Я просматриваю папку на своем сервере с помощью RIPS. Вышел отчет, и некоторые из обнаруженных уязвимостей: «Userinput достигает чувствительного приемника». Описанные строки - это строки, определяющие переменную. Вы можете увидеть отчет here. Кто-нибудь знает, как я могу это исправить? Должно ли это быть нормальным и не сообщаться как уязвимость?чувствительная раковина как уязвимость php?
3
A
ответ
2
Большинство из них выглядят как ложные сигналы тревоги, так как фактический ввод данных пользователя отсутствует. Большинство включенных путей создаются из функции, которая, вероятно, получает свои данные из db или конфигурационного файла.
get_locale()
может быть проблематичным, если он принимает заголовок HTTP-запросов Accept-Language
и использует их без санировки.
+0
Кто-нибудь может дать лучший ответ? – r3wt
Смежные вопросы
- 1. как использовать уязвимость php?
- 2. Уязвимость в PHP post?
- 3. Уязвимость уязвимости PHP-формы?
- 4. Проверка кучи A6-чувствительная экспозиция данных
- 5. Уязвимость для инъекций php cookie?
- 6. уязвимость glibc fnmatch: как выявить уязвимость?
- 7. Уязвимость XSS в PHP-скриптах
- 8. Как предотвратить уязвимость PHP-кода на сайте
- 9. ReadFile уязвимость как избежать
- 10. Как "contramap" Акка-потоки Раковина
- 11. Контекстно-чувствительная система Lindenmayer
- 12. Bourbon Neat - чувствительная сетка
- 13. GIT/Heroku чувствительная информация
- 14. раковина кабелепровода с остаточным
- 15. Yiic раковина не работает
- 16. Windows сокет уведомления раковина
- 17. Как исправить уязвимость fprintf?
- 18. Разбита ли моя раковина?
- 19. чувствительная/жидкая бриллиантовая сетка
- 20. Flume + ElasticSearch Раковина TTL
- 21. Чувствительная функция эллипсиса (va_list)
- 22. Meteor: process.env.MAIL_URL чувствительная информация
- 23. производительность находкой чувствительная точка
- 24. Sqoop - Пользовательская раковина
- 25. Пользовательский раковина: несколько бэкэндов
- 26. Раковина блок gnuradio
- 27. elasticsearch раковина seralizability
- 28. Раковина Serilog для Oracle
- 29. Какова уязвимость в моем PHP-коде?
- 30. PHP | Поиск пользователя и уязвимость для атак
Такой сканер обязан давать ложные срабатывания ([googling дает это, например] (http://sourceforge.net/p/rips-scanner/discussion/1150342/thread/1b3e0f83/)). «Userinput достигает чувствительной раковины», по-видимому, означает: «RIPS считает, что переменная X может содержать пользовательский ввод. В этот момент в коде пользовательский вход в X мог бы использоваться». Проверьте и дважды проверьте, где каждая из переменных в соответствующей строке определена, и следуйте их траектории через вашу программу. Я полагаю, что это может дать то же сообщение, если программа не может определить, где определена переменная. – Sumurai8