アカウント名:
パスワード:
export HTTP_USER_AGENT='() { :;}; echo dangerous injection'bash -c "echo safe code"
こんな感じで書いてくれれば危険性が分かり易いのになー
なるほどUser Agent Switcher で HTTP_USER_AGENT いじってCGI で bash 呼んでるサービス閲覧するだけで撃が成立するわけだね。確かにこれは怖いわ
bashでCGI作ってる商用サイトなどない。
>bashでCGI作ってる商用サイトなどない。
どんな言語でも、シェルの力を借りるような実装をしてあれば対象になり得るようです。perlのsystem とか、phpのexecとか・・・。
「システムシェルがbashの場合」ですけども。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
例が分かり難い (スコア:5, 参考になる)
こんな感じで書いてくれれば危険性が分かり易いのになー
なるほど
User Agent Switcher で HTTP_USER_AGENT いじって
CGI で bash 呼んでるサービス閲覧するだけで撃が成立するわけだね。
確かにこれは怖いわ
uxi
Re: (スコア:0)
bashでCGI作ってる商用サイトなどない。
Re:例が分かり難い (スコア:0)
>bashでCGI作ってる商用サイトなどない。
どんな言語でも、シェルの力を借りるような実装をしてあれば対象になり得るようです。
perlのsystem とか、phpのexecとか・・・。
「システムシェルがbashの場合」ですけども。