曙海培训
全国报名免费热线:4008699035 微信:shuhaipeixun
或15921673576/13918613812(微信同号) QQ:1299983702
首页 课程表 在线聊 报名 讲师 品牌 QQ聊 活动 就业
 
CSRF漏洞探索与利用培训
 
   班级人数--热线:4008699035 手机:15921673576/13918613812( 微信同号)
      增加互动环节, 保障培训效果,坚持小班授课,每个班级的人数限3到5人,超过限定人数,安排到下一期进行学习。
   授课地点及时间
上课地点:【上海】:同济大学(沪西)/新城金郡商务楼(11号线白银路站) 【深圳分部】:电影大厦(地铁一号线大剧院站)/深圳大学成教院 【北京分部】:北京中山/福鑫大楼 【南京分部】:金港大厦(和燕路) 【武汉分部】:佳源大厦(高新二路) 【成都分部】:领馆区1号(中和大道) 【广州分部】:广粮大厦 【西安分部】:协同大厦 【沈阳分部】:沈阳理工大学/六宅臻品 【郑州分部】:郑州大学/锦华大厦 【石家庄分部】:河北科技大学/瑞景大厦
开班时间(连续班/晚班/周末班):即将开课,详情请咨询客服。(欢迎您垂询,视教育质量为生命!)
   课时
     ◆资深工程师授课
        
        ☆注重质量 ☆边讲边练

        ☆若学员成绩达到合格及以上水平,将获得免费推荐工作的机会
        ★查看实验设备详情,请点击此处★
   质量以及保障

      ☆ 1、如有部分内容理解不透或消化不好,可免费在以后培训班中重听;
      ☆ 2、在课程结束之后,授课老师会留给学员手机和E-mail,免费提供半年的课程技术支持,以便保证培训后的继续消化;
      ☆3、合格的学员可享受免费推荐就业机会。
      ☆4、合格学员免费颁发相关工程师等资格证书,提升您的职业资质。

课程大纲
 

课程介绍
Shellshock,又称Bashdoor,是在Unix中广泛使用的Bash shell中的一个安全漏洞,首次于2014年9月24日公开。许多互联网守护进程,如网页服务器,使用bash来处理某些命令,从而允许攻击者在易受攻击的Bash版本上执行任意代码。这可使攻击者在未授权的情况下访问计算机系统。

漏洞原因: 目前的Bash使用的环境变量是通过函数名称来调用的,导致漏洞出问题是以“() {”开头定义的环境变量在命令ENV中解析成函数后,Bash执行并未退出,而是继续解析并执行shell命令。而其核心的原因在于在输入的过滤中没有严格限制边界,也没有做出合法化的参数判断。

验证方法
目前的Bash脚本是以通过导出环境变量的方式支持自定义函数,也可将自定义的Bash函数传递给子相关进程。一般函数体内的代码不会被执行,但此漏洞会错误的将“{}”花括号外的命令进行执行。当执行CGI 时会调用Bash将Referer、host、UserAgent、header等作为环境变量进行处理。

本地检测
在Bash Shell下执行以下代码:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
如果输出:
vulnerable

this is a test

表示存在漏洞。

 
 
  备案号:沪ICP备08026168号 .(2014年7月11)...................
友情链接:Cadence培训 ICEPAK培训 PCB设计培训 adams培训 fluent培训系列课程 培训机构课程短期培训系列课程培训机构 长期课程列表实践课程高级课程学校培训机构周末班培训 南京 NS3培训 OpenGL培训 FPGA培训 PCIE培训 MTK培训 Cortex训 Arduino培训 单片机培训 EMC培训 信号完整性培训 电源设计培训 电机控制培训 LabVIEW培训 OPENCV培训 集成电路培训 UVM验证培训 VxWorks培训 CST培训 PLC培训 Python培训 ANSYS培训 VB语言培训 HFSS培训 SAS培训 Ansys培训 短期培训系列课程培训机构 长期课程列表实践课程高级课程学校培训机构周末班 曙海 教育 企业 培训课程 系列班 长期课程列表实践课程高级课程学校培训机构周末班 短期培训系列课程培训机构 曙海教育企业培训课程 系列班