Vlákno názorů k článku Postřehy z bezpečnosti: jste šokováni chybou shellu? od M. Prýmek - Ten příklad zneužití shellshocku je imho matoucí -...

Ten příklad zneužití shellshocku je imho matoucí - takhle, jak je, vypíše "jsem shellsokovan" prostě proto, že jsem bashi řekl, aby to vypsal, to není žádné zneužití.

Když už takhle, tak by to muselo být

env x=’() { :;}; echo jsem shellsokovan’ bash -c “echo ahoj”

ale lepší by byl reálný příklad, když už byla řeč o hlavičkách:

...http...
Cookie:() { :; }; echo "jsem shellsokovan"
...

A jeste jedna drobnost: Webové stránky [...] jQuery.com *byli* napadeny.

Jsou to jenom drobnosti, jinak díky za článek.

Dobry den,

dekuji za reakci. Nadefinovani funkce, ktera je vzdy platna je jedna vec, ale to ze se provede i prikaz mimo tuto funkci (za ni) je ten hlavni problem.

Ale mate pravdu, mohl jsem pouzit neco mnohem nazornejsiho jako:

() { echo "Jsem uvnitr" ; }; echo "A ted uz jsem venku"

Napisu redaktorum, aby clanek upravili.

Dekuji

No prave ze problem je v tom, co je ZA tou funkci - a vy v clanku za funkci nemate nic. Uvozovky, ktere definuji promennou, konci pred "bash".

Ted koukam, ze uz je to opraveno. Diky.

Mate pravdu :] mel jsem tam puvodne spatne ohraniceni te funkce

Diky!