Domande con tag 'php'

domande con tag
3
risposte

Invio di e-mail con chiave segreta di autenticazione a due fattori

Nella nostra applicazione web PHP abbiamo incluso l'autenticazione a due fattori. Gli utenti hanno generato una chiave segreta una tantum che poi inseriscono (o eseguono la scansione di un codice QR) nell'app Google Authenticator. L'autentica...
posta 26.06.2017 - 20:49
1
risposta

Come posso evitare XSS su un input $ _POST?

Ho già seguito il suggerimento qui e ha aggiunto: /* Prevent XSS input */ $_GET = filter_input_array(INPUT_GET, FILTER_SANITIZE_STRING); $_POST = filter_input_array(INPUT_POST, FILTER_SANITIZE_STRING); nella parte superiore del mio fil...
posta 10.03.2018 - 23:45
1
risposta

Come posso usare il file phpinfo.php per trovare nuovi file su un server

Mi è stato dato un server per hackerare per una classe di sicurezza informatica che ho preso. Dopo aver usato dirb per esaminare la struttura del file, l'unico file accessibile era il file phpinfo.php. Ho bisogno di usare questo file per trov...
posta 02.03.2018 - 15:48
1
risposta

Ubuntu 14.04 Laravel Web Server - Di cosa dovrei preoccuparmi? [chiuso]

Questo è il mio primo web server che sto cercando di costruire per il mio cliente. Ho sviluppato un'applicazione Laravel che è stata completamente distribuita su questo server; ora sto cercando eventuali problemi di sicurezza. Quali problemi...
posta 24.02.2017 - 00:10
3
risposte

È possibile violare l'istruzione preparata e le stored procedure con una stringa di query sql non sicura

Recentemente quando stavo guardando un codice che sembra più o meno come questo: $query = "call someProcedure(?,?,{$unsafeString})"; Poi c'è un codice dove viene preparato l'elenco degli argomenti e dopo questo, viene generata una dichiara...
posta 22.02.2017 - 16:44
1
risposta

Nome file symlink - possibile exploit?

Ho trovato una vulnerabilità in uno dei miei siti web gestiti in cui posso dare qualsiasi nome al link sorgente del nome file symlink. Non posso però controllare il collegamento della directory di destinazione. Inoltre posso creare tanti link si...
posta 24.07.2017 - 02:37
2
risposte

Filtrando JavaScript da HTML per prevenire XSS?

Sto facendo un esercizio per ricucire una versione precedente del mio lavoro dalla e-class universitaria. È scritto in PHP e richiede la versione 5.3.27. Una delle cose che voglio applicare è prevenire l'XSS. Il sito utilizza un vecchio editor (...
posta 16.04.2017 - 13:22
1
risposta

L'utilizzo di intestazioni PHP durante l'accesso rende il modulo vulnerabile agli attacchi?

Non pensavo così, ma leggendo online sembra che questo tipo di codice sia vulnerabile perché non sto finendo con exit(); e potrebbe quindi essere sfruttato reindirizzando o modificando il contenuto delle intestazioni. Ho provato a sfrutt...
posta 22.03.2017 - 19:09
1
risposta

Il server viene infettato da file dannosi

Ho molti file php che sono stati inseriti nel mio server con lo scopo della posta indesiderata. Quando controllo il log di accesso di apache, noto la seguente riga: 95.213.177.123 - - [07/Mar/2017:12:28:50 -0700] "POST http://check.proxyrad...
posta 08.03.2017 - 01:41
1
risposta

Caratteri extra PBKDF2 nell'output SHA-512

Oggi stavo usando hash_pbkdf2 quando ho notato qualcosa di strano. Il modo normale per generare un hash è quello di produrre l'intera stringa come il codice qui sotto che emette una stringa di 128 caratteri (128 caratteri, 4 bit ciascuno, 512...
posta 19.12.2016 - 23:32