Domande con tag 'php'

domande con tag
2
risposte

I nomi delle directory che utilizzano le estensioni rappresentano un rischio per la sicurezza?

Nella nostra app (PHP, MySQL) consentiamo agli utenti di creare modelli che sono memorizzati nella propria sottodirectory (che viene chiamata con il nome del modello). Qualcuno ha suggerito di utilizzare l'igienizzazione dei nomi di file stan...
posta 26.05.2014 - 15:39
2
risposte

Quali permessi dovrei dare a un 'utente' MySQL che cerca nel mio database?

Il mio sito ha un modulo di ricerca, che interroga alcune tabelle per qualsiasi cosa i miei utenti finali vogliano trovare. Quali autorizzazioni devo fornire al mio utente MySQL per cercare nel database e aggiornare la colonna "tempi di ricer...
posta 18.12.2013 - 15:32
2
risposte

Gestori PHP e memorizzazione nella cache

Recentemente ho iniziato a configurare il nostro server di produzione per un nuovo sito Drupal. Fino ad ora, ho sempre usato il gestore PHP predefinito mod_php, e ho rimosso i privilegi di scrittura per qualsiasi directory / file, eccetto dove p...
posta 23.12.2013 - 12:14
2
risposte

Iniezione file remoto nel database di aggiornamento modulo di blocco ARGS

Ricevo una pagina vietata perché mod_security la blocca con Iniezione file remota nella regola ARGS. Come faccio a smettere di fare a meno di non includere gli URL nei campi del modulo o di rimuovere il prefisso http: // dell'URL prima dell'i...
posta 23.04.2013 - 17:47
1
risposta

IIS 7.5 WebDav Problemi di sicurezza con gli studenti

Salve Attualmente sto configurando un server per studenti universitari (inclusi anche studenti IT tecnologicamente avanzati) e userò IIS 7.5 con Webdav per consentire agli studenti di accedere ai loro file da casa. Il Webdav integrato filtra tut...
posta 12.10.2013 - 08:55
1
risposta

Reverse shell di PHP che si disconnette quando netcat listener

Durante l'esecuzione di un test di penetrazione su una casella di test, ho riscontrato una vulnerabilità relativa a LotusCMS: link Piuttosto che affidarsi a Metasploit o Meterpreter per eseguire questo exploit, ho letto il codice Metasploit...
posta 02.12.2018 - 18:02
1
risposta

Informazioni sulla sonda phpMyAdmin?

Diversi indirizzi IP chiamano vari domini alla ricerca di vari percorsi che potrebbero portare a PHP My Admin / scripts / setup.php Uno di questi indirizzi IP è 74.63.212.48 che ho appena scoperto di poter navigare per mostrare una pagina i...
posta 13.09.2011 - 00:04
0
risposte

Protezione CSRF e App per pagina singola su host S3 (senza back-end).

Ho una webapp scritta in js che gira su AWS S3. Non c'è modo di inizializzare un token CSRF sicuro al caricamento della pagina poiché non esiste un server di back-end. Il token deve essere recuperato tramite una chiamata AJAX al mio server API s...
posta 28.08.2018 - 01:45
0
risposte

Disabilita php: // filtro a livello globale o per file php

L'inclusione di file locali / remoti è una grave vulnerabilità. La migliore pratica per proteggersi è quella di impostare in php.ini: allow_url_fopen = Off allow_url_include = Off open_basedir = /var/www/html Chiaramente, anche la convalida...
posta 07.09.2018 - 18:07
1
risposta

Perché dovrei voler rimuovere il file wlwmanifest.xml in WordPress?

Spesso quando trovo risorse sulle vulnerabilità XML-RPC rispetto al file xmlrpc.php che si trova comunemente esposto su siti WordPress, trovo accanto al consiglio di rimuovere o bloccare il file xmlrpc.php che si consiglia anche di rim...
posta 18.07.2018 - 01:26