forum.opennet.ru

Составление сообщения

Исходное сообщение

"ShellShock"
Отправлено PavelR, 04-Мрт-15 14:39

> из моих экспериментов получается что у меня система оказалась не уязвимой.
На мой взгляд, это показало только то, что конкретный запрос не является уязвимым.
Является ли неуязвимой _вся система_ - он не покажет.
> или я ее не так тестил?
Берем гугл в руки, ищем shellshock.
Находим примерно такую статью, одну из многих:
http://habrahabr.ru/company/mailru/blog/238475/
В ней есть в том числе и ссылка на инструмент проверки:
Универсальный скрипт для проверки на наличие уязвимостей github.com/hannob/bashcheck
Он проверяет непосредственно баш, а не цепочку apache-какие_то_скрипты_если_они_есть-bash, соответственно ....
> прежде чем биться головой об стену, надо понять эту необходимость.
Вот воспользуйтесь инструментами проверки и поймете её необходимость.
> мне, если честно не совсем до конца в нюансах ясен механизм.
Нужно больше читать.
> еще более не ясно что та система которая вроде как должна
> быть уязвима. у меня выстаивает.
Всё зависит от того, как обрабатываются запросы (каким кодом).
> не ужели ни кто с тим не сталкивался? и все только обновлялись
> и патчились???
С чем именно сталкивались/не сталкивались?
> а не совсем еще пока понимаю как апач передает выполнение в баш,
Выполнение в баш передается, если при обработке запроса каким-либо образом используются команды интерпретатора. Даже если ваши скрипты их не вызывают напрямую,
интерпретатор может быть вызван где-нибудь внутри какого-нибудь библиотечного кода.
> разскажите хоть что! а то у меня одни только нестыковки!
Ну так задавайте именно конкретные вопросы.
> и что может начудить пользователь www ...
В интернетах много чего написано, в том числе и то
1) как после получения доступа к одному пользователю поднять привилегии до root.
2) информация, доступная www может быть ценной.
3) Можно начать рассылать к примеру спам
4) можно модифицировать чуток файлов ваших сайтов, и они начнут распространять малварь / рекламу и т д
5) Еще придумать? Оно вам надо? А людям надо, они на этом деньги зарабатывают, так что не думайте "да кому я нужен".
Рекомендую пойти и почитать интернеты.
Может быть кто-то посоветует конкретное что-то, но не я.

Исходное сообщение
"ShellShock" Отправлено PavelR, 04-Мрт-15 14:39
> из моих экспериментов получается что у меня система оказалась не уязвимой. На мой взгляд, это показало только то, что конкретный запрос не является уязвимым. Является ли неуязвимой _вся система_ - он не покажет. > или я ее не так тестил? Берем гугл в руки, ищем shellshock. Находим примерно такую статью, одну из многих: http://habrahabr.ru/company/mailru/blog/238475/ В ней есть в том числе и ссылка на инструмент проверки: Универсальный скрипт для проверки на наличие уязвимостей github.com/hannob/bashcheck Он проверяет непосредственно баш, а не цепочку apache-какие_то_скрипты_если_они_есть-bash, соответственно .... > прежде чем биться головой об стену, надо понять эту необходимость. Вот воспользуйтесь инструментами проверки и поймете её необходимость. > мне, если честно не совсем до конца в нюансах ясен механизм. Нужно больше читать. > еще более не ясно что та система которая вроде как должна > быть уязвима. у меня выстаивает. Всё зависит от того, как обрабатываются запросы (каким кодом). > не ужели ни кто с тим не сталкивался? и все только обновлялись > и патчились??? С чем именно сталкивались/не сталкивались? > а не совсем еще пока понимаю как апач передает выполнение в баш, Выполнение в баш передается, если при обработке запроса каким-либо образом используются команды интерпретатора. Даже если ваши скрипты их не вызывают напрямую, интерпретатор может быть вызван где-нибудь внутри какого-нибудь библиотечного кода. > разскажите хоть что! а то у меня одни только нестыковки! Ну так задавайте именно конкретные вопросы. > и что может начудить пользователь www ... В интернетах много чего написано, в том числе и то 1) как после получения доступа к одному пользователю поднять привилегии до root. 2) информация, доступная www может быть ценной. 3) Можно начать рассылать к примеру спам 4) можно модифицировать чуток файлов ваших сайтов, и они начнут распространять малварь / рекламу и т д 5) Еще придумать? Оно вам надо? А людям надо, они на этом деньги зарабатывают, так что не думайте "да кому я нужен". Рекомендую пойти и почитать интернеты. Может быть кто-то посоветует конкретное что-то, но не я.

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> из моих экспериментов получается что у меня система оказалась не уязвимой. > На мой взгляд, это показало только то, что конкретный запрос не является > уязвимым. > Является ли неуязвимой _вся система_ - он не покажет. >> или я ее не так тестил? > Берем гугл в руки, ищем shellshock. > Находим примерно такую статью, одну из многих: > http://habrahabr.ru/company/mailru/blog/238475/ > В ней есть в том числе и ссылка на инструмент проверки: > Универсальный скрипт для проверки на наличие уязвимостей github.com/hannob/bashcheck > Он проверяет непосредственно баш, а не цепочку apache-какие_то_скрипты_если_они_есть-bash, > соответственно .... >> прежде чем биться головой об стену, надо понять эту необходимость. > Вот воспользуйтесь инструментами проверки и поймете её необходимость. >> мне, если честно не совсем до конца в нюансах ясен механизм. > Нужно больше читать. >> еще более не ясно что та система которая вроде как должна >> быть уязвима. у меня выстаивает. > Всё зависит от того, как обрабатываются запросы (каким кодом). >> не ужели ни кто с тим не сталкивался? и все только обновлялись >> и патчились??? > С чем именно сталкивались/не сталкивались? >> а не совсем еще пока понимаю как апач передает выполнение в баш, > Выполнение в баш передается, если при обработке запроса каким-либо образом используются > команды интерпретатора. Даже если ваши скрипты их не вызывают напрямую, > интерпретатор может быть вызван где-нибудь внутри какого-нибудь библиотечного кода. >> разскажите хоть что! а то у меня одни только нестыковки! > Ну так задавайте именно конкретные вопросы. >> и что может начудить пользователь www ... > В интернетах много чего написано, в том числе и то > 1) как после получения доступа к одному пользователю поднять привилегии до root. > 2) информация, доступная www может быть ценной. > 3) Можно начать рассылать к примеру спам > 4) можно модифицировать чуток файлов ваших сайтов, и они начнут распространять малварь > / рекламу и т д > 5) Еще придумать? Оно вам надо? А людям надо, они на этом > деньги зарабатывают, так что не думайте "да кому я нужен". > Рекомендую пойти и почитать интернеты. > Может быть кто-то посоветует конкретное что-то, но не я.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру