tombkeeper2014-09-26 14:57被tk转发1次Open options如前所述,Bash 的 CVE-2014-6271 “shellshock”漏洞新的攻击点还在不断被大家挖掘中。这两张图演示的是攻击 qmail。比较简单地描述就是:只要发一封邮件,就能把邮件服务器拿下。 图片描述 by gemini-3-flash-preview详情
tombkeeper2014-09-26 10:49Open options赞同。这个是远程漏洞也是本地漏洞,是服务器漏洞也是客户端漏洞,且不存在内存类漏洞利用不稳定的问题,几乎100%成功率。属于罕见的可攻可受、姿势众多的妙物。我估计有望入选明年的漏洞奥斯卡。RAyH4c2014-09-26 10:37被tk转发1次Open options破壳漏洞@tombkeeper 和心血漏洞比谁的危害更大,我觉得是破壳漏洞,因为这个漏洞包含了远程代码执行和本地提权,可以直接拿到权限。目前这个漏洞还是在慢慢发酵,影响的第三方开源项目和各种以web cgi做管理界面的硬件设备太多,bash变量的感染注入相信会爆出更多的奇技淫巧… 详情
tombkeeper2014-09-26 10:44Open options刚才那条(微博正文)对不是干我们这行的人可能有些难懂。简单来说就是:Bash 的 CVE-2014-6271 “shellshock”漏洞,可以非常轻松地入侵同一网段的 Linux。你的笔记本如果装了 Linux,只要接入一个恶意的 WiFi,就可以瞬间被入侵。所以,那些国产操作系统没什么不好,但“自主可控”吗? 详情
tombkeeper2014-09-26 10:28Open options因为整个 *nix 世界几乎就是建立 Shell 脚本上的,所以 Bash 的 CVE-2014-6271 这个漏洞攻击点可能还有很多。试了一下 DHCP,成功了,而且直接就是 root 权限,这个感觉太可怕了。估计只要 Linux 都可被攻击,不知道 Mac OS 如何。另外请想象一下:如果 Android 和 iOS 都受影响,世界将会怎样…… 图片描述 by gemini-3-flash-preview详情
tombkeeper2014-09-26 09:31Open options昨天《成都日报》的雄文:《警惕哆啦A梦蒙蔽我们的双眼》警惕哆啦A梦蒙蔽我们的双眼,作者署名“程锦坪”,不知道是不是取“深井冰”的谐音。如果不是的话,那就真浑然天成了。 详情