Witam.
Mam pytanie. Czy ujawnianie phpinfo.php jest zlym pomyslem?
Szukalem informacji na ten temat ale zdania sa podzielone.
phpinfo dostepne dla kazdego?
Witam.
Mam pytanie. Czy ujawnianie phpinfo.php jest zlym pomyslem?
Szukalem informacji na ten temat ale zdania sa podzielone.
Jak potrzebujesz ujawniać takie info to ujawniasz,
jak nie ma potrzeby ja bym nie ujawniał.
***********
* markossx *
***********
A jesli strona jest podatna na path traversal nie ulatwi to czasami atakujacemu przeskoczenie do jakiegos folderu etc?
Generalna zasada bezpieczenstwa to ujawniac jak najmniej informacji o serwerze i konfiguracji.
phpinfo mowi o sciezkach, wersjach bibliotek, wersji php itd - znajac te informacje mam znacznie wieksze szanse przygotowac atak ktory zadziala niz gdybym mial zgadywac i testowac rozne warianty w nadziei ze sie uda. Po co ulatiwac skiddies robote?
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)
Jeszcze jedno pytanie. Jesli jakis portal w intranecie posiada dziury w stylu SQL injection i XSS powinienem dac sie zbyc wytlumaczeniem ze wszystko jest ok bo serwis nie jest publicznie dostepny i stoi za firewallem?
Serwis stoi za firewallem ktory przepuszcza ruch HTTP(s) wiec jest tak jakby go tam nie bylo, bo SQLi i XSS to ataki uzywajace HTTP(s) do komunikacji.
Jesli jakas firma ci takie cos mowi to czas szukac innej firmy.
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)
Zasady Postowania
Copyright © 2006-2025 - HACK.pl. Wszelkie prawa zastrzeżone.
Odpowiedź z Cytatem