Recentemente, ho ricevuto alcuni errori 404 in cui l'utente ha richiesto pagine PHP.
Gli URL sono compresi tra le versioni cgi-bin e php , ad esempio /cgi-bin/php4 . C'è anche una stringa di query come parte della richiesta....
Dopo aver creato un semplice sistema di login e provato a proteggerlo da cose come SQL injection, Session Hijacking, XSS, ecc., ho scoperto che mi piace molto fare questo tipo di cose. Mi piacerebbe prendere un libro e approfondire tutti i detta...
Dove sono archiviate le informazioni nei campi di una sessione? Se io, per esempio, memorizzo in una sessione qualcosa come $_SESSION['foo'] = 'bar' . Dove è memorizzata la "barra"?
Se immagazzino un oggetto di una classe, in che modo vie...
Sto vedendo un sacco di esempi quando l'output è diretto all'HTML, ma sto vedendo informazioni più contrastanti quando l'output sta andando direttamente in JS.
Ad esempio se il codice era:
var thisIsATest = '<?php echo $_GET['a']; ?>'...
Ci sono numerosi riferimenti alle vulnerabilità di HTTP Response Splitting (HRS) con PHP risolte da 4.4.2 e 5.1.2 (ad esempio link ) o per circa 9 anni.
Eppure CVE-2013-2652 ha segnalato una vulnerabilità in WebCollab utilizzando PHP, anche...
Stiamo lavorando per raggiungere la conformità SAQ-D PCI e nel modo in cui scopriamo ogni giorno cose nuove. Oggi: Gestione delle chiavi
Mi chiedo se sono disponibili soluzioni PHP open source o commerciali che implementano uno schema di ge...
Da quando realizzo siti che richiedono a un utente di accedere con un nome utente e una password, ho sempre protetto le password memorizzandole nel mio hash del database con una frase salt. Bene, recentemente ho letto che è una cattiva pratica u...
Recentemente stavo leggendo un articolo su file_get_contents e HTTPS .
Una parte che ha attirato la mia attenzione è:
Of course, the allow_url_fopen setting also carries a separate risk of
enabling Remote File Execution, Access C...
Dì che c'era una pagina web accessibile al pubblico con il seguente codice PHP:
<?php
class NotInteresting
{
public function noExploits() {
echo "Whatever.";
}
}
$unsafe = unserialize($_GET['data']);
$unsafe->noExploits()...
Qualcuno ha hackerato il mio sito e caricato questo script ( template46.php ) sul mio webroot e il suo contenuto è:
<?php
$vIIJ30Y = Array('1'=>'F', '0'=>'j', '3'=>'s', '2'=>'l', '5'=>'M', '4'=>'0', '7'=>'W', '6'=&g...