Accueil du forum
Tableau de bord
Liste des membres
Qui est en ligne?
Mon profil
Messages privés
Nouveau message
Recherche
Calendrier
Zine
URL de redirection
Créer un PasteBin
Classement (Top 100)
Proposez un challenge! 
Hacking
Hacking 
Spirit of hack
Messages: 32 816
Client IRC en ligne
|
Fonctions PHP à bloquer
|
|
01-05-2013, 21h29
(Modification du message : 01-05-2013, 21h51 par CyberSee.)
Message : #1
|
|
CyberSee
Admin fondateur de N-PN   Messages : 1,721 Sujets : 287 Points: 157 Inscription : Jan 2012 |
Fonctions PHP à bloquer
Salut, j"aimerais avoir votre avis sur les fonctions à bloquer sous PHP. J'ai télécharger 3 shell script pour voire comment elles fonctionnent et je suis venu à la conclusion que les fonction suivantes devrait être bloquer.
curl_exec,curl_multi_exec,parse_ini_file, dl, show_source, shell_exec, passthru, phpinfo, popen, proc_open, allow_url_fopen, symlink, escapeshellarg, escapeshellcmd, system, exec, passthru, php_uname, posix_getpwuid, posix_getgrgid, posix_mkfifo, pg_lo_import, dbmopen, dbase_open, pcntl_exec, apache_child_terminate, apache_setenv, define_syslog_variables, posix_kill, posix_setpgid, posix_setsid, posix_setuid,posix_uname, proc_close, pclose, proc_nice, proc_terminate En connaissez vous d'autre qui pourrais nuire? "Je sais que c'est facile a contourner comme limitation ... mais je trouve ça quand même important d'avoir un php.ini le mieux configurer possible." Code PHP : <?php |
|
|
|
|
01-05-2013, 22h03
Message : #2
|
|
|
gruik
gouteur de savon   Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
RE: Fonctions PHP à bloquer
pcntl_exec, les backticks aussi (je sais pas si c'est restreignable (restrictible ?)), plus globalement toutes les fonctions tierce-parties susceptibles de bypass open_basedir, d'écrire sur le filesystem, de causer sur le reseau (je pense par exemple à toutes les commandes ftp_*) ou d'executer du code
en fait à bien y réfléchir y'a sans doute plus interet à ne pas chercher une approche exhaustive pour disable_function, ou alors à changer de langage... |
|
|
|
|
01-05-2013, 22h04
Message : #3
|
|
|
InstinctHack
Posting Freak  Messages : 1,366 Sujets : 184 Points: 299 Inscription : Dec 2011 |
RE: Fonctions PHP à bloquer
regarde sur internet, il y a moyen de désactiver des pans entier des fonctions via une directive (oublié le nom :$ )
Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!" |
|
|
|
|
17-06-2013, 18h55
Message : #4
|
|
|
WizOut
Black Slave Coder  Messages : 111 Sujets : 13 Points: 14 Inscription : Apr 2012 |
RE: Fonctions PHP à bloquer
Voilà pour ma part tous ce que j'ai bloqué ...
"pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal, pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,exec,shell-exec,system,passthru,putenv,popen,escapeshellarg,escapeshellcmd,proc_close,proc_get_status,proc_nice,proc_open,proc_terminate,ini_set,parse_ini_file,show_source,xmlrpc_entity_decode,posix_uname,posix_setuid,posix_setsid,posix_setpgid,ini_get,ini_get_all,ini_restore,apache_child_terminate,apache_setenv,define_syslog_variables,eval,ftp_exec,ftp_get,mysql_pconnect,highlight_file,shell_exec,chmod,readdir"
"Il existe deux choses infinies : l'univers et la bêtise humaine" Einstein.
PHP/MySQL (POO & PDO) : OK HTML5/CSS3 : OK JAVA : En cours |
|
|
|
|
19-06-2013, 23h35
Message : #5
|
|
|
Banni  Messages : 23 Sujets : 1 Points: 1 Inscription : Apr 2013 |
RE: Fonctions PHP à bloquer
Je pense que la fonction chmod permet de faire pas mal de choses aux BH
|
|
|
|
|
« Sujet précédent | Sujet suivant »
|
Utilisateur(s) parcourant ce sujet : 2 visiteur(s)