Preguntas con etiqueta 'php'

preguntas con etiqueta
1
respuesta

¿Cómo puedo rastrear las direcciones IP para bloquear usuarios malintencionados?

TL; DR: Quiero saber si debo guardar tanto REMOTE-ADDRESS como X-FORWARDED-FOR o REMOTE-ADDRESS o X-FORWARDED-FOR? Detalles ... Aquí hay algunas teorías para obtener la IP del usuario Theory1: Si no usa un equilibrador de carga, use...
hecha 08.07.2016 - 22:16
2
respuestas

RCE en un script PHP que no tiene permisos de escritura

Así que encontré una vulnerabilidad de RCE en un script PHP (está en un archivo llamado viewfile.php ). Básicamente, desde este archivo puedo ejecutar cualquier código PHP que desee, por ejemplo, <?php echo phpinfo(); ?> muest...
hecha 08.07.2016 - 21:16
2
respuestas

¿Una imagen que muestra un error de excepción en mi sitio representa un riesgo de seguridad importante?

Escribí un pequeño sitio web en PHP y ZF2. Un amigo lo probó publicando un enlace en Facebook. Aparentemente olvidé apagar los informes de ZendFramework y él encontró un error. Publicó una foto del error. En la foto, se expone que estoy...
hecha 21.05.2016 - 14:20
1
respuesta

¿cuál es la mejor manera de saber si la clave de descifrado ingresada es correcta?

Estaba buscando una forma de almacenar la clave de cifrado de AES_ENCRYPT y encontré una buena respuesta aquí: ¿Dónde almacenar una clave para cifrado? Sin embargo, ahora estoy tratando de usar "Escribir la clave de cifrado al iniciar" y gu...
hecha 20.01.2016 - 09:02
1
respuesta

Cerrar sesión CSRF Protección [duplicado]

Estoy haciendo un CMS y tengo una protección CSRF en la configuración, nuevo artículo. ¿Debo también poner esta protección en el cierre de sesión?     
hecha 27.12.2015 - 20:56
1
respuesta

El sitio de WordPress está infectado con malware, no puede encontrar el cuentagotas [duplicar]

Estoy en una situación un poco molesta. Heredé las responsabilidades de un multisitio de WordPress una vez administrado de otros contratistas y ese sitio ha sido infectado con virus que eliminan el malware. Sin embargo, estoy en una caja ne...
hecha 18.12.2015 - 22:20
1
respuesta

Antes de que un atacante intente explotar eval (), ¿cómo sospecharían que está siendo utilizado por una aplicación de destino?

Estoy haciendo la pregunta en el contexto de XSS RCE / RFI como resultado de la explotación de eval() del lado del servidor. A menudo se recomienda evitar su uso, pero no me queda claro cómo se intentaría explotar algo antes de averigua...
hecha 06.12.2015 - 19:47
3
respuestas

Autenticación basada en token: ¿cuál es una buena longitud de token?

¿Cuál es la longitud de un buen token para un inicio de sesión basado en token? Actualmente estoy usando el siguiente código: <?php $token = bin2hex(openssl_random_pseudo_bytes(16)); ¿Es 16 suficiente o debería cambiarlo con un n...
hecha 22.07.2015 - 10:39
2
respuestas

Si escribo un trabajo nmap en crontab desde código PHP para ejecutar el fondo, ¿cómo puedo obtener el estado del cronjob nmap?

Estoy tratando de escribir una prueba de código php para escribir un escaneo de nmap (con parámetros) programado en el archivo crontab. Mientras se está ejecutando el nmap, me gustaría obtener el estado de ese escaneo de nmap específico. Por...
hecha 20.07.2015 - 16:58
1
respuesta

Leyendo comentarios php usando la página php que abre archivos de texto, CTF [cerrado]

Hay un problema de CTF que necesita ver los comentarios de un archivo PHP usando algunas vulnerabilidades de PHP; La pregunta es: En el siguiente enlace debe cambiar lorem.php para leer los comentarios php exactos del archivo index.ph...
hecha 03.06.2015 - 04:38