[Перевод] Трюки с переменными среды

Интересные переменные среды для загрузки в интерпретаторы скриптовых языков Вступление В недавнем хакерском проекте мы получили возможность указывать переменные среды, но не выполняемый процесс. Мы также не могли контролировать содержимое файла на диске, а брутфорс идентификаторов процессов (PID) и файловых дескрипторов не дал интересных результатов, исключив удалённые эксплоиты LD_PRELOAD. К счастью, исполнялся интерпретатор скриптового языка, который позволял нам выполнять произвольные команды, задавая определённые переменные среды. В этом блоге обсуждается, как произвольные команды могут выполняться рядом интерпретаторов скриптового языка при вредоносных переменных среды. Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Каким будет фишинг в ближайшем будущем
• 82% зумеров хотят, чтобы бренды обращались к ним на «вы»
• Топ самых интересных CVE за май 2025 года
• Spark_news: Мобильный коллапс: отключение интернета в некоторых регионах ударило по маркетплейсам
• Spark_news: Samsung находится на финальной стадии переговоров с Perplexity AI о заключении стратегического альянса
• Как сделать безопасным код сайта на Битрикс: шпаргалка по основным уязвимостям, часть 3
• Как обманывают ИТ-соискателей: три мошеннические схемы
• Spark_news: Уфимцы — в первых рядах: мечта о Марсе объединяет 27% россиян
• Почему «99.9% аптайма» – это не то, что вы думаете
• Spark_news: Ozon запустил автолизинг для бизнеса