Witam.
Mam pytanie. Czy ujawnianie phpinfo.php jest zlym pomyslem?
Szukalem informacji na ten temat ale zdania sa podzielone.
Witam.
Mam pytanie. Czy ujawnianie phpinfo.php jest zlym pomyslem?
Szukalem informacji na ten temat ale zdania sa podzielone.
Jak potrzebujesz ujawniać takie info to ujawniasz,
jak nie ma potrzeby ja bym nie ujawniał.
***********
* markossx *
***********
A jesli strona jest podatna na path traversal nie ulatwi to czasami atakujacemu przeskoczenie do jakiegos folderu etc?
Generalna zasada bezpieczenstwa to ujawniac jak najmniej informacji o serwerze i konfiguracji.
phpinfo mowi o sciezkach, wersjach bibliotek, wersji php itd - znajac te informacje mam znacznie wieksze szanse przygotowac atak ktory zadziala niz gdybym mial zgadywac i testowac rozne warianty w nadziei ze sie uda. Po co ulatiwac skiddies robote?
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)
Jeszcze jedno pytanie. Jesli jakis portal w intranecie posiada dziury w stylu SQL injection i XSS powinienem dac sie zbyc wytlumaczeniem ze wszystko jest ok bo serwis nie jest publicznie dostepny i stoi za firewallem?
Serwis stoi za firewallem ktory przepuszcza ruch HTTP(s) wiec jest tak jakby go tam nie bylo, bo SQLi i XSS to ataki uzywajace HTTP(s) do komunikacji.
Jesli jakas firma ci takie cos mowi to czas szukac innej firmy.
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)
Sql injection juz zalatalem. Teraz XSS.
I w pelni sie z Toba zgadzam. Ale to czesta praktyka bo wszyscy mysla ze jak cos jest w intranecie to juz nic zlego sie nie wydarzy...
Jak juz skoncze latac wszystko zademonstruje co mozna z tymi wszystkimi dziurami zrobic.
Odejsc nie odejde kotrakt Pozatym druga tego typu firme znajde albo w chinach albo za oceanem wiec zostaje ^^
Właściciel routera może Cię podglądać, ISP też z tym że myśli że to właściciel sieci do której się podłączysz. Sprawdz co to VPN
do phpinfo wrzuć jeszcze aktualne wersje usług : ) ale byś wtedy ułatwił pracę xD Im więcej danych ujawnionych jest publicznie tym lepiej - i ja wcale nie powiedziałem, że dla Was lepiej