Domande con tag 'shellshock'

1
risposta

Vulnerabilità ShellShock e applicazioni Web Java

Sto eseguendo un'applicazione web java (basata su Spring 3.2) su host Linux. Gli host linux sono vulnerabili alla vulnerabilità ShellShock. Qualcuno può sfruttare questa vulnerabilità sul mio sito web?     
posta 29.09.2014 - 07:42
0
risposte

Bash shell exploit usando SIP

Ho un server proxy SIP, che vorrebbe testare Shellshock. Ho utilizzato questo link per provare e testare. ma questo è ciò che ottengo . Quindi voglio solo sapere in generale a cosa serve il flusso per questo exploit over sip (chiunque...
posta 28.09.2014 - 14:51
3
risposte

Shellshocking dei server Web, qualcuno sa di un vettore di attacco diverso dalle intestazioni?

Ho visto un sacco di diversi attacchi al webserver contro le pagine cgi, ma ho visto il payload malevolo solo nelle intestazioni, potrebbe essere User-Agent Cookie Referer Custom-intestazioni qualcuno sa se (o se no) si potrebbe usa...
posta 01.10.2014 - 08:01
2
risposte

"Shell shock" - sfruttabile quando 'system ()' syscall o 'exec (bash)', giusto?

La mia comprensione è corretta sul fatto che per sfruttare tramite "Shell Shock", il binario che influenziamo ha bisogno di eseguire bash (e abbiamo bisogno di avere influenza sulla linea di comando)? Pertanto, ho ragione, che se binario non...
posta 27.09.2014 - 00:09
2
risposte

Prova shellshock con PHP

Ho provato a testare la vulnerabilità shellshock su PHP simile a questa risposta . Sono in esecuzione server Apache con PHP in esecuzione come mod_php. La versione di PHP è 5.3.10. Ho un phpfile (phptest.php): <?php function getLang(...
posta 10.10.2015 - 05:49
1
risposta

Aggiornamenti Linux a Shellshock

La mia domanda riguarda la risposta della comunità a Shellshock. Quali miglioramenti sono stati apportati nel ciclo di sviluppo di Linux o nella raccomandazione agli utenti di impedire che qualcosa come Shellshock / Heartbleed si ripeta?    ...
posta 23.03.2015 - 19:08
1
risposta

Questa è una dimostrazione che la patch shellshock non funziona?

Sto controllando i miei sistemi con il seguente comando: env X="() { :;} ; echo busted" /bin/sh -c "echo completed" Che mi dà: "completato", senza "busted", che sembra buono. Così ho provato di nuovo con: env x='() { :;}; echo vulnerable'...
posta 25.09.2014 - 21:19
1
risposta

Shellshock utilizzato in CUPS

Qualche giorno fa ho letto del bug di Shellshock e volevo testare un server CUPS e ho letto alcuni codici di esempio per creare questo codice: () {test;}; echo / "Content-type: text / plain \"; eco; eco; / bin / cat / etc / passwd '" collegam...
posta 23.10.2014 - 14:16
1
risposta

Recente "attacco" al mio server che potrebbe utilizzare exploit shellshock

Ho appena notato questa voce ripetuta nel registro nginx: 31.184.194.114 - - [04/Mar/2015:10:29:53 +0700] "GET /cgi-bin/up.cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x2...
posta 06.03.2015 - 09:16
1
risposta

csh shellshock http su un server Windows 2008

Il sistema McAfee della mia azienda ha rilevato numerosi tentativi di "attacchi di immissione di codice ShellShock http su CSH bash" su un server Windows 2008 con Apache Tomcat Coyote. Questa configurazione presenta un potenziale attacco al serv...
posta 19.12.2014 - 09:54