Tag: php

Deserializacja danych z niezaufanych źródeł zawsze może prowadzić do problemów z bezpieczeństwem. W przypadku PHP, może być furtką do praktycznie każdej podatności webowej (SQL Injection, XSS, Path Traversal, Remote Code Execution itp.). W tekście pokażemy rzeczywistą podatność tego typu w Joomli, w której Object Injection prowadziło do usuwania dowolnych katalogów na dysku.

Celowo dodany backdoor jest najczęściej stosowanym przez włamywaczy sposobem na pozostawienie sobie możliwości powrotu do skompromitowanej aplikacji sieciowej. Jego podstawową cechą powinna być niewykrywalność, więc kluczową rolę przy jego używaniu odgrywa pomysłowość w “zaciemnieniu” kodu w taki sposób, by na pierwszy rzut oka nie wzbudzał żadnych podejrzeń co do swojego przeznaczenia.

Poczta elektroniczna jest niezmiernie wygodnym i popularnym sposobem komunikacji. Nagminnie jednak za pośrednictwem e-maili przesyłane są poufne informacje. Często nie są one w żaden sposób chronione – mogą być przechwytywane, a następnie odczytywane przez osoby postronne. Jednym z popularnych, a zarazem stosunkowo prostych sposobów na zapewnienie poufności e-maili, jest szyfrowanie wiadomości.