Классическая история про то, как одна-единственная строчка кода, основанная на слепом доверии, ведет к полной компрометации.
Исследователи из Mandiant раскопали очередную жемчужину кривого кода в платформе для файлового обмена Triofox. Уязвимость (
Вся магия в одной строчке кода и одном HTTP-заголовке. Доступ к критически важной странице начальной настройки
Получив доступ к странице первоначальной настройки, атакующий просто создавал себе новую учетную запись администратора кластера. Дальше в дело вступала вторая фича Triofox: возможность указать путь к исполняемому файлу антивируса для проверки загружаемых файлов. Атакующий, уже будучи админом, просто прописывал в это поле путь к своему .bat-скрипту, который он предварительно загрузил на сервер. После этого ему оставалось загрузить любой файл, и система с правами🎩
Ну а дальше все по классике... через PowerShell скачивался легитимный агент Zoho UEMS, с помощью которого на сервер ставились AnyDesk и переименованный Plink (
Где-то сейчас проходит очень неловкое код-ревью. И один if там точно перепишут😬
Типичный🎹 Сисадмин
Исследователи из Mandiant раскопали очередную жемчужину кривого кода в платформе для файлового обмена Triofox. Уязвимость (
CVE-2025-12480) позволяла любому желающему получить права администратора, просто отправив на сервер запрос с поддельным заголовком Host: localhost.Вся магия в одной строчке кода и одном HTTP-заголовке. Доступ к критически важной странице начальной настройки
AdminDatabase.aspx контролировался функцией CanRunCriticalPage(). Эта функция проверяла, равен ли заголовок Host в HTTP-запросе значению localhost. Если да, то все остальные проверки безопасности просто пропускались. Атакующему достаточно было подменить заголовок Host: your-server.com на Host: localhost, чтобы система посчитала его локальным и выдала полный доступ.Получив доступ к странице первоначальной настройки, атакующий просто создавал себе новую учетную запись администратора кластера. Дальше в дело вступала вторая фича Triofox: возможность указать путь к исполняемому файлу антивируса для проверки загружаемых файлов. Атакующий, уже будучи админом, просто прописывал в это поле путь к своему .bat-скрипту, который он предварительно загрузил на сервер. После этого ему оставалось загрузить любой файл, и система с правами
SYSTEM сама запускала его антивирусный скрипт Ну а дальше все по классике... через PowerShell скачивался легитимный агент Zoho UEMS, с помощью которого на сервер ставились AnyDesk и переименованный Plink (
sihosts.exe). Затем поднятие обратного SSH-туннеля для проброса RDP на машину атакующего.Где-то сейчас проходит очень неловкое код-ревью. И один if там точно перепишут
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
😱59❤9🔥3🌭2
Please open Telegram to view this post
VIEW IN TELEGRAM
3😁161🌚17😎7💯3🔥1
Webmin все еще жив и получил самое большое обновление UI за всю свою историю 👨🦳
Для всех, кто начинал свой путь в администрировании с аренды VDS за 100 рублей в месяц, есть новость из прошлого. Старый добрый Webmin, веб-панель для управления сервером, выкатил релиз 2.600 с тотальным редизайном.
Судя по скриншотам, панель действительно стала выглядеть более-менее современно, ушли градиенты и угловатость, появились дашборды с круговыми диаграммами и более чистая структура меню. Теперь это похоже не на интерфейс из Win 2000, а скорее на что-то из эпохи Win 10. Кроме визуала, по мелочи добавили и функциональности, появилась возможность включать лог медленных запросов для MySQL/MariaDB и устанавливать сразу несколько PHP-расширений за раз👨🦳
Конечно, в эпоху Ansible, Terraform и Kubernetes сама идея управлять сервером через веб-интерфейс выглядит немного сомнительно. Но для простого хостинга сайтов или для тех, кто не хочет запоминать все ключи
Типичный🥸 Сисадмин
Для всех, кто начинал свой путь в администрировании с аренды VDS за 100 рублей в месяц, есть новость из прошлого. Старый добрый Webmin, веб-панель для управления сервером, выкатил релиз 2.600 с тотальным редизайном.
