Domande con tag 'php'

domande con tag
2
risposte

Attivato cgi.fix_pathinfo è ancora "pericoloso" in Nginx?

In questo articolo in digitalocean.com Justin Ellingwood consiglia di disattivare cgi.fix_pathinfo : Inside, we need to find a section that configures the cgi.fix_pathinfo behavior. It will be commented out and set to "1" by de...
posta 11.01.2018 - 15:46
1
risposta

L'array PHP indesiderato per convertire le stringhe è un rischio per la sicurezza?

Durante un test di penetrazione ho notato che cambiando alcuni dei parametri GET HTTP dalle stringhe previste agli array usando ?test[]=1 invece di ?test=1 . In PHP ciò risulta in un modo o in un errore o in una conversione Array / Stri...
posta 21.06.2017 - 14:41
1
risposta

Perché i PHP $ _REQUEST sono considerati malvagi?

In base al foglio cheat OWASP PHP : Using $_REQUEST is strongly discouraged. This super global is not recommended since it includes not only POST and GET data, but also the cookies sent by the request. All of this data is combined into one...
posta 12.10.2017 - 13:20
1
risposta

Qualsiasi vulnerabilità di sicurezza che utilizza i nomi file generati dal database?

Ok, per esempio, dì che hai le impostazioni memorizzate in un database in cui l'utente seleziona la lingua del sito. Ad esempio, supponiamo che la lingua scelta sia Inglese e ora abbia un'impostazione di en . Quindi all'interno del t...
posta 21.11.2016 - 20:06
1
risposta

Dove devo memorizzare una chiave privata per un'applicazione web?

Può essere un duplicato di " Come memorizzare una chiave RSA privata per un'applicazione? " Quindi mi è stato chiesto di creare un'interfaccia web in PHP che consentisse ai visitatori di controllare la firma di un file usando SHA 256 con cr...
posta 23.11.2016 - 20:08
2
risposte

Quali sono le migliori pratiche per fidarsi delle origini di connessione nel software open source?

Abbastanza conciso, ma elaborerò con un esempio: Diciamo che ho una semplice app scritta in C # e voglio sapere quante persone al giorno aprono l'app. la soluzione più semplice sarebbe semplicemente avere una funzione che inviasse il timestam...
posta 19.05.2016 - 05:41
1
risposta

codice PHP nel nome del file situato nella cartella / tmp. Quanto dovrei essere preoccupato?

Recentemente ho scoperto un file nascosto in /tmp di proftpd che mi preoccupa un po ': -rw-r--r-- 1 proftpd nogroup <timestamp> 86 .<?php eval($_REQUEST[cmd]); ?> Ho provato a vedere il suo conten...
posta 17.04.2016 - 13:24
1
risposta

Il modo migliore per accedere alle password hash in PHP 5.3.5

Qual è il modo migliore per accedere alle password hash in PHP 5.3.5? Poiché in questa versione non ha password_hash() .     
posta 24.02.2016 - 08:03
2
risposte

Decodifica codice dannoso iniettato in PHP nel mio server

Ho trovato su internet problemi simili e ho confrontato il codice. Questo è diverso. Recentemente ho scoperto che il CentOS LAMP webserver che utilizziamo per lo sviluppo nel nostro ufficio è stato infettato da un pezzo di PHP...
posta 04.12.2015 - 13:05
3
risposte

Quanto sono pericolose le versioni di PHP obsolete per i miei clienti?

Nell'azienda in cui lavoro (webhosting) i nostri clienti possono scegliere la versione PHP che vogliono usare per il loro sito web. Tuttavia, ho appena realizzato che tutte le versioni PHP offerte sono obsolete (cioè PHP 5.4.38, 5.5.22 e 5.6....
posta 17.07.2015 - 12:07