Я поломав ЛОР

1

1

Я всего лишь хотел посмотреть, за что забанили метапрога, а оно сломалося: ~~https://www.linux.org.ru/forum/development/16803006/1~~

PreparedStatementCallback; SQL [SELECT * FROM (SELECT DISTINCT ON(id) * FROM (SELECT t.userid as author, t.id, lastmod, t.stat1 AS stat1, g.id AS gid, g.title AS gtitle, t.title AS title, comments.id as cid, comments.userid AS last_comment_by, t.resolved as resolved,section,urlname,comments.postdate as comment_postdate, sections.moderate as smod, t.moderate, 
...

К сожалению, произошла исключительная ситуация при генерации страницы.

Произошла непредвиденная ошибка. Администраторы получили об этом сигнал.

Ссылка

←	Возможность отправлять приваты

А почему не снижется скор за лайки удаленных сообщений?

→

Администраторы получили об этом сигнал, не сцы. Но зато теперь каждый, зашедший в эту тему и прошедший по ссылке, сможет им отправить ещё этих сладких сингалов, да выпить чаю.

~~cocucka~~ ★★★★☆
(09.06.23 10:18:28 MSK)
Последнее исправление: cocucka 09.06.23 10:18:52 MSK (всего исправлений: 1)

Ответ на: комментарий от cocucka 09.06.23 10:18:28 MSK

Администраторы получили об этом сигнал, не сцы

Мы в своих проектах так обычно пишем чтобы пользователь не паниковал. Внутри всё идет в /dev/null

PPP328 ★★★★★
(09.06.23 10:20:31 MSK) автор топика

Метапрог умер, но дело его живее всех живых!

burato ★★★★★
(09.06.23 10:22:37 MSK)

Ссылка

Ответ на: комментарий от PPP328 09.06.23 10:20:31 MSK

Не, тут реально почта приходит, вопрос только в том, читает ли её макском

~~cocucka~~ ★★★★☆
(09.06.23 10:23:08 MSK)

Ссылка

А нахрена ошибки вываливать на страницу вместо того, чтобы писать в лог?

Psilocybe ★★★★
(09.06.23 10:26:14 MSK)

Ответ на: комментарий от Psilocybe 09.06.23 10:26:14 MSK

Чтобы ты смог найти её и починить, очевидно же.

~~cocucka~~ ★★★★☆
(09.06.23 10:27:24 MSK)

Ответ на: комментарий от cocucka 09.06.23 10:27:24 MSK

То есть в логе её не найти никак. Ясно, понятно.

Psilocybe ★★★★
(09.06.23 10:28:10 MSK)

Могу ошибаться, но он вроде самозабанился

saibogo ★★★★
(09.06.23 10:30:54 MSK)

Ответ на: комментарий от Psilocybe 09.06.23 10:28:10 MSK

У тебя нет доступа к логам, дурачок :) А вот в исходники залезть и починить ты вполне можешь, информации достаточно.

~~cocucka~~ ★★★★☆
(09.06.23 10:34:33 MSK)
Последнее исправление: cocucka 09.06.23 10:35:03 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от saibogo 09.06.23 10:30:54 MSK

Заморожен

MOPKOBKA ★★★
(09.06.23 12:24:45 MSK)

Ссылка

За тред с названием «Путин х...», вернется после СВО, когда все уладится.

MOPKOBKA ★★★
(09.06.23 12:25:46 MSK)

Ссылка

Теперь, в рамках программы Баунти — райское наслаждение, тебе полагается вознаграждение в миллион скора.

urxvt ★★★★★
(09.06.23 13:30:05 MSK)

Ссылка

Ответ на: комментарий от Psilocybe 09.06.23 10:26:14 MSK

Потому что LOR OpenSource.

KivApple ★★★★★
(09.06.23 13:32:34 MSK)

Ссылка

Урл битый, после номера темы слэш лишний и цифра какая-то.

А, оказывается можно фильтровать темы по дате

https://www.linux.org.ru/forum/linux-org-ru/2023/1

(если без code то ссылка превращается в что-то другое).

А у тебя урл на темы из раздела development за январь 16803006 года. Считаю что это баг в базе данных что запрос падает. Дата вполне корректная.

firkax ★★★★★
(09.06.23 14:48:40 MSK)
Последнее исправление: firkax 09.06.23 14:52:26 MSK (всего исправлений: 5)

Ссылка

Кривая ссылка, получился запрос на архив форума за январь 16803006 г.

maxcom ★★★★★
(09.06.23 14:54:00 MSK)

Ответ на: комментарий от maxcom 09.06.23 14:54:00 MSK

Будет как-то чиниться? Несмотря на то что ЛОР опершкворц - это плохо, что полное содержимое SQL вываливается наружу, там можно будет очень легко и инъекцию подобрать

PPP328 ★★★★★
(09.06.23 16:01:16 MSK) автор топика

По-моему это фича,а не баг.

