Användarbidrag av Admin

1 september 2024

• 06.201 september 2024 kl. 06.20 skillnad historik +5‎ Problem relaterade till null-byte ‎ →‎Sidslut senaste
• 06.201 september 2024 kl. 06.20 skillnad historik +1 735‎ N Problem relaterade till null-byte ‎ Skapade sidan med '== Problem relaterade till null-bytes == Eftersom PHP använder underliggande C-funktioner för filsystemrelaterade operationer, kan det hantera null-bytes på ett ganska oväntat sätt. Eftersom null-bytes markerar slutet på en sträng i C, kommer strängar som innehåller dem inte att betraktas i sin helhet utan endast fram till att en null-byte uppträder. Följande exempel visar en sårbar kod som demonstrerar detta problem: === Exempel #1 Skript sårbart för null...'
• 06.181 september 2024 kl. 06.18 skillnad historik +4 808‎ N Filsystemssäkerhet ‎ Skapade sidan med '== Filsystemsäkerhet == === Innehållsförteckning === * Null bytes relaterade problem PHP omfattas av säkerheten som är inbyggd i de flesta serversystem när det gäller behörigheter för filer och kataloger. Detta gör att du kan kontrollera vilka filer i filsystemet som kan läsas. Det är viktigt att vara försiktig med filer som är läsbara för alla användare för att säkerställa att de är säkra för läsning av alla som...' senaste
• 06.151 september 2024 kl. 06.15 skillnad historik +437‎ Sessionssäkerhet ‎ →‎Sessionsäkerhet senaste
• 06.141 september 2024 kl. 06.14 skillnad historik +8‎ Sessionssäkerhet ‎ →‎Sessionsäkerhet Märke: Visuell redigering
• 06.141 september 2024 kl. 06.14 skillnad historik +192‎ N Sessionssäkerhet ‎ Skapade sidan med '== Sessionsäkerhet == Det är viktigt att hålla HTTP-sessionshantering säker. Säkerhet relaterad till sessioner beskrivs i avsnittet om sessionssäkerhet i referensen för sessionsmodulen.'
• 06.141 september 2024 kl. 06.14 skillnad historik −24‎ Säkerhet ‎ →‎Introduktion Märke: Manuell återställning
• 06.131 september 2024 kl. 06.13 skillnad historik +24‎ Säkerhet ‎ →‎Introduktion Märke: Återställd
• 06.121 september 2024 kl. 06.12 skillnad historik −34‎ Installerad som en Apache-modul ‎ →‎Sidslut senaste
• 06.121 september 2024 kl. 06.12 skillnad historik +2 450‎ N Installerad som en Apache-modul ‎ Skapade sidan med '== Installerad som en Apache-modul == När PHP används som en Apache-modul ärver den Apaches användarbehörigheter (vanligtvis de för användaren "nobody"). Detta har flera konsekvenser för säkerhet och åtkomstkontroll. Till exempel, om du använder PHP för att komma åt en databas, såvida den databasen inte har inbyggd åtkomstkontroll, måste du göra databasen tillgänglig för användaren "nobody". Detta innebär att ett skadligt skript skulle kunna komma å...'
• 06.101 september 2024 kl. 06.10 skillnad historik +46‎ N Fall 1: Endast offentliga filer serveras ‎ Omdirigerar till Case 1: only public files served senaste Märke: Ny omdirigering
• 06.101 september 2024 kl. 06.10 skillnad historik +1‎ Säkerhet ‎ →‎Säkerhet
• 06.091 september 2024 kl. 06.09 skillnad historik +4‎ Säkerhet ‎ →‎Introduktion Märke: Visuell redigering
• 06.091 september 2024 kl. 06.09 skillnad historik −2‎ Säkerhet ‎ →‎Fall 1: Endast offentliga filer serveras
• 06.081 september 2024 kl. 06.08 skillnad historik −6‎ Säkerhet ‎ →‎Installerad som en Apache-modul
• 06.081 september 2024 kl. 06.08 skillnad historik +4‎ Säkerhet ‎ →‎Installerad som en Apache-modul Märke: Visuell redigering
• 06.071 september 2024 kl. 06.07 skillnad historik +52‎ N PHP-parser utanför webbträdet ‎ Omdirigerar till Case 4: PHP parser outside of web tree senaste Märke: Ny omdirigering
• 06.061 september 2024 kl. 06.06 skillnad historik +50‎ N Ställa in doc root eller user dir ‎ Omdirigerar till Case 3: setting doc root or user dir senaste Märke: Ny omdirigering
• 06.051 september 2024 kl. 06.05 skillnad historik +46‎ N Användning av cgi.force redirect ‎ Omdirigerar till Case 2: using cgi.force redirect senaste Märke: Ny omdirigering
• 06.021 september 2024 kl. 06.02 skillnad historik −3‎ Möjliga attacker ‎ →‎Möjliga attacker ¶ senaste
• 06.021 september 2024 kl. 06.02 skillnad historik −4‎ Möjliga attacker ‎ →‎Möjliga attacker ¶
• 06.011 september 2024 kl. 06.01 skillnad historik −4‎ Möjliga attacker ‎ →‎Möjliga attacker ¶
• 06.011 september 2024 kl. 06.01 skillnad historik +2 819‎ N Möjliga attacker ‎ Skapade sidan med '== Möjliga attacker ¶ == Att använda PHP som ett CGI-binär är ett alternativ för installationer som av någon anledning inte vill integrera PHP som en modul i serverprogramvara (som Apache), eller kommer att använda PHP med olika typer av CGI-omslag för att skapa säkra chroot- och setuid-miljöer för skript. Denna installation innebär vanligtvis att man installerar en exekverbar PHP-binär i webbserverns cgi-bin-katalog. CERT-rådgivning [https://www.cert.org/...'
