公司|ShellShock 破壳漏洞

假期已经结束 , 我们的课程更新也恢复正常了!
记得几年前 , 我们公司的电商平台存在漏洞 , 黑客盗取了用户密码之后 , 可以直接将受害者帐号的余额转账给自己 。 当时这个漏洞给公司造成了很大的经济损失和信誉危机 。
在本周的「和我一起来打靶」课程当中 , 我为大家选择了一个模拟银行系统的靶机 , 它同样也存在账户余额随意转出的漏洞 。 这种漏洞虽不会直接导致系统被黑客完全控制 , 但它往往会给公司带来直接的经济损失 , 是系统维护者必须重点关注的漏洞类型之一 。
当然要成功打靶本周的靶机 , 仅依靠以上的业务逻辑漏洞是无法实现的 , 因此本周我们将利用ShellShock破壳漏洞来完成打点突破 。
破壳漏洞不同于我们常见的应用代码层面漏洞 , 它需要结合应用提供的远程访问能力与系统自身漏洞缺陷 , 共同完成远程代码执行的渗透目标 。
破壳漏洞虽然已经出现7年有余 , 但仍有很多系统并未更新补丁 , 而且很多同学对其危害也并不了解 。 因此 , 本周我将向大家详细讲解这种高危漏洞的成因 , 以及发现和攻击利用的具体方法 。
本周课程预计周日更新 , 敬请期待!
【公司|ShellShock 破壳漏洞】点击下方“阅读原文”查看课程信息

    推荐阅读