П
/stat@combot
Size: a a a
2021 May 18
C
Total messages: 95915
IO
Господа, не уверен, что открою кому-то глаза, но вдруг.
Вот вам вектор атаки на такого типа конфигурацию
А теперь мы звоним не просто на номер
Результат не самый очевидный с первого взгляда )
Вот вам вектор атаки на такого типа конфигурацию
[main_users]Предположим,
exten => _X.,1,GoTo(check_auth,${EXTEN},1)
....
[check_auth]
exten => _X.,1,GoSub(supercheck)
same => 2,GoTo(dial_next,${EXTEN},1)
supercheck вешает звонок в случае неавторизованного направления.А теперь мы звоним не просто на номер
1234567 , а на номер 1234567,2. Результат не самый очевидный с первого взгляда )
EK
а _X. воспримет запятую?
EK
Х же 0-9
TZ
. - Любой символ
TZ
Но вопрос там был видимо из-за GoSub именно
IO
На самом деле все просто.
В варианте
А при
В варианте
1234567 строка exten => _X.,1,GoTo(check_auth,${EXTEN},1) разворачивается в Goto("PJSIP/anonymous-00000579", "check_auth,123456,1")А при
1234567,2 вGoto("PJSIP/anonymous-00000579", "check_auth,123456,2,1")EK
ага. это понятно. в госаб тупо подставляется запятая и доморощенный приоритет. мораль всей басни: не использовать _X. :D
IO
GoSub вообще не выполнится тут. GoToEK
тьфу. да. goto
IO
Не всегда есть возможность избежать
_X. Особенно при переменной длине номераIO
В качестве развлечения в свои системы попробуйте еще посылать номера типа
123456&PJSIP/myprovider/<call_to_cuba> )DB
1 и более символ, но если вспомнить, есть паттерн веселее
RP
Звонить на 123456,2 это бред, для этого есть функция FILTER что бы указать желамые символы и , там явно быть не должно.
IO
Я же не говорю, что это правильно. Я предлагаю системы свои проверить. Что-то мне не кажется, что все вокруг так обмазаны
FILTER )AF
Друзья, кто-нибудь сталкивался во FreePBX с таким: request URI в исходящеи вызове через SIP-trunk выглядит как extension%40trunk_name@domain, где '%40' это URL-decoded символ '@'
AD
FMC
Д
Добрый вечер! Подскажите есть ли на freepbx аналог домена как на fusionpbx
2021 May 19
YG