Судя по скриншотам, панель действительно стала выглядеть более-менее современно, ушли градиенты и угловатость, появились дашборды с круговыми диаграммами и более чистая структура меню. Теперь это похоже не на интерфейс из Win 2000, а скорее на что-то из эпохи Win 10. Кроме визуала, по мелочи добавили и функциональности, появилась возможность включать лог медленных запросов для MySQL/MariaDB и устанавливать сразу несколько PHP-расширений за раз
Конечно, в эпоху Ansible, Terraform и Kubernetes сама идея управлять сервером через веб-интерфейс выглядит немного сомнительно. Но для простого хостинга сайтов или для тех, кто не хочет запоминать все ключи
systemctl, Webmin все еще остается боевой тузлой.Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍58❤14🫡7😭2🤔1🌚1
Ведущий разработчик x86-драйверов ушел в Qualcomm
Ханс де Годе, один из ключевых разработчиков и мейнтейнеров подсистемы
Судя по новым патчам, Ханс де Годе теперь работает в Qualcomm, в том самом, который делает ARM-процессоры Snapdragon. Для Linux на ARM-ноутбуках это отличная новость, Ханс поможет им довести свои драйверы до ума. А для мира x86/x86_64 это серьезная потеря.
Сейчас в Intel и AMD гораздо больше своих разработчиков, работающих над ядром, чем 10 лет назад. Но Ханс занимался именно теми темными углами, до которых у корпораций часто не доходят руки... поддержка устаревшего железа, реверс-инжиниринг проприетарных драйверов для странных китайских сенсоров, поддержка планшетов на Atom, от которых Intel давно открестился. Кто теперь будет разгребать все это... большой вопрос.
Типичный🥸 Сисадмин
Ханс де Годе, один из ключевых разработчиков и мейнтейнеров подсистемы
platform-drivers-x86 в ядре Linux, ушел из Red Hat. Этот человек за 17 лет работы сделал для поддержки x86-железа в Linux больше, чем многие компании. Именно благодаря ему у нас нормально работают веб-камеры, тачскрины на старых планшетах, драйверы для VirtualBox и множество других мелочей, на которые самим вендорам часто было наплевать.Судя по новым патчам, Ханс де Годе теперь работает в Qualcomm, в том самом, который делает ARM-процессоры Snapdragon. Для Linux на ARM-ноутбуках это отличная новость, Ханс поможет им довести свои драйверы до ума. А для мира x86/x86_64 это серьезная потеря.
Сейчас в Intel и AMD гораздо больше своих разработчиков, работающих над ядром, чем 10 лет назад. Но Ханс занимался именно теми темными углами, до которых у корпораций часто не доходят руки... поддержка устаревшего железа, реверс-инжиниринг проприетарных драйверов для странных китайских сенсоров, поддержка планшетов на Atom, от которых Intel давно открестился. Кто теперь будет разгребать все это... большой вопрос.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
❤54🤔26👍5🔥5😱4🙏3🌭1
Готовьтесь выпиливать OAuth от иностранных провайдеров, в т.ч. от Google
В Госдуму внесли законопроект, который напрямую касается всех, кто пилит авторизацию на сайтах. Группа депутатов предлагает ввести штрафы до 700 тысяч рублей для юрлиц за использование зарубежных сервисов для входа пользователей. Это касается не только иностранной электронной почты, но и, по сути, всех кнопок "Войти через Google", Apple ID и иже с ними.
По закону, авторизация должна будет проходить через российский номер телефона, портал Госуслуг (интеграция с ЕСИА), единую биометрическую систему (ЕБС) или иную информационную систему, владельцем которой является гражданин РФ или российское юрлицо. Здравствуйте VK ID или Яндекс ID.
