Domande con tag 'php'

domande con tag
1
risposta

OpenSSL_decrypt restituisce un testo cifrato errato?

Sto cercando di utilizzare la funzione openssl_encrypt in PHP, questo è il mio codice: <?php $message = hex2bin("00112233445566778899aabbccddeeff"); $key = hex2bin("000102030405060708090a0b0c0d0e0f"); $method = "AES-128-ECB"; $cypher...
posta 19.03.2016 - 21:17
2
risposte

Memorizza le password come numeri interi

Mi è venuta in mente questa idea di poter memorizzare password come numeri interi che occupano 4 o 8 byte anziché un hash che richiede 150 byte o qualcosa del genere. Ho scritto questa funzione che converte una stringa in un intero basato su alc...
posta 24.06.2016 - 08:58
2
risposte

Vulnerabilità nell'esecuzione di codice in modalità remota in base64_decode di PHP?

Sto provando a pentestare uno script PHP. Questa è la ultima riga dello script che voglio sfruttare: Header("Location: ".TOP_DIR."/".base64_decode($_GET['ref'])."&imgid=".$_GET['imgid']); È vulnerabile all'esecuzione di codice in m...
posta 11.07.2016 - 03:23
1
risposta

Come scansionare il codice PHP per le funzioni vulnerabili? [chiuso]

Ho visto un rapporto pentest e c'era una sezione in cui il pentestore elenca tutte le funzioni che sono vulnerabili in PHP. Come ha fatto a scannerizzare il codice e quali strumenti possono essere utilizzati, ed è possibile farlo senza avere acc...
posta 04.12.2017 - 08:38
4
risposte

Protezione dagli attacchi della console

Sto creando un'app web utilizzando PHP e jQuery Ajax per il mio lato client. Quando stavo testando alcuni elementi di sicurezza, ho pensato di inserire un account utente malintenzionato con accesso amministrativo nel database eseguendo una chiam...
posta 24.10.2017 - 07:14
1
risposta

Qual era lo scopo di questa richiesta php codificata URL contro il mio server web? [duplicare]

Ho visto questa voce nel registro del mio server web di recente 179.x.x.x - - [19/Oct/2017:01:40:30 +1300] "POST //%63%67%69%2D%62%69%6E/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%...
posta 22.10.2017 - 20:47
4
risposte

Meccanismo di protezione CSRF personalizzato senza token persistenti

Ho avuto questa funzionalità (protezione csrf) da un po 'di tempo. La cosa che non mi è mai piaciuta è che ha salvato i token csrf nel file di sessione. Anche se potrebbe non essere un problema reale, lo vedo come un dolore perché alla fine i to...
posta 29.05.2015 - 19:31
2
risposte

Sicurezza su Ubuntu 12.04 LTS Server for Business App

Sto sviluppando un'applicazione di bussines basata su php e mysql sul server di ubuntu 12.04 lts. Ho chiuso tutte le porte tranne: 80 e il codice php può essere eseguito solo da login di sicurezza e non utilizzando i cookie ma la sessione. Qu...
posta 02.12.2013 - 11:01
1
risposta

Pericoli di PHP caricare documenti word in quarantena

Ho intenzione di scrivere uno script PHP che consentirà agli utenti Web di caricare documenti formattati MS Word. Ecco le precauzioni che sto prendendo: I nomi dei file verranno creati da me (qualcosa come YYYY-MM-DD.doc ) I file avran...
posta 30.04.2014 - 20:16
1
risposta

questo codice è valido per proteggere le password? [duplicare]

Mi chiedevo se questo è un metodo sicuro per una password di hashing. Se non è sicuro, ti prego, dimmi cosa fare per renderlo sicuro $pass='test'//the password $salt=openssl_random_pseudo_bytes(225);//generate salt $pre_hash_pass=hash('sha51...
posta 25.02.2014 - 18:04