Tag: CODE-INJECTION
Por ejemplo, tengo mis códigos. $news = new News(); $news->title = ‘hello world’; $new->user = $user_id; $news->urlcc = DB::raw(‘crc32(“‘ . $args[‘newsShortUrlInput’] . ‘”)’); $news->save(); $news->refresh(); Aquí, el atributo $news->urlcc proviene de la entrada del usuario después de usar la función de MySQL crc32(). Debido al problema de la inyección de . . . Read more
Historia previa Entonces, estoy desarrollando un servidor web en Flask usando Python. Tengo un poco de experiencia en ciberseguridad y sé que es posible almacenar payloads de php y otros en imágenes. Mi aplicación web se basa principalmente en que los usuarios suban archivos PDF, imágenes y otros datos para . . . Read more
Lo que quiero hacer es lo siguiente: Habrá un archivo de configuración externo que contiene: RunCommand = “SomePHPCommand($SomeVariable)” Pero el archivo de configuración: $SomeVariable = GetFromWebCall(); //Obtenido externamente, debe ser seguro $PHPCommand = LoadFromConfig(RunCommand) //Obtenido externamente pero en un entorno controlado y seguro, no es necesario limpiar result = eval($PHPCommand) . . . Read more
Estoy siguiendo la documentación como se indica aquí https://insert-koin.io/docs/reference/koin-android/viewmodel/#viewmodel-and-injection-parameters La única diferencia es que mi viewmodel tiene 2 parámetros (además de los repos inyectados por Koin) de la misma clase String. Llamémoslos stringA = “red” y stringB = “blue”. Cuando paso los parámetros, se definen claramente de manera diferente. Pero . . . Read more
¿Existe un escenario de “aplicación interna segura” en el que el software es más vulnerable debido a versiones anteriores de Log4J más que si no las tuviera? He detallado algunas notas sobre esta pregunta a continuación. Estoy trabajando para mitigar los riesgos de la reciente vulnerabilidad de Log4J. Conozco enfoques . . . Read more