¿Alguna solución para pasar una prueba de penetración para una aplicación web php sin actualizar la aplicación?

Navega tus respuestas
2

A lista de vulnerabilidad para mi versión PHP del proyecto. El cliente preferiría no actualizar la versión de PHP a la última versión. Además, es bastante probable que algún código se rompa después del cambio de 5.1.6 a 5.3.0. Hay, sin embargo, dos problemas que enfrento:

  • Algunas vulnerabilidades no se pueden resolver con código, solo se pueden resolver compilando PHP con las correcciones; Me veo obligado a reescribir el código para evitarlos
  • Parece que no puedo encontrar PoC (prueba de concepto) para la mayoría de las vulnerabilidades; ¿Cómo puedo saber si los he solucionado / dónde está el problema, precisamente?

Cualquier consejo es muy apreciado.

    
pregunta Valentin Brasso 31.07.2012 - 19:40
fuente

2 respuestas

3

Actualizar y volver a escribir parte del código será la forma más segura de abordar las vulnerabilidades. Dependiendo de cómo se accede a su aplicación, puede ver algunas perspectivas diferentes.

Si se accede a este desde el exterior en Internet, supongo que los usuarios estarían dentro de un ámbito geográfico específico. Ex. Sitio en Florida para una empresa local con productos locales. Podrías bloquear todo el tráfico internacional ya que no sería necesario.

Si se trata de una aplicación de intranet interna, simplemente supervise la red para que cualquier persona haga algo sospechoso.

Si está en Internet con la exposición internacional como un requisito, mantenga todo actualizado y actualizado porque lo escanearán.

    
respondido por el Brad 01.08.2012 - 00:37
fuente
1

Puede ver si puede mitigar algunos de los riesgos con mod_security enlace

    
respondido por el Phillip Nordwall 31.07.2012 - 21:35
fuente

Lea otras preguntas en las etiquetas

¿Se puede usar la computadora mientras se analizan en busca de virus? Al almacenar solo la parte BIN de PAN, ¿califica esto como un PAN completo?