Search
最近揭露的 sudo 漏洞 (CVE-2021-3156),已經藏了 10 年之久
由於觸發不限於原本就有 sudo 帳號,所以從 web, database 之類的管道打進來就可以提權獲取完整的 root 權限
檢查 sudo 版本 => sudo -V
容易受攻擊的 sudo 版本如下
- 從 1.8.2 到 1.8.31p2 的所有舊版本
- 從 1.9.0 到 1.9.5p1 的所有穩定版本
詳細直接看文章囉
👨🏫 ในรูปได้ยกตัวอย่าง ช่องโหว่ของการเขียนโปรแกรม
ที่เปิดโอกาสให้ผู้ประสงค์ร้ายสามารถโจมตีด้วยวิธี
Command Injection
.
ช่องโหว่นี้เกิดจากในหลายๆ ภาษาโปรแกรมมิ่ง
ได้อนุญาติให้เรียกคำสั่งของระบบปฏิบัติการได้โดยตรง
ซึ่งสุ่มเสี่ยงให้ผู้โจมตีฉวยโอกาสนี้ฉีดคำสั่งเข้าไปในโค้ด
ด้วยการต่อท้ายด้วยข้อความ &&
จึงทำให้แทรกคำสั่งอันตรายเข้าไปได้ เช่น
:
del /F * บน window
หรือ rm -rf * บน linux
:
ในรูปได้ยกตัวอย่างโค้ดภาษา Java
ซึ่งทำงานบน Window
จะเห็นว่าสามารถใช้ && แล้วต่อท้ายด้วยคำสั่งอะไรก็ได้
เช่น && tasklist && dir เป็นต้น
.
แล้วถ้าโปรแกรมมันรันใน linux/Unix
ก็สามารถต่อคำสั่งเป็นลูกโซ่ด้วยข้อความ && หรือ ; ก็ได้
:
และไม่ใช่ Java ภาษาเดียว ที่มีช่องโหว่ประเภทนี้
มันเกิดได้หลายภาษา
ที่อนุญาติให้เรียกคำสั่งของระบบปฏิการโดยตรง
เช่น C#, Python, PHP และหลายๆ ภาษาที่ไม่ได้เอ่ยถึง
:
++++วิธีป้องกัน+++
🤔 ต้อง validate ข้อมูล input อย่างเข้มงวด เช่น
- กรอง input ที่เข้ามา กำหนดว่ามีอะไรได้บ้าง?
- input ที่เข้ามา ห้ามเป็นคำสั่งของระบบปฏิบัติการเด็ดขาด
- ห้ามมี && และ ; อยู่ใน input ที่เข้ามา
- เป็นต้น
.
😏 หรือจะเลี่ยงวิธีเขียนเรียกคำสั่งของระบบปฏิบัติการโดยตรง ไม่ต้องใช้ก็ย่อมได้
++++
เขียนโดย โปรแกรมเมอร์ไทย thai programmer
.
ดูตัวอย่างเพิ่มเติม
https://www.owasp.org/index.php/Command_Injection
👨 🏫 In the photo, for example, the loophole of programming.
Open doors for the evil wills to attack by the way.
Command Injection
.
This loophole is born in many programming languages.
Permission to call direct order of operating system
Who randomly risked this opportunity attacker to inject an order into code.
By ending with a text &&
It's so dangerous to insert like
:
del / F F on window
or rm-rf rf on linux
:
In the picture, for example, Java language code.
Which works on Window
Will see that I can use && and then end up with any order.
Like && tasklist && dir etc.
.
And if the program runs in linux / Unix
Can continue with chain order with text && or; either.
:
And not Java the only language has this type of loophole
It can be born in many languages.
Allowing to call direct command of the operational system.
Like C #, Python, PHP and many languages that are not mentioned.
:
++++ How to prevent +++
🤔 Must strictly validate input information like
- Input filter that comes to determine what's available?
- Input that comes to prohibit is an order of an operating system.
- Don't have && and; stay input that comes.
- etc.
.
😏 or avoid the way to write, call direct command of an operating system. No need to use it.
++++
Written by Thai programmer thai coder
.
See more previews
https://www.owasp.org/index.php/Command_InjectionTranslated
👨🏫 ในรูปได้ยกตัวอย่าง ช่องโหว่ของการเขียนโปรแกรม
ที่เปิดโอกาสให้ผู้ประสงค์ร้ายสามารถโจมตีด้วยวิธี
Command Injection
.
