http://xplin.livejournal.com/ ([identity profile] xplin.livejournal.com) wrote in [community profile] useless_faq2013-04-22 07:57 pm
  • Add Memory
  • Share This Entry

Хацкер

Сегодня, зайда на одну из страниц Юзлесс ФАК увидел следующее:
Can't call method "selectall_arrayref" on an undefined value at /home/lj/cgi-bin/LJ/Pay/PromotionSlot/Journal.pm line 177, line 617. at /home/lj/cgi-bin/LJ/Pay/PromotionSlot/Journal.pm line 177 LJ::Pay::PromotionSlot::Journal::find_slots('LJ::Pay::PromotionSlot::Journal', 'HASH(0x2b76732fcde0)') called at /home/lj/cgi-bin/LJ/Pay/PromotionSlot/Journal.pm line 100 LJ::Pay::PromotionSlot::Journal::find_slot('LJ::Pay::PromotionSlot::Journal', 'slot_id', 'undef', 'class', 'journals', 'user', 'LJ::User=HASH(0x2b76733593b0)', 'type', 'entry', ...) called at /home/lj/cgi-bin/LJ/Pay/PromotionSlot.pm line 335 LJ::Pay::PromotionSlot::find_slot('LJ::Pay::PromotionSlot', 'class', 'journals', 'user', 'LJ::User=HASH(0x2b76733593b0)') called at /home/lj/cgi-bin/LJ/Widget/JournalPromo.pm line 66 LJ::Widget::JournalPromo::get_page_params('LJ::Widget::JournalPromo', 'ret_opts', 'HASH(0x2b7673224730)', 'journal', 'LJ::User=HASH(0x2b76733593b0)', 'remote', 'undef') called at /home/lj/cgi-bin/LJ/Widget/JournalPromo.pm line 44 LJ::Widget::JournalPromo::render_body('LJ::Widget::JournalPromo', 'remote', 'undef', 'journal', 'LJ::User=HASH(0x2b76733593b0)', 'ret_opts', 'HASH(0x2b7673224730)') called at /home/lj/cgi-bin/LJ/Widget.pm line 136 eval {...} called at /home/lj/cgi-bin/LJ/Widget.pm line 109 LJ::Widget::render('LJ::Widget::JournalPromo', 'remote', 'undef', 'journal', 'LJ::User=HASH(0x2b76733593b0)') called at /home/lj/cgi-bin/LJ/Controller/Entry.pm line 693 LJ::Controller::Entry::process('LJ::Controller::Entry', 'ARRAY(0x2b767334bff0)') called at /home/lj/cgi-bin/Apache/LiveJournal.pm line 490 eval {...} called at /home/lj/cgi-bin/Apache/LiveJournal.pm line 488 Apache::LiveJournal::__ANON__('Apache2::RequestRec=SCALAR(0x2b7673220910)') called at -e line 0 eval {...} called

Что полезного смогут извлечь "хакеры" из приведённого текста? Мои пароли? Как поломать Интернет? Особо интересует HASH
Flat | Top-Level Comments Only

[identity profile] fox-12.livejournal.com 2013-04-23 01:05 pm (UTC)(link)
Хеш - структура данных в перле. В данном случае - это просто указатель, где эта структура в данный момент в памяти лежит.
Хакеры узнают структуру папок, используемые перловые модули, путь до них, размещение данных в памяти.
Помогут ли эти данные для дальнейшего взлома - зависит от квалификации хакера.
Явно ни пользовательские данные, ни их хеши, - тут не указаны.
Edited 2013-04-23 13:08 (UTC)

[identity profile] altblitz.livejournal.com 2013-04-23 01:27 pm (UTC)(link)
Явно ни пользовательские данные, ни их хеши, - тут не указаны.
QED, quod erat demonstrandum - что и требовалось доказать, и успокоить топик стартершу ))

и хэши в перл, имею в себе иное значение, нежели хэши md, sha, не так ли?
теперь ясно.
Edited 2013-04-23 13:28 (UTC)

[identity profile] fox-12.livejournal.com 2013-04-23 01:42 pm (UTC)(link)
Совершенно верно :)

[identity profile] jerom.livejournal.com 2013-04-23 02:14 pm (UTC)(link)
Большая часть исходников ЖЖ открыта. Если хочется узнать модули и структуру папок, можно просто почитать pm.

[identity profile] fox-12.livejournal.com 2013-04-23 03:01 pm (UTC)(link)
Данный конкретный случай рассматривается с позиций точки зрения злоумышленника, исследующего по тексту ошибки потенциальные уязвимости на данном конкретном сервере.
Важность предварительного изучения исходников движка ЖЖ для поиска и эксплуатации уязвимостей никто сомнению не подвергал.
Flat | Top-Level Comments Only