Articles of security

Какой способ записи в системные файлы Linux с помощью PHP

Нам нужны некоторые сценарии для создания конфигурационных файлов для сетевых сервисов, таких как DHCP, DNS и Network, на основе ввода пользователем. Для этого требуется root-доступ, но я не знаю, как запустить PHP-приложение как root. Он проходит через общедоступный веб-интерфейс.

Почему я могу просмотреть исходный код PHP в Интернете?

Я купил очень хорошо известное стороннее php-based форум. Загружен на мой сервер, запустите его несколько недель. Сегодня утром, когда я нахожусь на своем сайте, он отображает весь код PHP, включая все комментарии и т. Д., Например, что вы увидите, если вы откроете его с помощью блокнота. Это было очень страшно, моя база данных, которая находится […]

Сертификат SSL. Для каких страниц?

На каких страницах нужно использовать SSL-сертификат для интернет-магазина? Этот сайт доступен только для зарегистрированных пользователей, и оплата производится с использованием стороннего поставщика. Я полагаю: логин, регистрация, смена пароля. Любая другая рекомендация?

Проверить наличие вредоносного XML, прежде чем разрешить загрузку DTD?

Поскольку libxml 2.9, загрузка внешних объектов была отключена при разборе XML, чтобы предотвратить атаки XXE . В этом случае, чтобы иметь возможность загружать DTD-файл при разборе XML с помощью DOMDocument PHP, необходимо указать LIBXML_DTDLOAD . Что было бы хорошим способом проверить, будет ли загружен только ожидаемый DTD, до включения LIBXML_DTDLOAD ? Один из подходов, который […]

PHP Web Application (Magento) взломан; Что делает этот код хакера?

Я был просто взломан на моей установке Magento 1.3.2.4. Можете ли вы сказать мне, что является целью этого кода? Также, как остановить это и как обнаружить уязвимость? спасибо function net_match ( $network , $ip ) { $ip_arr = explode ( '/' , $network ); $network_long = ip2long ( $ip_arr [ 0 ]); $x = ip2long […]

JQuery Ajax Voting

Я использую это руководство JQuery Ajax Voting в качестве приблизительной справки, но я немного обеспокоен безопасностью этого. Сейчас это руководство в основном хранит идентификатор чего-то и статистику голосования для него. Я хотел бы пойти с подобной идеей, но мне нужно включить идентификатор пользователя, чтобы пользователь мог только проголосовать один раз. Это хранится в переменной сеанса […]

Внедрение (безопасное) Api Keys в приложении

Я написал веб-приложение, и я хотел бы разрешить другим разработчикам получать информацию от него. Сервер Im, работающий над этим, не является тем, что многие из них не справляются с этой задачей, поэтому идея состоит в том, чтобы генерировать и присваивать ключи api всем, кто хочет запросить нашу информацию. С ключами Api я могу ограничить ежедневные […]

Правильный способ создания соленых хеш-паролей

Я новичок в хранении паролей в базах данных и из того, что я прочитал, я создал простой скрипт php ниже <?php $salt = openssl_random_pseudo_bytes (16); $password = "test"; $hash = hash ("sha512" , $salt . $password); echo $hash; ?> Правильно ли я делаю это? Должна ли соль храниться в базах данных в виде байтового типа […]

Как сделать MD5 более безопасным? Или это действительно необходимо?

Я храню имя пользователя и пароль в базе данных MySQL и их хэшируют с помощью MD5. Тем не менее, я использую только стандартную функцию PHP без каких-либо изменений. Теперь я прочитал, что MD5 сломан. Как вы это делаете? Вы запускаете его несколько раз с помощью другого механизма хеширования или добавляете какую-то форму соли?

post vs. put при отправке формы

При оценке того, что форма была отправлена, я проверяю, что метод был опубликован, а не получал. Мне сказали, что это хороший способ узнать, что форма была отправлена, нажав кнопку отправки и что она не просто отправляется сценарием, передающим данные в URL-адресе. Как насчет метода «put». Кажется очень похоже на «пост». Можно ли более или менее […]