From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <naf@naf.net.ru>
X-Spam-Checker-Version: SpamAssassin 3.2.3 (2007-08-08) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-0.9 required=5.0 tests=AWL,BAYES_00 autolearn=ham
	version=3.2.3
Date: Mon, 7 Apr 2008 10:05:30 +0400
From: "Nikolay A. Fetisov" <naf@naf.net.ru>
To: community@lists.altlinux.org
Message-ID: <20080407100530.38c3a4ff@v3405.naf.net.ru>
In-Reply-To: <20080407043845.GA29364@rattler.kiev.ua>
References: <423a41ab0804050929i79314b31ga00cef8b7f41e071@mail.gmail.com>
	<m3lk3r5exl.fsf@home.vvk.pp.ru>
	<20080406143521.GA27478@rattler.kiev.ua>
	<20080406185912.4885f391@v3405.naf.net.ru>
	<20080407043845.GA29364@rattler.kiev.ua>
X-Mailer: Claws Mail 2.10.0cvs158 (GTK+ 2.10.14; x86_64-alt-linux-gnu)
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
Subject: Re: [Comm] =?koi8-r?b?YXBhY2hlIMkgcGhwLcnOy8zAxNk=?=
X-BeenThere: community@lists.altlinux.org
X-Mailman-Version: 2.1.10b3
Precedence: list
Reply-To: ALT Linux Community general discussions
	<community@lists.altlinux.org>
List-Id: ALT Linux Community general discussions <community.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/community>,
	<mailto:community-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/community>
List-Post: <mailto:community@lists.altlinux.org>
List-Help: <mailto:community-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/community>,
	<mailto:community-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Mon, 07 Apr 2008 06:06:05 -0000
Archived-At: <http://lore.altlinux.org/community/20080407100530.38c3a4ff@v3405.naf.net.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

On Mon, 7 Apr 2008 07:38:45 +0300
Michael Bochkaryov wrote:

> > > > >>>>> On 05 Апр 2008 at 22:29 "ВЛ" == Владимир Леонидов writes:
> ....
> > > > ВЛ> <?php include_once("http://".$_SERVER['SERVER_NAME']."/inc/top.php");?>
> > > ...
> > > Вот только так лучше не делать, если заведомо не знаешь, накой
> > > устраивать себе в системе большую дырень своими же руками :)
> > 
> > Это не дырень, это DoS.
> 
> Я про сам факт разрешения инклудить URL-ки.
> 
> Небольшая лажа у кого-то в коде и тебе подбрасывают инклуд, делающий
> много интересного на твоей системе... жуть :)

Это само собой. Но здесь - уже готовый DoS своими руками, без
каких-либо дополнительных действий. 

Причём, с одной стороны, код выглядит вполне нормально и чем-то даже
красиво - во всяком случае, как показывает печальный опыт,
программистов такие решения привлекают.
А с другой - и в системе всё тоже выглядит нормально: куча усердно
работающих процессов, нормальные записи в логах, отсутствие
сообщений об ошибках. Вот только работает всё дико медленно и клиенты
отваливаются по тайм-аутам.

-- 
С уважением,
Николай Фетисов