Docsity
EntrarCadastre-se
Docsity
Prepare-se para as provas
Prepare-se para as provas

Estude fácil! Tem muito documento disponível na Docsity

Ganhe pontos para baixar
Ganhe pontos para baixar

Ganhe pontos ajudando outros esrudantes ou compre um plano Premium

Guias e Dicas
Guias e Dicas
Venda na Docsity
Venda na Docsity
EntrarCadastre-se

Prepare-se para as provas

Estude fácil! Tem muito documento disponível na Docsity

Encontrar documentos

Prepare-se para as provas com trabalhos de outros alunos como você, aqui na Docsity

Pesquisar documentos Store

Os melhores documentos à venda: Trabalhos de alunos formados

Videoaulas

Prepare-se com as videoaulas e exercícios resolvidos criados a partir da grade da sua Universidade

Quiz

Responda perguntas de provas passadas e avalie sua preparação.

Pesquise entre todos os recursos de estudo
Docsity AINEW

Resuma seus documentos, faça perguntas, converta-os em questionários e mapas conceituais

TCC e ENEM 2025

Estude com provas passadas, TCCs e dicas úteis

Explorar perguntas

Tire suas dúvidas lendo as respostas dadas por outros alunos como você.

Ganhe pontos para baixar

Ganhe pontos ajudando outros esrudantes ou compre um plano Premium

Compartilhe documentos
download point icon20 Pontos

Por cada documento compartilhado

Responda às perguntas
download point icon5 Pontos

por cada resposta enviada (máx. 1 por dia)

Todas as maneiras de obter pontos grátis
Ganhe pontos imediatamente

Escolha um Plano Premium com todos os pontos que precisa

Oportunidades de estudo

Escolha seu próximo programa de estudos

Entre em contato direto com as melhores Universidades do mundo. Pesquise entre milhares de Universidades e parceiros oficiais

Comunidade

Pergunte à comunidade

Peça ajuda à comunidade e tire suas dúvidas relacionadas ao estudo

Ranking universidades

Descubra as melhores universidades em seu país de acordo com os usuários da Docsity

Guias grátis

Os eBooks que salvam estudantes!

Baixe gratuitamente nossos guias de estudo, métodos para diminuir a ansiedade, dicas de TCC preparadas pelos professores da Docsity

Do blog

Vá para o blog

Vulnerabilidades em PHP, Trabalhos de Análise de Segurança

Cruzeiro FATEC - Prof. Waldomiro MayAnálise de Segurança

Sobre vulnerabilidades comuns em PHP e como se proteger.

Tipologia: Trabalhos

2021

Compartilhado em 22/04/2021

erika-santos-100
erika-santos-100 🇧🇷

5

(3)

4 documentos

1 / 3

Toggle sidebar

Esta página não é visível na pré-visualização

Não perca as partes importantes!

bg1
Vulnerabilidades em PHP
A popularidade da linguagem PHP na Web motivou atacantes a compreender
como explorar, por exemplo, funções, e entradas (inputs). A lista do que pode
ser explorado sobre um alvo é ainda maior que isso.
Algumas versões do PHP foram declaradamente marcadas como inseguras.
Fazem parte da lista, por exemplo, as versões 5.6, 7.0, 7.1 e 7.2. Tais versões
não recebem suporte de segurança e podem ser expostas a vulnerabilidades não
corrigidas.
E não só Apache, mas vulnerabilidades também foram encontradas no PHP 7
com Nginx e php-fpm habilitado.
Não foi fornecido texto alternativo para esta imagem
Confira a lista atualizada de versões não suportadas:
https://www.php.net/eol.php
Entre as funções exploradas, estão exec, eval e shell_exec.
Por que se preocupar com isso?
Alguns motivos:
RCE
O atacante injeta código de uma determinada linguagem em uma aplicação,
para que seja interpretado pelo servidor.
pf3

Pré-visualização parcial do texto

Baixe Vulnerabilidades em PHP e outras Trabalhos em PDF para Análise de Segurança, somente na Docsity!

Vulnerabilidades em PHP A popularidade da linguagem PHP na Web motivou atacantes a compreender como explorar, por exemplo, funções, e entradas (inputs). A lista do que pode ser explorado sobre um alvo é ainda maior que isso. Algumas versões do PHP foram declaradamente marcadas como inseguras. Fazem parte da lista, por exemplo, as versões 5.6, 7.0, 7.1 e 7.2. Tais versões não recebem suporte de segurança e podem ser expostas a vulnerabilidades não corrigidas. E não só Apache, mas vulnerabilidades também foram encontradas no PHP 7 com Nginx e php-fpm habilitado. Não foi fornecido texto alternativo para esta imagem Confira a lista atualizada de versões não suportadas: https://www.php.net/eol.php Entre as funções exploradas, estão exec, eval e shell_exec. Por que se preocupar com isso? Alguns motivos: RCE O atacante injeta código de uma determinada linguagem em uma aplicação, para que seja interpretado pelo servidor.

No caso da linguagem PHP, um exemplo de trecho de código seria:

. Se bem-sucedido, esse tipo de ataque permite a execução de comandos para exploração de arquivos, diretórios e muito mais. Por isso é muito importante verificar atualizações, efetuar as configurações corretas e definir procedimentos de segurança. Seria desastroso perder ou mesmo ter informações vazadas. Utilizando a função shell_exec: . Para quem tem familiaridade com Linux é fácil notar que cd muda de diretório, ls lista, arquivos ou diretórios e cat exibe o conteúdo de um arquivo. Um dos softwares mais populares para explorar essa vulnerabilidade é o BurpSuite. Há uma versão profissional, e outra, gratuita. Não foi fornecido texto alternativo para esta imagem 2. LFI (Local File Inclusion) Esse tipo de ataque demanda que um script malicioso seja carregado no servidor de destino, para que seja então executado. Tive um bom exemplo de como isso pode ser perigoso, por conta de uma questão ocorrida com um amigo. Seu servidor foi atacado, e uma web shell carregada dentro da aplicação, permitindo controle remoto por parte do atacante. Uma shell funciona como interface entre usuário e sistema operacional. Para a web, é quase a mesma definição.