Wat doet dit script? Is het een veiligheidsrisico bij migratie?
error_reporting(E_ALL); @ini_set('display_errors', true);
$pages = array(
'0' => array('id' => '1', 'alias' => '#home', 'file' => '1.php','controllers' => array())
);
$forms = array(
);
#sockpuppet
En het in theorie een veiligheidsrisico zijn wat het geeft een aanvaller meer informatie over hoe intern de PHP-application werkt.
Het maakt een paar arrays met de naam: $forms en $pages
Geen idee waarvoor gemaakt is, als die variabelen verder niks doen in de rest van de site voegt het niks toe en kan het weg.
Zeer waarschijnlijk is het ooit toegevoegd om iets te testen, waarbij die 2 arrays ingesteld zijn om sneller/makkelijker te kunnen testen. En daarnaast alle waarschuwingen, etc. ingeschakeld om foutmeldingen, etc. goed te kunnen zien tijdens dat testen.
$pages is een array van een array
$forms is een lege array zonder definitie
Verder doet het op zichzelf verder niets. Is dit een include in een ander php bestand? Wat is de bestandsnaam?
Andere code kan er wel gebruik van maken. Zoek naar de variabelen in de rest van de code en/of naar de bestandsnaam.
1.php is verdacht. Goede programmeurs gebruiken zoiets niet. Het zou bijvoorbeeld elders kunnen worden gebruikt om php bestanden te uploaden. Er zijn eenregelige achterdeurcodes in php. Die kunnen worden ingevoegd in bestaande php bestanden om zodoende volledige remote shells te uploaden. Die remote shells zijn een soort bestandmanager waarmee een aanvaller remote beheer kan voeren over de server. Daarmee wordt dus niet een command prompt bedoeld.
Dat wil je op productie niet hebben :) Dat zet compleet alle debug-logging aan, op de pagina naar de klant.
https://hotexamples.com/examples/genesis.commands.test/Php/-/php-php-class-examples.html
Meer voorbeelden: https://github.com/aodto/testbuild/search?q=test.php&type=
Onderzoek alle code en behoudt de betere.
J.O.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.