Добро пожаловать на сайт Александра

Делюсь опытом работы и пониманием в ИТ технологиях. Основные тематики сайта MS SQL, Docker, Powershell, безопасность.

Страницы сайта

24 Ноя

Creatio как закрыть уязвимость CVE-2024-25461 PoC

Всем доброго времени суток, у Creatio есть ряд проблем с безопасностью, от части некоторые можно прикрыть, применяя лучшие практики по безопасности смягчая или полностью утренняя дальнейшее проникновение. Вот одна неприятная дыра, которую мы можем закрыть с помощью приведенных ниже настроек.
Вот эту уязвимость Creatio будем закрывать https://nvd.nist.gov/vuln/detail/CVE-2024-25461

Узнав об этой уязвимости, решил ее повторить, и это получилось выкладывать PoC (Proof of concept) в целях уменьшения воздействия публиковать ее не буду.
Давайте созреточимся на том, как ее закрыть
Общие меры — не хранить ни в каких файлах пароли в открытом виде. Не запускать Web от локального админа.
Полная блокировка через Url Rewrite

Альетрантивные варианты

  • менять код приложения
  • применять WAF  например как  ModSecurity, где в правилах включена блокировка Path Traversal Attack

Если вы хотите усилить безопасность Creatio или провести аудит системы  обращайтесь с радостью помогу.

03 Янв

Docker desktop clean disk space

Чтобы очистить место в Docker Desktop
Запустим очистку внутри

После сожмем файл

В итоге у меня освободилось 46 гигов на диске. Занимаемым Docker  Desktop

 

15 Окт

Zabbix преобразовать время из даты в миллисекунды

В Zabbix чтобы преобразовать время из формата «00:00:00.0103188» в миллисекунды
можно воспользоваться в Preprocessing  JavaScript
return new Date(«1970-01-01T» + value) — new Date(«1970-01-01T00:00:00.0000000»);
на выходе получим 010 мс

Это нужно было для мониторинга за внутренностью контейнера где данные передавались в таком формате