ช่องโหว่นี้เกิดจากในหลายๆ ภาษาโปรแกรมมิ่ง
ได้อนุญาติให้เรียกคำสั่งของระบบปฏิบัติการได้โดยตรง
ซึ่งสุ่มเสี่ยงให้ผู้โจมตีฉวยโอกาสนี้ฉีดคำสั่งเข้าไปในโค้ด
ด้วยการต่อท้ายด้วยข้อความ &&
จึงทำให้แทรกคำสั่งอันตรายเข้าไปได้ เช่น
:
del /F * บน window
หรือ rm -rf * บน linux
:
ในรูปได้ยกตัวอย่างโค้ดภาษา Java
ซึ่งทำงานบน Window
จะเห็นว่าสามารถใช้ && แล้วต่อท้ายด้วยคำสั่งอะไรก็ได้
เช่น && tasklist && dir เป็นต้น
.
แล้วถ้าโปรแกรมมันรันใน linux/Unix
ก็สามารถต่อคำสั่งเป็นลูกโซ่ด้วยข้อความ && หรือ ; ก็ได้
:
และไม่ใช่ Java ภาษาเดียว ที่มีช่องโหว่ประเภทนี้
มันเกิดได้หลายภาษา
ที่อนุญาติให้เรียกคำสั่งของระบบปฏิการโดยตรง
เช่น C#, Python, PHP และหลายๆ ภาษาที่ไม่ได้เอ่ยถึง
:
++++วิธีป้องกัน+++
🤔 ต้อง validate ข้อมูล input อย่างเข้มงวด เช่น
- กรอง input ที่เข้ามา กำหนดว่ามีอะไรได้บ้าง?
- input ที่เข้ามา ห้ามเป็นคำสั่งของระบบปฏิบัติการเด็ดขาด
- ห้ามมี && และ ; อยู่ใน input ที่เข้ามา
- เป็นต้น
.
😏 หรือจะเลี่ยงวิธีเขียนเรียกคำสั่งของระบบปฏิบัติการโดยตรง ไม่ต้องใช้ก็ย่อมได้
++++
เขียนโดย โปรแกรมเมอร์ไทย thai programmer
.
ดูตัวอย่างเพิ่มเติม
https://www.owasp.org/index.php/Command_Injection
👨 🏫 In the photo, for example, the loophole of programming.
Open doors for the evil wills to attack by the way.
Command Injection
.
This loophole is born in many programming languages.
Permission to call direct order of operating system
Who randomly risked this opportunity attacker to inject an order into code.
By ending with a text &&
It's so dangerous to insert like
:
del / F F on window
or rm-rf rf on linux
:
In the picture, for example, Java language code.
Which works on Window
Will see that I can use && and then end up with any order.
Like && tasklist && dir etc.
.
And if the program runs in linux / Unix
Can continue with chain order with text && or; either.
:
And not Java the only language has this type of loophole
It can be born in many languages.
Allowing to call direct command of the operational system.
Like C #, Python, PHP and many languages that are not mentioned.
:
++++ How to prevent +++
🤔 Must strictly validate input information like
- Input filter that comes to determine what's available?
- Input that comes to prohibit is an order of an operating system.
- Don't have && and; stay input that comes.
- etc.
.
😏 or avoid the way to write, call direct command of an operating system. No need to use it.
++++
Written by Thai programmer thai coder
.
See more previews
https://www.owasp.org/index.php/Command_InjectionTranslated
♡訂閱影片不漏接喔 https://goo.gl/zUXErU
Please subscribe my channel if you like my videos !
最近購入UNIX迷你兩用直髮捲
的確可以讓我快速整髮出門
但還有一些個人小心得在影片之中啦!
想要購入的朋友上UNIX官網或者屈成氏都買得到唷 :D
❤ Thanks for watching ❤
----------------------------------------------------
♡ 丸兒 Karol ♡
Instagram : https://www.instagram.com/karol_baby/
Facebook:https://www.facebook.com/sweetkarolbaby/
Blog:sweet07162002.pixnet.net/blog
❤ For business contact: sweet07162002@hotmail.com
Cùng Emmi review & so sánh 4 kiểu máy làm tóc, tạo kiểu tóc mini cực tiện khi đi du lịch của thương hiệu Hàn Quốc Unix Takeout nhé!
GIVEAWAY!!! Các nàng nhớ share clip này trên Facebook kèm #happyskinvn (chế độ công khai) để được nhận 1 trong 2 máy làm tóc mà Emmi khoe ở cuối clip nhé ;)) Kết quả sẽ được công bố trên FB Fanpage sau 1 tuần nha!
