Domande con tag 'code-execution'

1
risposta

comando PHP injection create_function eval

Stavo leggendo sulla create_function , che sarà DEPRECATED su PHP 7.2, che è incline all'input del comando php. Ho iniziato a giocarci e ho creato un esempio. Il codice seguente dovrebbe restituire la versione in caratteri minuscoli di ciasc...
posta 22.08.2018 - 04:10
2
risposte

È possibile ingannare una persona per andare a un sito Web e eseguire JavaScript, senza che loro sappiano? (nessun iframe)

Il mio sito web è W. Se fai una richiesta GET al mio sito web, ti dà JavaScript, e se esegui il JS, allora fai qualche azione (se sei loggato e hai un cookie di sessione). Qualcuno può ingannare furtivamente gli altri nell'esecuzione del JS?...
posta 26.05.2016 - 10:11
1
risposta

Che cosa può fare un attaccante in questo scenario? (bascrc non scrivibile, profilo, ecc.) [chiuso]

Scenario: Tipica configurazione desktop Linux: utente senza privilegi ma con capacità sudo per fare praticamente tutto Per amor di cose, dimentichiamoci di X11 e del suo modo di consentire keylogger banali, quindi diciamo che la distro sta...
posta 17.06.2018 - 13:32
1
risposta

Esiste un modo per stimare la sicurezza dei binari arbitrari, che di solito vengono rilasciati con patch non ufficiali?

Scenario frequente: Un vecchio gioco è rilasciato su GOG / Steam. Si dimostra incompatibile con i nuovi sistemi Windows. (Arresti anomali, rompicapo, fps di 0,5 e simili) Una patch non ufficiale è rilasciata dai fan, sia per questo parti...
posta 28.07.2018 - 20:50
1
risposta

Hacked: uno script con codifica UTF-8 può eseguire caratteri non UTF-8?

Per essere onesti, non sono davvero sicuro del titolo migliore per questa domanda, o del suo scopo, ma la motivazione è: Motivazione Supponendo che il tuo server sia stato violato, apri lo script php con codifica UTF-8 e trovi un blocco o...
posta 15.05.2017 - 20:02
3
risposte

Codifica da binario a ASCII per rendere i file non eseguibili

Non è una buona idea trasferire ad esempio un file .wav, che può contenere malware all'interno (intestazione, dati ecc.), in un file di testo ASCII tramite hexdump? Avrei ottenuto un formato non eseguibile. È ancora eseguibile con un editor di t...
posta 26.11.2018 - 14:24
2
risposte

Esiste un modo sicuro per eseguire un file bat da un programma Java senza la vulnerabilità di command injection?

Da quando si utilizza la vulnerabilità di Runtime.exec () e ProcessBuilder trigger command injection in strumenti di analisi statici, esiste un altro metodo sicuro consigliato per eseguire un file bat da un programma Java? Codice Java: Runt...
posta 05.10.2018 - 21:56
1
risposta

Funzioni nei linguaggi comuni lato server che vengono utilizzati per eseguire il codice [chiuso]

Voglio conoscere l'elenco delle funzioni utilizzate per valutare le stringhe da codificare. Ad esempio: in PHP abbiamo la funzione eval che valuta una stringa in codice PHP. L'input passato in eval senza filtro potrebbe essere utilizza...
posta 18.04.2016 - 08:34
1
risposta

SERVER-IIS tentativo di esecuzione di più codici di estensione

Sourcefire ha rilevato un evento SERVER-IIS multiple extension code execution attempt e ha catturato un pacchetto. Originato da un IP cinese, AbuseIPDB ha diversi record sulla sua attività dannosa. Alcuni log includevano una stringa user-ag...
posta 27.09.2017 - 13:28
2
risposte

Modifica delle estensioni di file nel caricamento di file PHP per impedire l'esecuzione del codice?

Penso che in un caricamento di file PHP è consigliabile archiviare file al di fuori della radice del documento con un nome di file generato in modo casuale e dire al server di renderli non eseguibili, quindi il file non verrà eseguito da un tent...
posta 23.01.2017 - 16:13