Preguntas con etiqueta 'php'

1
respuesta

archivo default.php que se encuentra en el servidor, ¿es una amenaza para la seguridad?

Encontré un archivo llamado "default.php" en el servidor con el siguiente código eval(gzinflate(base64_decode( "DZVFrsUIggTv0qsqeWEmjXphZrafYdMyM7NPP/8IGcrILK90+Kf+2qka0qP8J0v3ksD+V5T5XJT//IdPfvI3u+k82yi0muQTczltOrzRR6OjCqMeqZYbZjBJA...
hecha 28.01.2013 - 11:01
6
respuestas

¿Es posible que un pirata informático descargue un archivo php sin ejecutarlo primero?

Tengo un sitio web de PHP donde todo está en la carpeta public_html \, incluida una carpeta includes con configuración y clases. Le dije a mi desarrollador que lo retirara de la carpeta pública, pero él dijo que no hay riesgo ya que los a...
hecha 08.05.2013 - 00:19
5
respuestas

¿Deben revelarse las contraseñas en un mensaje de error?

Estoy teniendo pet-peeve con clase de PDO de PHP . Como puede ver en la Nota de advertencia: revela la contraseña de la base de datos de manera predeterminada si no se detectó una excepción (cuando se muestran los errores de visualización, lo q...
hecha 29.05.2012 - 22:44
8
respuestas

¿Qué riesgos de seguridad existen al permitir que alguien cargue scripts PHP?

Supongamos que un socio desea cargar un script PHP en mi servidor Apache. ¿Qué tipo de caos podría ser causado por esto? ¿Qué parámetros de PHP plantean amenazas? Si esos parámetros de PHP están completamente deshabilitados, ¿permitiría inser...
hecha 21.03.2018 - 13:58
2
respuestas

¿Es la conversión indeseable de un número científico una vulnerabilidad?

En varias pruebas de penetración, noté que PHP está convirtiendo valores como 1e9 a 1000000000 , mientras que la longitud máxima de cadena aceptada de este número es 3 (en el almacenamiento de la base de datos y como propiedad ma...
hecha 20.06.2016 - 11:56
4
respuestas

¿Es $ _SERVER [] una fuente segura de datos en PHP?

¿Puedo confiar al 100% en $_SERVER[] para ser una fuente segura de datos que no necesito sanear como hago $_GET[] y $_POST[] ?     
hecha 09.03.2013 - 06:11
7
respuestas

¿Cómo reemplazar SSL / TLS?

Tengo que crear un sitio web para una ONG (Organización No Gubernamental), y ellos tienen las opciones mínimas de su proveedor, por lo que no pueden tener SSL / TLS (solo HTML / PHP / MySQL / JS) Los datos que van desde y hacia el servidor no...
hecha 16.12.2015 - 15:28
3
respuestas

¿Es seguro permitir que www-data ejecute comandos privilegiados?

He notado varias preguntas sobre Stack Overflow, como this , sobre la ejecución de comandos con privilegios de root utilizando PHP. La respuesta propuesta para agregar la línea www-data ALL=(ALL) NOPASSWD: ALL al archivo /etc/sudoers.d...
hecha 29.02.2016 - 20:13
1
respuesta

¿Es esto una puerta trasera?

Encontré el siguiente código en el sitio de mis clientes. Parece un backdoor típico oculto con hexadecimal, pero no estoy 100% seguro. <?php if(!isset($GLOBALS["\x616\x756\x61"])) { $ua=strtolower($_SERVER["\x484\x540\x5f5\x535\x527\x417\x4...
hecha 13.10.2014 - 16:58
1
respuesta

¿Cuál es el problema de seguridad con la codificación / decodificación base64?

enlace muestra la advertencia    ADVERTENCIA base64_decode () ha sido deshabilitado por razones de seguridad ¿Por qué? Además de las vulnerabilidades obvias que no tienen nada que ver con base64_decode (tratándolas como cifrado, co...
hecha 27.01.2017 - 21:05