Deshabilitar php: // filtrar globalmente o por archivo php

1

La inclusión de archivos locales / remotos es una vulnerabilidad grave. La mejor práctica para protegerse es establecer en php.ini:

allow_url_fopen = Off
allow_url_include = Off
open_basedir = /var/www/html

Claramente, la validación basada en listas blancas en la entrada del usuario también es importante, pero los desarrolladores cometen errores y la defensa en profundidad es la clave.

Incluso con la configuración anterior, el exploit php: //filter/convert.base64-encode/resource=index.php todavía funciona.

¿Hay alguna forma de deshabilitar php: // filter globalmente o por PHP?

    
pregunta user2716262 07.09.2018 - 18:07
fuente

0 respuestas

Lea otras preguntas en las etiquetas