Y
Эээ, а причем тут gb?
Size: a a a
2020 December 01
Y
Gc ага
1
Много ты знаешь языков с unmanaged memory кроме си, асма и плюсов?
К чему это? Разговор о переполнения буфера на сервере. К чему тут асм или плюсы?
Y
Ну уж точно не gc :)
ПП
Давно.
Y
Я хоть все равно не понимаю как связан gc и переполнение буфера
ПП
Эксперты из индустрии вещают?
Y
К чему это? Разговор о переполнения буфера на сервере. К чему тут асм или плюсы?
Что переполнение буффера может случится далеко не во всех языках. В основном это три вышеупомянутых, но асм можно тоже выкинуть
Y
Согласен, не совсем корректно. языки с прямым доступом к памяти - так ок?
1
Что переполнение буффера может случится далеко не во всех языках. В основном это три вышеупомянутых, но асм можно тоже выкинуть
Мы о разных вещах говорим
https://owasp.org/www-community/vulnerabilities/Buffer_Overflow
https://owasp.org/www-community/vulnerabilities/Buffer_Overflow
1
Что переполнение буффера может случится далеко не во всех языках. В основном это три вышеупомянутых, но асм можно тоже выкинуть
MM
Тут например оно случилось потому что php написан на C, в котором может быть buffer overflow.
MM
В rust нету gc
ES
собственно по этой же ссылке:
Languages: C, C++, Fortran, Assembly
I
Представьте, что вы обнаружили возможность чтения любого файла на сервере.
Анонимный опрос
Проголосовало: 132᠌
Представьте, что вы обнаружили возможность чтения любого файла на сервере.
Анонимный опрос
Проголосовало: 132Можно policy поглядеть, иногда пишут - сдавайте критикал баги сразу или типа того, а если нет, то почему бы и не посмотреть что-то кроме /etc/passwd, главное не увлечься)
RS
Если бб то первое, если пентест второе.
I
в первом случае гарантированно ничего не нарушаешь.
во втором случае рискуешь (мало ли как расценят это по ту сторону), зато "инвестируешь" в поиск дальнейших багов
во втором случае рискуешь (мало ли как расценят это по ту сторону), зато "инвестируешь" в поиск дальнейших багов
M💉
Брал бы второе на бб
У некоторых программ есть баунти стэкинг - платят не за самый жесткий баг, а за все баги что найдешь
Плюс чтения сорса может помочь для рце
Но на больших программах (где просят айпишник и смотрят логи) такое делать может быть опасно
Хотя у меня был кейс, когда сорсы с lfi помогли найти бакет всех хелм чартов организации на 3гб после полного дампа и триажер даже слова не сказал
У некоторых программ есть баунти стэкинг - платят не за самый жесткий баг, а за все баги что найдешь
Плюс чтения сорса может помочь для рце
Но на больших программах (где просят айпишник и смотрят логи) такое делать может быть опасно
Хотя у меня был кейс, когда сорсы с lfi помогли найти бакет всех хелм чартов организации на 3гб после полного дампа и триажер даже слова не сказал