Domande con tag 'php'

domande con tag
1
risposta

Come posso rintracciare gli IP per bloccare utenti malintenzionati?

TL; DR: Voglio sapere se devo memorizzare REMOTE-ADDRESS e X-FORWARDED-FOR o REMOTE-ADDRESS o X-FORWARDED-FOR? Dettagli ... Ecco alcune teorie per ottenere l'IP dell'utente Theory1: se non usi un load balancer, usa REMOTE_ADDR . S...
posta 09.07.2016 - 00:16
2
risposte

RCE in uno script PHP che non ha permessi di scrittura

Quindi ho trovato una vulnerabilità RCE in uno script PHP (è in un file chiamato viewfile.php ). Fondamentalmente, da questo file posso eseguire qualsiasi codice PHP, ad esempio, <?php echo phpinfo(); ?> visualizza phpinfo e anche...
posta 08.07.2016 - 23:16
2
risposte

Un'immagine che mostra un errore di eccezione sul mio sito rappresenta un grave rischio per la sicurezza?

Ho scritto un piccolo sito web in PHP e ZF2. Avevi provato un amico pubblicandone un link su Facebook. A quanto pare ho dimenticato di disattivare la segnalazione di ZendFramework e ha trovato un errore. Ha pubblicato una foto dell'errore....
posta 21.05.2016 - 16:20
1
risposta

qual è il modo migliore per sapere se la chiave di decrittografia immessa è corretta?

Stavo cercando un modo per memorizzare la chiave di crittografia di AES_ENCRYPT e ho trovato una buona risposta qui: Dove memorizzare una chiave per la crittografia? Tuttavia, ora sto cercando di utilizzare "Digitare la chiave di crittograf...
posta 20.01.2016 - 10:02
1
risposta

Esci Protezione CSRF [duplicato]

Sto facendo un CMS e ho una protezione CSRF nelle impostazioni, nuovo articolo. Devo inserire questa protezione anche nel logout?     
posta 27.12.2015 - 21:56
1
risposta

Prima che un utente malintenzionato tenti di sfruttare eval (), come sospetterebbe che venga utilizzato da un'applicazione di destinazione?

Sto ponendo la domanda nel contesto di XSS RCE / RFI come risultato dello sfruttamento del eval() lato server. Si raccomanda spesso di evitare di usarlo, ma non mi è chiaro come si possa tentare di sfruttare qualcosa prima di capire se es...
posta 06.12.2015 - 20:47
1
risposta

Il sito WordPress è stato infettato da malware, impossibile trovare il dropper [duplicato]

Sono in una situazione un po 'noiosa. Ho ereditato le responsabilità di un multiservizio di WordPress, una volta gestito da altri appaltatori e quel sito è stato infettato da malware in grado di eliminare virus. Sono comunque in una scatola...
posta 18.12.2015 - 23:20
3
risposte

Autenticazione basata su token: cos'è una buona lunghezza di token?

Qual è una buona lunghezza del carattere token per un accesso basato su token? Attualmente sto usando il seguente codice: <?php $token = bin2hex(openssl_random_pseudo_bytes(16)); È 16 sufficiente o dovrei cambiarlo con un numero...
posta 22.07.2015 - 12:39
2
risposte

Se scrivo un lavoro nmap in crontab dal codice PHP per eseguire lo sfondo, come posso ottenere lo stato del cronjob nmap?

Sto provando a scrivere un test del codice php per scrivere una scansione nmap (con parametri) pianificata nel file crontab. Mentre nmap è in esecuzione mi piacerebbe avere lo stato di quella specifica scansione nmap. Ad esempio: quanti indir...
posta 20.07.2015 - 18:58
1
risposta

Leggere i commenti php usando la pagina php che apre file di testo, CTF [chiuso]

C'è un problema al CTF che ha bisogno di vedere i commenti di un file PHP usando alcune vulnerabilità di PHP; La domanda è: Nel muggito del collegamento È necessario modificare lorem.php per leggere i commenti esatti di php del file inde...
posta 03.06.2015 - 06:38