Domande con tag 'php'

domande con tag
2
risposte

Come risolvere i problemi di sicurezza XSS in FCKeditor / CKeditor?

Un rapporto sulla sicurezza che abbiamo condotto tramite una società esterna ha segnalato le vulnerabilità XSS in FCKeditor che stiamo utilizzando nella nostra applicazione PHP. Hanno sottolineato che l'accesso a URL come: http://www.ourdom...
posta 05.01.2011 - 13:28
4
risposte

Quanto è pericoloso archiviare la password in formato testo su siti come GitHub?

Ho alcuni repository privati impostati su GitHub per alcuni dei progetti a cui sto lavorando per la mia azienda. Queste applicazioni si collegano ai database e ho le credenziali di autenticazione del database memorizzate in un file chiamato co...
posta 03.07.2013 - 20:13
2
risposte

Codice php offuscato trovato sul server

Ho trovato questo pezzo di codice ospitato sul mio sito Web, sono sicuro che sia un malware. Qualcuno ha un'idea di cosa fa questo script o come deobfuscare? <?php $nkIL3_='Hn'&~hTzup;$TTCpX='HEr@D@(DEi&'|'HD"AN'(T$I.';$fGZGQD2=l5fg...
posta 22.08.2014 - 11:53
3
risposte

Questo snippet di codice è sufficiente per l'hash della password e il sale

Dopo alcuni giorni a leggere le password di salatura e hashing, ho trovato un vero bit di codice che indica come farlo. Questo è quello che ho trovato: $blowfish_salt = bin2hex(openssl_random_pseudo_bytes(22)); $hash = crypt($data, "$2a$12$"...
posta 24.07.2013 - 12:26
4
risposte

Che cosa sta cercando di fare Net-Worm.PHP.Mongiko?

Ho trovato diverse righe di questa richiesta nel log di accesso al mio server web: Source IP Dest IP Request Stat User agent 217.172.190.19 1.2.3.4 POST /?cmd=info&key=...
posta 22.02.2015 - 11:23
2
risposte

Problemi di sicurezza con PHP Sandbox

Sto lavorando su una sandbox PHP per un Honeypot di applicazioni Web. La sandbox PHP analizzerà un file PHP che potrebbe essere stato iniettato come parte di un attacco RFI. Dovrebbe eseguire il file in un ambiente sicuro e restituire il risulta...
posta 25.03.2012 - 08:04
2
risposte

PHP: se il set di caratteri non corrisponde (htmlentities UTF-8) visualizzato dal client come ISO-8859-1 (o viceversa)

Breve domanda: Domanda: potrebbero sorgere vulnerabilità di sicurezza se un server esegue htmlentities come UTF-8 ma il client visualizza i risultati come ISO-8859-1? Presupposto: non esistono vulnerabilità quando si utilizza un set di...
posta 28.02.2014 - 09:59
1
risposta

Interruzione sandbox del codice eval PHP

Ho notato un commento strongmente sottovalutato qui: link function eval_syntax($code) { $braces = 0; $inString = 0; // We need to know if braces are correctly balanced. // This is not trivial due to variable interpolation...
posta 24.01.2018 - 02:28
1
risposta

Campo di gioco XSLT e XML pubblico (con DOMDocument PHP, ecc.) Rischi per la sicurezza?

Diciamo che voglio creare una sandbox o un playground in PHP che gli utenti possano usare per creare (o incollare) XML e XSLT, quindi trasformare l'XML tramite XSLT (tramite il DOMDocument di PHP 5 e gli oggetti correlati). Quindi, in un semp...
posta 07.06.2011 - 13:46
4
risposte

Quali informazioni dovrebbe registrare un log degli errori?

Voglio popolare il mio registro degli errori con informazioni utili se e quando si verificano errori. Mi piacerebbe utilizzare il log per essere in grado di individuare e correggere i bug sul mio sito, ma anche per potenzialmente registrare i te...
posta 15.11.2010 - 12:18