【发布时间】:2014-09-27 23:48:18
【问题描述】:
关于 shellshock 漏洞有两点我不明白:
为什么允许向未经验证的连接注入环境变量?那有什么好处?
哪些实际服务提供注入变量的能力?
有什么想法吗?
【问题讨论】:
-
欢迎来到 Stack Overflow。请尽快阅读About 页面。这对问题(或两部分问题)确实有点宽泛。此外,第二个问题的答案很容易在网上找到。您当然应该阅读Is the behaviour behind the Shell Shock vulnerability in Bash documented or at all intentional? 的问题和答案
-
一个观察(反问):shell如何知道连接是否被验证?