Preguntas con etiqueta 'php'

preguntas con etiqueta
2
respuestas

¿Los nombres de directorio usando extensiones son un riesgo de seguridad?

En nuestra aplicación (PHP, MySQL) permitimos a los usuarios crear plantillas que se almacenan en su propio subdirectorio (que lleva el nombre de la plantilla). Alguien sugirió usar un saneamiento de nombre de archivo estándar, pero no estoy...
hecha 26.05.2014 - 13:39
2
respuestas

¿Qué permisos debo otorgar a un "usuario" de MySQL que busca en mi base de datos?

Mi sitio tiene un formulario de búsqueda, que consulta algunas tablas para lo que mis usuarios finales quieran encontrar. ¿Qué permisos debo otorgar a mi usuario de MySQL para buscar en la base de datos y actualizar la columna de "tiempos bus...
hecha 18.12.2013 - 14:32
2
respuestas

PHP Handlers and Caching

Recientemente comencé a configurar nuestro servidor de producción para un nuevo sitio de Drupal. Hasta ahora, siempre he usado el controlador predeterminado de PHP mod_php, y he eliminado los privilegios de escritura para cualquier directorio /...
hecha 23.12.2013 - 11:14
2
respuestas

Inyección remota de archivos en la base de datos de actualización de formularios ARGS

Estoy prohibiendo una página porque mod_security la bloquea con la Inyección de archivos remotos en la regla ARGS. ¿Cómo puedo detener esto aparte de no incluir las URL en los campos del formulario o eliminar el prefijo http: // de la URL ant...
hecha 23.04.2013 - 15:47
1
respuesta

Problemas de seguridad de WebDav de IIS 7.5 con estudiantes

Hola. Actualmente estoy configurando un servidor para estudiantes universitarios (esto también incluye a estudiantes de TI con conocimientos de tecnología) y utilizaré IIS 7.5 con Webdav para que los estudiantes accedan a sus archivos desde casa...
hecha 12.10.2013 - 06:55
1
respuesta

Revertir el shell de PHP desconectándose cuando el oyente de netcat

Mientras realizaba una prueba de penetración en un cuadro de prueba, encontré una vulnerabilidad relacionada con LotusCMS: enlace En lugar de confiar en Metasploit o Meterpreter para realizar este exploit, leí el código Metasploit y determi...
hecha 02.12.2018 - 17:02
1
respuesta

¿Información sobre la sonda phpMyAdmin?

Varias direcciones IP llaman a varios dominios en busca de varias rutas que podrían conducir a PHP My Admin / scripts / setup.php Una de esas direcciones IP es 74.63.212.48 , en la que acabo de descubrir que puedo navegar para ver una página...
hecha 12.09.2011 - 22:04
0
respuestas

Protección CSRF y aplicaciones de una sola página alojadas en S3 (sin backend).

Tengo una aplicación web escrita en js que se ejecuta en AWS S3. No hay manera de inicializar un token CSRF seguro en la carga de la página, ya que no hay un servidor de fondo. El token se debe recuperar a través de una llamada AJAX a mi servido...
hecha 27.08.2018 - 23:45
0
respuestas

Deshabilitar php: // filtrar globalmente o por archivo php

La inclusión de archivos locales / remotos es una vulnerabilidad grave. La mejor práctica para protegerse es establecer en php.ini: allow_url_fopen = Off allow_url_include = Off open_basedir = /var/www/html Claramente, la validación basada...
hecha 07.09.2018 - 16:07
1
respuesta

¿Por qué podría querer eliminar el archivo wlwmanifest.xml en WordPress?

A menudo, cuando encuentro recursos sobre vulnerabilidades de XML-RPC con respecto al archivo xmlrpc.php que se encuentran comúnmente expuestos en los sitios de WordPress, encuentro junto con la recomendación de eliminar o bloquear el arc...
hecha 17.07.2018 - 23:26