Pokaż wyniki 1 do 9 z 9

Temat: phpinfo dostepne dla kazdego?

  1. #1
    Zarejestrowany
    Jun 2010
    Postów
    226

    Domyślnie phpinfo dostepne dla kazdego?

    Witam.
    Mam pytanie. Czy ujawnianie phpinfo.php jest zlym pomyslem?
    Szukalem informacji na ten temat ale zdania sa podzielone.

  2. #2
    Zarejestrowany
    Nov 2006
    Skąd
    Polska/Poland
    Postów
    1,191

    Domyślnie

    Jak potrzebujesz ujawniać takie info to ujawniasz,
    jak nie ma potrzeby ja bym nie ujawniał.
    ***********
    * markossx *
    ***********

  3. #3
    Zarejestrowany
    Jun 2010
    Postów
    226

    Domyślnie

    A jesli strona jest podatna na path traversal nie ulatwi to czasami atakujacemu przeskoczenie do jakiegos folderu etc?

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Generalna zasada bezpieczenstwa to ujawniac jak najmniej informacji o serwerze i konfiguracji.

    phpinfo mowi o sciezkach, wersjach bibliotek, wersji php itd - znajac te informacje mam znacznie wieksze szanse przygotowac atak ktory zadziala niz gdybym mial zgadywac i testowac rozne warianty w nadziei ze sie uda. Po co ulatiwac skiddies robote?
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5
    Zarejestrowany
    Jun 2010
    Postów
    226

    Domyślnie

    Jeszcze jedno pytanie. Jesli jakis portal w intranecie posiada dziury w stylu SQL injection i XSS powinienem dac sie zbyc wytlumaczeniem ze wszystko jest ok bo serwis nie jest publicznie dostepny i stoi za firewallem?

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Serwis stoi za firewallem ktory przepuszcza ruch HTTP(s) wiec jest tak jakby go tam nie bylo, bo SQLi i XSS to ataki uzywajace HTTP(s) do komunikacji.

    Jesli jakas firma ci takie cos mowi to czas szukac innej firmy.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  7. #7
    Zarejestrowany
    Jun 2010
    Postów
    226

    Domyślnie

    Sql injection juz zalatalem. Teraz XSS.
    I w pelni sie z Toba zgadzam. Ale to czesta praktyka bo wszyscy mysla ze jak cos jest w intranecie to juz nic zlego sie nie wydarzy...
    Jak juz skoncze latac wszystko zademonstruje co mozna z tymi wszystkimi dziurami zrobic.

    Odejsc nie odejde kotrakt Pozatym druga tego typu firme znajde albo w chinach albo za oceanem wiec zostaje ^^

  8. #8
    Zarejestrowany
    Dec 2014
    Postów
    1

    Domyślnie

    Właściciel routera może Cię podglądać, ISP też z tym że myśli że to właściciel sieci do której się podłączysz. Sprawdz co to VPN

  9. #9
    Zarejestrowany
    Jan 2009
    Postów
    836

    Domyślnie

    do phpinfo wrzuć jeszcze aktualne wersje usług : ) ale byś wtedy ułatwił pracę xD Im więcej danych ujawnionych jest publicznie tym lepiej - i ja wcale nie powiedziałem, że dla Was lepiej

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52