Всем кто поддерживает веб-сервисы, придется перепиливать модули аутентификации.
Но это еще не все. Отдельной статьей в КоАП предлагается ввести такие же штрафы за неправильное использование рекомендательных алгоритмов. Если сайт собирает информацию о предпочтениях пользователей без их явного информирования, не публикует правила работы алгоритмов или не указывает email для юридически важных сообщений, то штраф. Повторное нарушение обойдется уже в 1.4 миллиона. По сути, любой
Типичный🥸 Сисадмин
В Госдуму внесли законопроект, который напрямую касается всех, кто пилит авторизацию на сайтах. Группа депутатов предлагает ввести штрафы до 700 тысяч рублей для юрлиц за использование зарубежных сервисов для входа пользователей. Это касается не только иностранной электронной почты, но и, по сути, всех кнопок "Войти через Google", Apple ID и иже с ними.
По закону, авторизация должна будет проходить через российский номер телефона, портал Госуслуг (интеграция с ЕСИА), единую биометрическую систему (ЕБС) или иную информационную систему, владельцем которой является гражданин РФ или российское юрлицо. Здравствуйте VK ID или Яндекс ID.
Всем кто поддерживает веб-сервисы, придется перепиливать модули аутентификации.
Но это еще не все. Отдельной статьей в КоАП предлагается ввести такие же штрафы за неправильное использование рекомендательных алгоритмов. Если сайт собирает информацию о предпочтениях пользователей без их явного информирования, не публикует правила работы алгоритмов или не указывает email для юридически важных сообщений, то штраф. Повторное нарушение обойдется уже в 1.4 миллиона. По сути, любой
if (user_likes_cats) { show_cat_food_ad(); } должен будет сопровождаться пачкой юридических документов и формой для обратной связи с РКН.Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
😱72🗿24👏13😁11🤯5🌭4🍌4😈4🫡3💔2🌚1
Типичный Сисадмин
Отличная новость для тех трех с половиной человек, которые все еще верят в веб не на Chromium 🌚 Все, кто следит за низкоуровневой веб-разработкой, помнят проект Servo от Mozilla - попытку написать с нуля параллельный браузерный движок на Rust. Проект долгое…
Убийца Electron снова обновился. Новый браузера на Rust 👀
Не прошло и месяца с первого официального релиза
Судя по всему, команда нащупала релизный ритм. Новая версия
Тесты показывают, что движок все еще очень сырой. Простые сайты он отрисовывает, но на чем-то более сложном, вроде GitHub, верстка разъезжается, а часть элементов не работает.
Возможно, через пару лет мы получим легковесную и безопасную альтернативу для встраивания веба в приложения. А пока что можно скачать бинарники и лично убедиться, каково это в 2025 году с нуля написать браузер, который бы просто нормально работал😬
Типичный🥸 Сисадмин
Не прошло и месяца с первого официального релиза
0.0.1, как разработчики браузерного движка Servo выкатили 0.0.2. Напомню, это проект на Rust, который когда-то начинала Mozilla, а теперь поддерживает Linux Foundation.Судя по всему, команда нащупала релизный ритм. Новая версия
0.0.2 - слепок ночной сборки с дополнительным ручным тестированием. Никаких сущетвенных изменений в ней нет, это пока больше похоже на демонстрацию непрерывной работы и исправления багов. Вместе с движком поставляется и servoshell (простой браузер, на котором всё можно пощупать).Тесты показывают, что движок все еще очень сырой. Простые сайты он отрисовывает, но на чем-то более сложном, вроде GitHub, верстка разъезжается, а часть элементов не работает.
Возможно, через пару лет мы получим легковесную и безопасную альтернативу для встраивания веба в приложения. А пока что можно скачать бинарники и лично убедиться, каково это в 2025 году с нуля написать браузер, который бы просто нормально работал
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
❤47👍14🗿2🔥1
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
😁106🔥61👍20❤11