Domande con tag 'php'

domande con tag
2
risposte

Generazione di token di autenticazione da sessioni PHP

Ho un sito PHP tradizionale che usa sessioni. Ho sviluppato un'applicazione in tempo reale su nodejs e desidero autenticare gli utenti qui in base alla loro sessione PHP. La procedura dovrebbe essere simile a questa: Client AJAX è una pagina...
posta 26.01.2015 - 12:21
1
risposta

Come utilizzare l'operatore mySQL UNION in SQL injection, con parametore di password iniettabile?

Qualcuno può darmi un esempio di iniezione sql con l'operatore UNION, che restituisce utenti e password, per quanto riguarda l'esempio di php muggito. Sono riuscito a iniettare semplice 1 o 1 = 1 ... nel parametro pass, ma finora non è riuscito...
posta 02.02.2015 - 03:02
1
risposta

PHP sarebbe rischioso (usando i dati hackable per include)

mysql_select_db($db.'_'.$table); include("/home/site/includes/".$type."/functions.php"); Sarebbe una cattiva idea se $ table e $ type fossero valori passati via ajax da uno script JS? E questo .. $function($args); Se il valore per...
posta 24.10.2014 - 00:10
1
risposta

La seguente funzione può essere sfruttata / utilizzata in qualche modo per comportamenti dannosi?

Sto usando una classe principale di Site Engine che sta costruendo la maggior parte delle mie pagine. Sto utilizzando questa funzione di lingua per cambiare il sito web della lingua per tutte le mie pagine all'inizio della classe del motore del...
posta 20.10.2014 - 15:55
1
risposta

Con SSL: non salvando le sessioni, i cookie non vengono inviati

Il mio scopo è avere un sito completamente SSL. L'host Web ha fornito questo formato di URL per il mio SSL server condiviso: link dove www.example.com è il nome del dominio. Ho condotto i seguenti test per provare a isolare il problema, ma...
posta 23.11.2014 - 21:37
1
risposta

Ottenere attacchi con null byte injection per funzionare con PHP 5.2.17

Sto cercando di capire come gli attacchi di null byte injection nel codice PHP abbiano funzionato prima che venissero rattoppati in PHP 5.3.4. Ho questa pagina HTML di esempio che è una versione leggermente modificata di ciò che è mostrato qui...
posta 29.08.2014 - 18:20
3
risposte

Quali sono alcuni buoni modi per impedire a un visitatore malintenzionato di massimizzare le chiamate di servizio massime consentite dall'API dei nostri clienti?

Gestiamo un servizio API. Abbiamo fornito al nostro cliente un pacchetto per il limite massimo di 12000 chiamate API al giorno. Ci ha riferito che un utente ha visitato di proposito la sua pagina web 12.000 volte al giorno per massimizzarlo. Abb...
posta 02.02.2014 - 14:15
1
risposta

Accesso "Ghost" a un file php su un server web

Sto sviluppando un progetto personale e una parte del progetto è un sito Web php, ospitato su hostinger come piano gratuito, che consente ai client di eseguire il ping su di esso e memorizza l'IP WAN e l'IP NAT di essi. Possono eseguire il...
posta 03.06.2014 - 13:52
1
risposta

Qualcuno sta cercando di sfruttare una vulnerabilità?

Sul nostro sito Web, quando viene rilevato un ID di sessione PHP non valido, viene registrato e rigenerato. Questa sessione non valida è stata registrata: n040jl1nujch72tkrmr0uilnl1, s_vi=[CS]v1|2A19B9B4853135D2-60000109E00013F4[CE]...
posta 10.10.2014 - 10:56
1
risposta

Path Truncation non funziona in PHP durante lo sfruttamento di LFI

Da quanto ho capito in PHP '/ etc / passwd /' o '/etc/passwd/./././' dovrebbe essere trattato come '/ etc / passwd' Sto usando PHP 5.4 e questo non sembra essere vero: php -r "include('/etc/passwd'); " funziona bene ma php -r "in...
posta 25.05.2014 - 17:04