• 05.591 september 2024 kl. 05.59 skillnad historik +11‎ Case 3: setting doc root or user dir ‎ →‎Sidslut senaste
• 05.591 september 2024 kl. 05.59 skillnad historik +36‎ Case 4: PHP parser outside of web tree ‎ →‎Sidslut senaste
• 05.581 september 2024 kl. 05.58 skillnad historik +1 218‎ N Case 4: PHP parser outside of web tree ‎ Skapade sidan med ' === Fall 4: PHP-parser utanför webbträdet === En mycket säker lösning är att placera PHP-parserns binärfil någonstans utanför webbträdet av filer, till exempel i `/usr/local/bin`. Den enda verkliga nackdelen med detta alternativ är att du nu måste lägga till en rad liknande: <pre> #!/usr/local/bin/php </pre> som den första raden i alla filer som innehåller PHP-taggar. Du måste också göra filen exekverbar, det vill säga behandla den precis som vilket...' Märke: Visuell redigering: Växlade
• 05.571 september 2024 kl. 05.57 skillnad historik +4‎ Possible attacks ‎ →‎Sidslut senaste Märke: Visuell redigering
• 05.571 september 2024 kl. 05.57 skillnad historik +31‎ Possible attacks ‎ →‎Sidslut
• 05.561 september 2024 kl. 05.56 skillnad historik +32‎ Case 1: only public files served ‎ →‎Sidslut senaste Märke: Visuell redigering
• 05.561 september 2024 kl. 05.56 skillnad historik +32‎ Case 2: using cgi.force redirect ‎ →‎Sidslut senaste Märke: Visuell redigering
• 05.551 september 2024 kl. 05.55 skillnad historik +32‎ Case 3: setting doc root or user dir ‎ →‎Sidslut Märke: Visuell redigering
• 05.551 september 2024 kl. 05.55 skillnad historik +2 553‎ N Case 3: setting doc root or user dir ‎ Skapade sidan med '=== Fall 3: inställning av doc_root eller user_dir === Att inkludera aktivt innehåll, som skript och exekverbara filer, i webbserverns dokumentkataloger betraktas ibland som en osäker praxis. Om, på grund av någon konfigurationsmiss, skripten inte exekveras utan visas som vanliga HTML-dokument, kan detta leda till läckage av immateriella rättigheter eller säkerhetsinformation som lösenord. Därför föredrar många systemadministratörer att sätta upp en annan...'
• 05.521 september 2024 kl. 05.52 skillnad historik +1 367‎ N Case 2: using cgi.force redirect ‎ Skapade sidan med '== Fall 2: använda cgi.force_redirect == Konfigurationsdirektivet `cgi.force_redirect` förhindrar att någon anropar PHP direkt med en URL som `http://min.server/cgi-bin/php/hemligtdir/script.php`. Istället kommer PHP endast att tolka i detta läge om förfrågan har gått igenom en omdirigeringsregel på webbservern. Vanligtvis görs omdirigeringen i Apache-konfigurationen med följande direktiv: <pre> Action php-script /cgi-bin/php AddHandler php-script .php </pre...'
• 05.461 september 2024 kl. 05.46 skillnad historik +441‎ Case 1: only public files served ‎Ingen redigeringssammanfattning
• 05.451 september 2024 kl. 05.45 skillnad historik +787‎ N Case 1: only public files served ‎ Skapade sidan med '=== Fall 1: endast offentliga filer serveras === Om din server inte har något innehåll som är begränsat av lösenord eller IP-baserad åtkomstkontroll, finns det inget behov av dessa konfigurationsalternativ. Om din webbserver inte tillåter omdirigeringar, eller om servern inte har något sätt att kommunicera med PHP-binären att förfrågan är en säker omdirigerad förfrågan, kan du aktivera ini-direktivet `cgi.force_redirect`. Du måste fortfarande se till att...'
