Qual è il problema di sicurezza con codifica / decodifica in base64?

24

Il link produce l'avviso

WARNING base64_decode() has been disabled for security reasons

Perché?

Oltre alle ovvie vulnerabilità che non hanno nulla a che fare con base64_decode (trattandolo come crittografia, come hash, valutando dati base64_decoded, ecc.) perché dovrebbe semplicemente eseguirlo una vulnerabilità di sicurezza?

    
posta powersupply 27.01.2017 - 21:05
fonte

1 risposta

26

why would simply executing it be a security vulnerability?

Non lo è.

base64_decode fa esattamente quello che ti aspetteresti: decodifica una stringa.

Inoltre non ci sono vulnerabilità conosciute o non ci sono state nel passato (c'era un problema di overflow intero in base64_encode - CVE-2003-0861 - ma PHP non lo considera un problema di sicurezza).

Suppongo che il link vieti il divieto perché può essere usato per offuscare i dati. Possono avere alcuni filtri in atto per impedire l'esecuzione di codice pericoloso e potrebbero temere che base64_decode possa essere usato per aggirare questi filtri. Non penso che questo sia necessario o utile, ma potrebbe essere il loro modo di pensare.

    
risposta data 27.01.2017 - 22:18
fonte

Leggi altre domande sui tag