Preguntas con etiqueta 'php'

preguntas con etiqueta
2
respuestas

¿Activado cgi.fix_pathinfo sigue siendo "peligroso" en Nginx?

En
hecha 11.01.2018 - 14:46
1
respuesta

¿Es la matriz de PHP no deseada para convertir la cadena un riesgo de seguridad?

Durante una prueba de penetración, noté que cambiar algunos de los parámetros HTTP GET de las cadenas esperadas a las matrices usando ?test[]=1 en lugar de ?test=1 . En PHP, esto se traduce en un error o en una conversión no deseada...
hecha 21.06.2017 - 12:41
1
respuesta

¿Por qué PHPs $ _REQUEST se considera malo?

De acuerdo con la hoja de trucos PHP de OWASP :    Se desaconseja enfáticamente el uso de $_REQUEST . Este súper global no se recomienda ya que incluye no solo los datos POST y GET, sino también las cookies enviadas por la solicitud. T...
hecha 12.10.2017 - 11:20
1
respuesta

¿Alguna vulnerabilidad de seguridad al usar nombres de archivos generados desde la base de datos?

Bien, por ejemplo, supongamos que tiene las configuraciones almacenadas en una base de datos donde el usuario selecciona el idioma del sitio. Por ejemplo, diga que el idioma que eligieron era inglés y ahora tiene una configuración de en...
hecha 21.11.2016 - 19:06
1
respuesta

¿Dónde debo almacenar una clave privada para una aplicación web?

Puede ser un duplicado de " ¿Cómo almacenar una clave RSA privada para una aplicación? " Así que me pidieron que hiciera una interfaz web en PHP que permita a los visitantes verificar la firma de un archivo utilizando SHA 256 con cifrado RS...
hecha 23.11.2016 - 19:08
2
respuestas

¿Cuáles son las mejores prácticas para confiar en las fuentes de conexión en software de código abierto?

Bastante conciso, pero lo explicaré con un ejemplo: Digamos que tengo una aplicación simple escrita en C # y quiero saber cuántas personas abren la aplicación al día. la solución más sencilla sería tener una función que enviara la marca de ti...
hecha 19.05.2016 - 03:41
1
respuesta

código PHP en el nombre de archivo ubicado en la carpeta / tmp. ¿Qué tan preocupado debería estar?

Recientemente descubrí un archivo oculto en /tmp de propiedad de proftpd que me preocupa un poco: -rw-r--r-- 1 proftpd nogroup <timestamp> 86 .<?php eval($_REQUEST[cmd]); ?> Intenté ver su con...
hecha 17.04.2016 - 11:24
1
respuesta

La mejor forma de hash de contraseñas en PHP 5.3.5

¿Cuál es la mejor manera de hash de contraseñas en PHP 5.3.5? Ya que en esta versión no tiene password_hash() .     
hecha 24.02.2016 - 07:03
2
respuestas

Decodificación de código PHP malicioso inyectado en mi servidor

Encontré problemas similares en Internet y comparé el código. Este es diferente. Hace poco descubrí que el servidor web CentOS LAMP que usamos para el desarrollo en nuestra oficina se infectó con una pieza de código PHP i...
hecha 04.12.2015 - 12:05
3
respuestas

¿Qué tan peligrosas son las versiones de PHP desactualizadas para mis clientes?

En la empresa donde trabajo (alojamiento web), nuestros clientes pueden elegir la versión de PHP que desean usar para su sitio web. Sin embargo, me acabo de dar cuenta de que todas las versiones de PHP ofrecidas están desactualizadas (es deci...
hecha 17.07.2015 - 10:07