• 05.431 september 2024 kl. 05.43 skillnad historik −4‎ Installerad som CGI-binär ‎ →‎Innehållsförteckning senaste
• 05.431 september 2024 kl. 05.43 skillnad historik +8‎ Installerad som CGI-binär ‎ →‎Sidslut
• 05.421 september 2024 kl. 05.42 skillnad historik −3‎ Possible attacks ‎ →‎Möjliga attacker
• 05.421 september 2024 kl. 05.42 skillnad historik +2 725‎ N Possible attacks ‎ Skapade sidan med '=== Möjliga attacker === Att använda PHP som en CGI-binär är ett alternativ för uppsättningar som av någon anledning inte vill integrera PHP som en modul i serverprogramvaran (som Apache), eller som kommer att använda PHP med olika typer av CGI-wrappers för att skapa säkra chroot- och setuid-miljöer för skript. Denna uppsättning innebär vanligtvis att den exekverbara PHP-binären installeras i webbserverns cgi-bin-katalog. CERT-advisory » CA-96.11 rekommen...'
• 05.411 september 2024 kl. 05.41 skillnad historik −1‎ Installerad som CGI-binär ‎Ingen redigeringssammanfattning
• 05.401 september 2024 kl. 05.40 skillnad historik +2‎ Installerad som CGI-binär ‎ →‎Sidslut
• 05.391 september 2024 kl. 05.39 skillnad historik +432‎ Installerad som CGI-binär ‎Ingen redigeringssammanfattning
• 05.391 september 2024 kl. 05.39 skillnad historik +439‎ N Installerad som CGI-binär ‎ Skapade sidan med '== Installerad som CGI-binär == === Innehållsförteckning === * Möjliga attacker * Fall 1: endast offentliga filer serveras * Fall 2: använda cgi.force_redirect * Fall 3: inställning av doc_root eller user_dir * Fall 4: PHP-tolk utanför webbträdet'
• 05.381 september 2024 kl. 05.38 skillnad historik +2 646‎ N Allmänna överväganden ‎ Skapade sidan med '== Allmänna överväganden == Ett helt säkert system är praktiskt taget omöjligt, så en strategi som ofta används inom säkerhetsyrket är att balansera risk och användbarhet. Om varje variabel som skickas in av en användare krävde två former av biometrisk validering (som en näthinneskanning och ett fingeravtryck), skulle du ha en extremt hög nivå av ansvarighet. Det skulle också ta en halvtimme att fylla i ett ganska komplext formulär, vilket skulle uppm...' senaste
• 05.371 september 2024 kl. 05.37 skillnad historik +1‎ Introduktion till säkerhet ‎ →‎Sidslut senaste
• 05.371 september 2024 kl. 05.37 skillnad historik +2 035‎ N Introduktion till säkerhet ‎ Skapade sidan med '== Introduktion == PHP är ett kraftfullt språk och tolken, oavsett om den är inkluderad i en webbserver som en modul eller exekveras som en separat CGI-binär, kan komma åt filer, köra kommandon och öppna nätverksanslutningar på servern. Dessa egenskaper gör att allt som körs på en webbserver är osäkert som standard. PHP är specifikt designat för att vara ett säkrare språk för att skriva CGI-program än Perl eller C, och med rätt val av kompileringsti...' Märke: Visuell redigering: Växlade
• 05.351 september 2024 kl. 05.35 skillnad historik +28‎ Säkerhet ‎ →‎Introduktion Märke: Visuell redigering
• 05.351 september 2024 kl. 05.35 skillnad historik +4‎ Säkerhet ‎ →‎Introduktion Märke: Visuell redigering
• 05.331 september 2024 kl. 05.33 skillnad historik −7‎ Säkerhet ‎ →‎Sidslut
• 05.331 september 2024 kl. 05.33 skillnad historik +1 088‎ N Säkerhet ‎ Skapade sidan med '== Säkerhet == === Introduktion === * Allmänna överväganden * Installerad som CGI-binär * Möjliga attacker === Fall 1: Endast offentliga filer serveras === * Användning av cgi.force_redirect * Ställa in doc_root eller user_dir * PHP-parser utanför webbträdet === Installerad som en Apache-modul === * Sessionssäkerhet * Filsystemssäkerhet * Problem relaterade till null-byte * Databassäkerhet * Utformning av database...'