¿Pueden los formularios aislados ser peligrosos para la seguridad de mi servidor? [cerrado]

Navega tus respuestas
0

Estoy aprendiendo PHP y al mismo tiempo escribo los ejemplos que obtengo del libro en las páginas .php para probarlas y, finalmente, publicarlas. Mi preocupación es sobre un montón de formularios que están ahí para probar los códigos; estas son formas muy básicas que no tienen un código de validación y me gustaría saber si alguien podría hacer cosas malas en mis archivos / alojamiento al inyectarles códigos. En realidad, estos formularios no apuntan a ningún dato importante, solo están allí para escribir en la página web, pero sin guardar información, pero tengo esta preocupación ya que no tengo conocimiento de estos idiomas web.

    
pregunta 23.01.2014 - 14:30
fuente

3 respuestas

1

Creo que está preguntando sobre un formulario que enviará los datos al servidor, y los datos se inyectarán en un archivo .php (o se ejecutarán sobre la marcha) y luego se verá la salida como una forma de previsualizar Comandos PHP en un entorno de aprendizaje PHP. Mirando su comentario , es claro que esto es lo que intentas hacer.

No hagas eso. Básicamente, estás proporcionando un eval acceso abierto a tu servidor. Tendrá que pasar innumerables horas filtrando declaraciones de PHP maliciosas y llamadas a funciones, y no las detectará todas; extrañarás algo . Hay otras personas inteligentes que han pasado mucho tiempo desarrollar dichos servicios de manera segura.

Cree y lea todos los tutoriales que necesita, pero cuando quiera que otros lo prueben, cuando quiera probar o dejar que otros lo hagan, use los servicios diseñados para eso. Otra posibilidad es usar algo como EasyPHP o XAMPP para tener tu propio entorno de desarrollo en tu propia computadora.

    
respondido por el Adi 23.01.2014 - 15:27
fuente
1

Su principal preocupación, si puede usar estos scripts para "escribir" en la página, es Scripting entre sitios ( XSS) . También debe tener en cuenta que solo porque no se vincula a un archivo, no significa que alguien no lo encontrará en su sitio. Hay herramientas (por ejemplo, dirbuster) que pueden forzar los nombres de archivos y directorios en los servidores web para encontrar cosas interesantes como scripts de administración.

Línea inferior: no coloque datos de prueba en su servidor de producción o, si absolutamente debe , al menos coloque los scripts en un directorio protegido por una contraseña (por ejemplo, htpasswd para Apache).

EDITAR: Adnan señala que desea ejecutar código PHP arbitrario en su servidor, enviado por los usuarios. Esa es la definición de un horrible agujero de seguridad. La forma en que otros sitios lo consiguen es a través de la instalación de PHP y la lista negra de comandos riesgosos, pero aún así no es perfecto. ¿Mi sugerencia? No intente hacer esto si no tiene mucha experiencia en PHP, administración de Linux y seguridad.

    
respondido por el Polynomial 23.01.2014 - 15:15
fuente
0

La respuesta a tu pregunta es "sí". Dependiendo de cómo y qué está haciendo en esas pruebas aisladas, y esto en relación con el hecho de que usted es un novato en estos idiomas, es muy probable que termine teniendo una puerta trasera que permita que un usuario malintencionado controle al usuario http de su servidor y él podrá escribir archivos, listarlos, modificarlos ...

Las pruebas deben realizarse en entornos de prueba controlados. ES DECIR. tu propia pc =)

    
respondido por el kiBytes 23.01.2014 - 15:21
fuente

Lea otras preguntas en las etiquetas

Imágenes inyectadas Agregar un complemento a meterpreter