История изменений
Исправление hateyoufeel, (текущая версия) :
Вот да. Но лулзы начинаются, когда можно выполнить произвольные вычисления на сервере. Я видел доклад на CCC от какой-то девки в костюме — кстати, замечу, что девушка с большой грудью в костюме-тройке может выглядеть просто бесподобно! — которая как раз презентовала эксплоитацию Тьюринг-полных API через создание херни в памяти на сервере. Подробностей не помню, надо искать, но суть в том, что такие штуки сами по себе не то чтобы опасны, но в сочетании например с удаленной дырой позволяют гораздо проще сконструировать шеллкод или байт-код для выполнения.
Если не лень, покопайся на media.ccc.de где-то за 2017 или 2018 годы.
Исходная версия hateyoufeel, :
Вот да. Но лулзы начинаются, когда можно выполнить произвольные вычисления на сервере. Я видел доклад на CCC от какой-то девки в костюме — кстати, замечу, что девушка с большой грудью в костюме-тройке может выглядеть просто бесподобно! — которая как раз презентовала эксплоитацию Тьюринг-полных API через создание херни в памяти на сервере. Подробностей не помню, надо искать, но суть в том, что такие штуки сами по себе не то чтобы опасны, но в сочетании например с удаленной дырой позволяют гораздо проще сконструировать шеллкод или байт-код для выполнения.