测试 CVE-2014-6271 “shellshock” 漏洞时，当前是什么 Shell 并不重要，关键是后面执行哪个 Shell。如图，在 cmd.exe 下也一样可以[呵呵]。我昨天提到有人误认为 Busybox 受影响，另外 Cansecwest 创始人 Dragos 误以为 dash 也受影响，都是犯了这个错误。Dragos 的说法还被《卫报》引用了，悲剧……

世上最可怕的事是比你聪明的人，比你还努力——而且他还有女朋友。

有人提醒，说大家可能会误以为这是我做的测试。声明一下：我啥都没干，图是转的。你们注意第二张图顶上明显是日文嘛。

SQL 注入也好，命令注入也好，本质是脚本层面的冯·诺依曼体系导致的。对 SQL 注入，已经有根源上的办法，可以把命令和数据在逻辑上分开。SQL 的预编译，就是脚本层面的 DEP。命令解释器由于要处理的场景远比 SQL 复杂，所以不太容易设计根除的办法，但做些有针对性的局部改造，也可以缓解不少威胁。

给媒体朋友们普及一下 “Shellshock” 这个词儿[呵呵]。医学上有一种“弹震症”，又叫“弹震休克”、“炮弹休克”，英文就是 “Shellshock”。指受到爆炸冲击后导致浑身颤抖、思维混乱等症状。这个命名和 “Heartbleed” 同样巧妙，一语双关，即体现了出问题的所在，又反映了问题的严重性。