Domande con tag 'php'

domande con tag
2
risposte

Modifica delle estensioni di file nel caricamento di file PHP per impedire l'esecuzione del codice?

Penso che in un caricamento di file PHP è consigliabile archiviare file al di fuori della radice del documento con un nome di file generato in modo casuale e dire al server di renderli non eseguibili, quindi il file non verrà eseguito da un tent...
posta 23.01.2017 - 16:13
2
risposte

Sta usando password_verify ($ password, "") per bloccare l'accesso a un account sicuro?

Stiamo migrando un vecchio sito Web, che utilizzava un hashing della password piuttosto vecchio alla nuova funzione di verifica della password php. Il vecchio metodo usava un vecchio hash, e vorremmo usare password_verify invece del vecchio...
posta 23.01.2017 - 11:14
1
risposta

Includere i dati di input nello stiramento delle chiavi?

Follow-up di questa domanda: strong hashing PHP senza sale . Senza entrare nei dettagli, l'uso di bcrypt senza sale / pepe è un po 'complesso per il mio caso, quindi resto su un'implementazione "in loop". Nella "versione 1" di seguito, st...
posta 26.12.2016 - 13:50
1
risposta

Bypassing del filtro di directory trasversale con input separati di cartelle e file

Sto tentando di eseguire un attacco Path Traversal su un sito Web molto semplice solo a fini didattici. Quello che devo fare è accedere a un file chiamato passwords.txt situato in \files\private\admin\passwords.txt , I am su \fil...
posta 23.12.2016 - 22:27
1
risposta

iDevAffiliate vulnerabile a un caricamento di file, come possiamo limitare il danno?

Il software di affiliazione iDevAffiliate fornisce software di affiliazione per avviare il monitoraggio delle affiliazioni. È protetto da ioncube che rende piuttosto difficile il controllo del codice per la vulnerabilità. È il punto di ingres...
posta 28.12.2016 - 13:25
1
risposta

Questa generazione di URL del progetto è sicura?

Nei procedimenti di risposta della mia domanda ho trovato un modo per generare un URL del progetto indipendentemente dal percorso del progetto in Document root. Se in un file nella radice del progetto definisco quanto segue: define(PROJEC...
posta 25.10.2016 - 18:37
2
risposte

Qual è il metodo migliore per archiviare l'host SQL, il nome utente e la password per più database?

Ho un progetto di grandi dimensioni con più server Web (uno per ogni client), un'applicazione (per tutti i client) e più database SQL (uno per ciascun client) come illustrato di seguito. . Per motivi di sicurezza ho bisogno di avere pass...
posta 02.01.2017 - 17:46
1
risposta

differenza tra rc4-40 e rc4 in OpenSSL

Stavo testando rc4-40 out con una chiave a 200 bit (25 byte) e, con mia sorpresa, i risultati erano identici a quelli di rc4 : <?php $key_size = 25; $key = ''; for ($i = 0; $i < $key_size; $i++) { $key.= chr(mt_rand(0, 255))...
posta 18.01.2017 - 17:00
1
risposta

Memorizza la chiave di crittografia in $ _SESSION contro $ _COOKIE?

Leggendo il tutorial qui: link (scenario # 2) Si consiglia di memorizzare la chiave di crittografia in una variabile di sessione. Mi stavo chiedendo, è più sicuro memorizzare la chiave in una variabile cookie invece? La mia ipotesi:...
posta 10.09.2016 - 22:29
1
risposta

A quali attacchi di sicurezza è aperto il mio semplice sistema di carrelli?

Sto mettendo insieme un sito semplice con un processo di checkout di base. Sto usando laravel 5.2. Quando un utente fa una visita, le applicazioni controllano se un cookie è stato inserito con un hash cookie - l'hash è lungo 70 caratteri. Se c'è...
posta 19.08.2016 - 13:57