♡ HOSTS ♡
Emmi Hoàng
♡ SẢN PHẨM SỬ DỤNG TRONG CLIP ♡
Coming soon
Nếu thích video này thì nhớ LIKE & SUBSCRIBE để theo dõi thêm nhiều clip mới về làm đẹp, chăm sóc da, trang điểm... từ Happy Skin Vietnam nhé ♥
Happy Skin Vietnam
♡ Facebook: https://www.facebook.com/happyskinvn/
♡ Website: https://www.happyskin.vn/
♡ Instagram: https://www.instagram.com/happyskinvn/
Emmi Hoàng
♡ Facebook: https://www.facebook.com/hoang.h.dung
♡ Instagram: https://www.instagram.com/emmi.hoang/
Skinstore Vietnam
♡ Facebook: https://www.facebook.com/Skinstorevietnam/
♡ Website: https://www.skinstore.vn/
♡ Instagram: https://www.instagram.com/?hl=vi
Happy Skin Medical Spa
♡ Facebook: https://www.facebook.com/happyskinspavn/
♡ Website: https://www.happyskinspa.vn/
♡ Instagram: https://www.instagram.com/happyskinspa/
Emmié by Happy Skin
♡ Facebook: https://www.facebook.com/emmiebyhappyskin/
♡ Website: https://www.emmie.vn/
♡ Instagram: https://www.instagram.com/emmiebyhappyskin/
♡ Group Tập làm MC/Vlogger/Blogger: https://www.facebook.com/groups/2461935270748188/
ĐỪNG QUÊN BẬT CHẾ ĐỘ HD CHO VIDEO NHAAA!
hello các cô gái! Nếu thích video lần này thì đừng quên đăng ký channel của Nguyên cũng như like video này nhé ♡
Thông tin sản phẩm đề cập trong video:
- SK-II Cellumination Aura Essence
- Kat Von D studded kiss lipstick in Mother ( limited edition)
- Bath and Body Works stress relief shower gel
- Designer handbags - Made in Italy - 100% Leather
Shop here: http://bit.ly/TeddyBlake_Nguyen
Sign up to Enjoy up to 35% off site wide
USE CODE: TBNguyen20 for extra $20 off!!
Follow Teddy Blake on Social Media:
http://www.pinterest.com/teddyblake
http://instagram.com/teddy_blake
https://www.facebook.com/TeddyBlakeNY
https://twitter.com/TeddyBlakeNY
- Unix Flat and Curl Iron ở M.Cat đường Nguyễn Huệ
- Nivea Men sensitive post shave balm
- Colorless Tsukuru Tazaki and His Years of Pilgrimage Book
♡FOLLOW ME ♡
Facebook:
https://www.facebook.com/NguyenNewynnOfficial/
- Instagram: newynni
- Snapchat: ivynn
#newyn #nguyen
... 習慣的人要加入社團請確定你除了問問題也願意在能力範圍內幫忙回答問題歡迎大家在這邊分享和unix-like的相關資訊~建議加入後先行爬文避免問題重複已經重複發文~... ... <看更多>
像是 Linux, unix 或是 unix-like 等 > 這些不同的作業系統到底是怎麼分類的? > 像是ubuntu, Linux mint 是屬於 Linux 的 Destribution 吧? ... <看更多>
unix like 在 [閒聊] 使用UNIX--Like來開發的作業系統- 看板Linux 的美食出口停車場
我手邊有用過的3C產品就有以下五種:
1.Linux Ubuntu OS:
這一台主機是我去買空機(電視盒大小)來灌Linux的中文視窗系統來使用,用途是使用Lin
ux指令連線BBS和使用火狐瀏覽器上網站瀏覽資料之用,還有裝一些有趣的小程式來體驗U
NIX的系統環境。
2.Google Chrome OS:
這一台筆電是拿來使用Google Chrome線上商店的APP之用,還有將Android手機平板的桌
面和APP使用USB線來串聯NB(利用Vysor來投放),可以在筆電上利用鍵盤和滑鼠操作Andro
id系統的APP程式來使用。
3.Apple Mac OS:
這一台筆電就跟Windows筆電一樣,很多事情都可以做,當個人PC在用,還有將ios手機平
板的桌面和APP使用USB線串聯NB(利用Quick Timeplayer來投放),可以在筆電上利用鍵盤
和滑鼠(註)操作ios系統的APP程式來使用。
註:一般正版的ios系統的行動裝置是無法使用滑鼠來操作的,需要將ios系統JB之後才能
使用滑鼠來操作喔!
4.SONY PS4--Orbis OS:
它的作業系統是使用freeBSD(BSD UNIX)來開發的中文系統主機,用途是玩遊戲和使用影
音服務之用。
5.SMART TV--Web OS:
亦是由Linux開發而來,LG智慧型電視機就是中文Web OS系統電視,是作為網頁瀏覽器之
用,許多影音串流OTT皆可使用。
以上資訊若有錯誤,煩請板友更正,謝謝!!!
-----
Sent from JPTT on my Sony G3226.
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.138.152.143
※ 文章網址: https://www.ptt.cc/bbs/Linux/M.1547527491.A.859.html
... <看更多>