь. Кому то нужны годы постижения Кнута, а кому то Керриган, Ричи и половина светлого помогают продвинутся дальше.
Нет никаких точек расцвета. Просто если кто-то долго и упорно вколачивает себе в голову знания, то рано или поздно они упорядочиваются в систему. И человек просыпается утром и обнаруживает, что задачи над которыми еще вчера он бы потел и потом утирался, сегодня решаются на интитивном уровне.
Это именно так работает. Все через это проходят, не все понимают.
Это вы так сейчас пошутили? Во первых какой смысл тогда в Эльбрусе? Во вторых даже включив СБК все из коробки не заведется, придется запасаться сушеными мухоморами и горохом, для общения с шаманами МЦСТ. Это тот еще квест, сопровождаемый подписыванием 100500 разных NDA и недельными простоями.
Хотя, имхо, если вы пенсионный фонд, то вас обслужат по первому разряду.
Эльбрус, мягко говоря специфическая ОС. Без шамана, бубна и отвара мухоморов там ничего завести невозможно.
То что ребята сделали свой процессор, выше всяких похвал, но ****. Никому не нужна железка без софта. И вместо того чтобы портировать тот же классический дебиан 8, 9, 10 (который, на секундочку, не содержит проприетарщины в принципе), собирать работающий через, простите, жопу дистр, на фоне которого болгенОС верх стабильности, работоспособности и имеет нескучные обои…
Или они возросшую нагрузку таки с DDoS перепутали?
На минусы не смотри — это друзяшки автора, заминусовали как могли. Они не очень умные, как бы грустно это не звучало((
Должны, но в данном случае никакого экранирования не наблюдается.
Но не в этом дело. Изначальный комментарий был о том, что очередная обнаруженная уязвимость в подсистеме xml, запросто скомпроментирует все приложение. Такие уязвимости существуют и гарантии, что нашли все из них — нет. Т.е. практически не получив выгоды, была добавлена дополнительная точка отказа.
В любом случае речь шла о том, что человек добавил лишний вектор атаки на приложение не получив существенной пользы при этом. Так делать нельзя, но как ни странно, на хабре есть люди считающие иначе…
Большая часть XXE-инъекций небольшая и вполне может поместится в 256 символов, которые, например, выделили для имени пользователя.
Не там экономия, ох не там.
А комментарии в стиле — «я перешел с VS на Code и мне норм», ничего кроме кривой ухмылки не вызывают. Только упоротый мазохист пойдет на это, ну или человек который только думает что он разрабатывает на дотнете.
Не совсем понятно, а если у них дыра через которую утекают приватные данные, то ее отправлять нельзя, получишь бан? Так что-ли?
Это именно так работает. Все через это проходят, не все понимают.
Ахахаха, даже близко не угадали. Ну разве что чуть-чуть, с Java, но это не кит — это махровый энтерпрайзный монстр пожирающий души неофитов.
Основы нужно искать в другом месте — хипстерские и трендовые вещи к ним не относятся. Увы.
Это рекомедации для того, кто хочет стать программистом. Путь гуру, скажем так, несколько сложнее…
Хотя, имхо, если вы пенсионный фонд, то вас обслужат по первому разряду.
То что ребята сделали свой процессор, выше всяких похвал, но ****. Никому не нужна железка без софта. И вместо того чтобы портировать тот же классический дебиан 8, 9, 10 (который, на секундочку, не содержит проприетарщины в принципе), собирать работающий через, простите, жопу дистр, на фоне которого болгенОС верх стабильности, работоспособности и имеет нескучные обои…
Ну вы серьезно?