Dog ★★★
(10.06.23 07:00:41 MSK)

Ссылка

Я поломав ЛОР

поломав

Поломахъ? Поломавѣ это, вроде, аорист двойственного числа.

t184256 ★★★★★
(10.06.23 11:28:36 MSK)

Ответ на: комментарий от PPP328 09.06.23 16:01:16 MSK

что полное содержимое SQL вываливается наружу, там можно будет очень легко и инъекцию подобрать

А прочитать исходники и оттуда «подобрать инъекцию» не проще будет?

theNamelessOne ★★★★★
(10.06.23 11:53:05 MSK)

Ответ на: комментарий от theNamelessOne 10.06.23 11:53:05 MSK

«Подбери» мне инъекцию к SQL из ОП, лол.

theNamelessOne ★★★★★
(10.06.23 11:55:32 MSK)

Ответ на: комментарий от theNamelessOne 10.06.23 11:55:32 MSK

Я похож на мамкиного какера?

и оттуда «подобрать инъекцию» не проще будет?

Это другой подход. В исходниках не видно итогового запроса. А тут его выбрасывают на страницу.

PPP328 ★★★★★
(10.06.23 12:45:01 MSK) автор топика

Ответ на: комментарий от PPP328 10.06.23 12:45:01 MSK

Что мешает запустить исходники на своей машине и тестировать не только этот запрос, но и остальные, чтобы добыть больше инфы для инъекций?

mydibyje ★★★
(10.06.23 13:36:18 MSK)

Ответ на: комментарий от mydibyje 10.06.23 13:36:18 MSK

То что это требует мозгов, а у скрипт-киддисов их нет.

PPP328 ★★★★★
(10.06.23 14:00:58 MSK) автор топика

Ссылка

Ответ на: комментарий от PPP328 10.06.23 12:45:01 MSK

Я похож на мамкиного какера?

Ты похож на человека, который не очень разбирается в теме.

theNamelessOne ★★★★★
(10.06.23 19:20:18 MSK)

Ответ на: комментарий от theNamelessOne 10.06.23 19:20:18 MSK

Думайте что хотите, поднять копию LORа не задача 5 минут. Плюс его надо забить данными, настроить доступы к базам. Это не задача для школьника.

PPP328 ★★★★★
(10.06.23 19:51:34 MSK) автор топика

Ответ на: комментарий от PPP328 10.06.23 19:51:34 MSK

Я не про поднятие ЛОРа, я про

полное содержимое SQL вываливается наружу, там можно будет очень легко и инъекцию подобрать

theNamelessOne ★★★★★
(10.06.23 20:51:14 MSK)

Ответ на: комментарий от theNamelessOne 10.06.23 20:51:14 MSK

Мой посыл исключительно в том, что в результате мы имеем уже скомпилированный SQL, который можно динамически отлаживать (подставляя разные значения и нажимая одну кнопку), а можно скормить ссылку какой-нибудь херне что сейчас скипткиддисы используют, да даже банальному курлу, что будет в цикле перебирать разные вариации конца ссыли.

Просто скачав исходники вы не увидите, куда и как подставляются те или иные куски ссылки.

PPP328 ★★★★★
(10.06.23 23:18:14 MSK) автор топика

Ответ на: комментарий от maxcom 09.06.23 14:54:00 MSK

Кривая ссылка, получился запрос на архив форума за январь 16803006 г.

Опубликовал бы уже архивы будущего, интересно ведь почитать.

Tigger ★★★★★
(10.06.23 23:25:54 MSK)

Ответ на: комментарий от PPP328 10.06.23 23:18:14 MSK

Мой посыл исключительно в том, что в результате мы имеем уже скомпилированный SQL, который можно динамически отлаживать (подставляя разные значения и нажимая одну кнопку),а можно скормить ссылку какой-нибудь херне что сейчас скипткиддисы используют, да даже банальному курлу, что будет в цикле перебирать разные вариации конца ссыли.

Ну и что? SQL-инъекции-то при чём тут?

theNamelessOne ★★★★★
(10.06.23 23:44:42 MSK)

Ответ на: комментарий от theNamelessOne 10.06.23 23:44:42 MSK

Мы друг друга не понимаем.

PPP328 ★★★★★
(11.06.23 08:18:42 MSK) автор топика

Ссылка

Ответ на: комментарий от Tigger 10.06.23 23:25:54 MSK

Да ничего там нового. Физики будущего выбирают Slackware 16, которая вот только вышла, веб почти не тормозит, а за пределами GNOME на wayland всё еще нельзя записывать экран.

PPP328 ★★★★★
(11.06.23 08:21:37 MSK) автор топика