RCE on a Laravel Private Program
https://medium.com/@y.shahinzadeh/rce-on-a-laravel-private-program-2fb16cfb9f5c
#RCE #laravel #php #exploit #POC
#ProjectSigmaTeam
https://medium.com/@y.shahinzadeh/rce-on-a-laravel-private-program-2fb16cfb9f5c
#RCE #laravel #php #exploit #POC
#ProjectSigmaTeam
Medium
RCE on a Laravel Private Program
The recent Laravel CVE enables remote attackers to exploit a RCE flaw in websites using Laravel. I’ve read the article about the…
Project Sigma
Photo
💡توضيح
المقصود بالتأمين هنا هو "تخزين كلمات المرور في قاعدة البيانات على شكل Hash" وهو نوع من التشفير ( إذا صح التعبير ) غير عكوس أي يمكنك تحويل النص إلى هاش ولا يمكنك استرجاع النص الأساسي من الهاش "نظريا"
مثال عن الهاش الصورة الاولى في الأعلى ، فحتى لو وصل الهاكر إلى قاعدة البيانات سيجد كلمات سر مشفرة وسيستغرق وقتا طويلا في محاولة فكها ، وفي حال كانت كلمات السر قوية مكونة من حروف كبيرة وصغيرة وأرقام ورموز قد يكون من المستحيل فكها .
طريقة إنشاء الهاش بلغة php :
باستخدام الدالة
password_hash()
بإطار عمل Laravel :
Hash::Make()
أما التحقق من كلمة السر بالتحقق من مطابقة الهاش لكلمة السر الأساسية :
php :
password_verify()
لارافيل :
Hash::check()
حيث أن مبدأ التحقق ( مثلا أثناء تسجيل الدخول ) هو عمل هاش لكلمة السر الجديدة ضمن طلب تسجيل الدخول ، ومقارنة الهاش الجديد مع الهاش الموجود في قاعدة البيانات . فإذا تطابق الهاش فكلمات المرور متطابقة وصحيحة .
التزم دائما بقواعد البرمجة الآمنة
#dev #php #laravel
@ProjectSigmaTeam
المقصود بالتأمين هنا هو "تخزين كلمات المرور في قاعدة البيانات على شكل Hash" وهو نوع من التشفير ( إذا صح التعبير ) غير عكوس أي يمكنك تحويل النص إلى هاش ولا يمكنك استرجاع النص الأساسي من الهاش "نظريا"
مثال عن الهاش الصورة الاولى في الأعلى ، فحتى لو وصل الهاكر إلى قاعدة البيانات سيجد كلمات سر مشفرة وسيستغرق وقتا طويلا في محاولة فكها ، وفي حال كانت كلمات السر قوية مكونة من حروف كبيرة وصغيرة وأرقام ورموز قد يكون من المستحيل فكها .
طريقة إنشاء الهاش بلغة php :
باستخدام الدالة
password_hash()
بإطار عمل Laravel :
Hash::Make()
أما التحقق من كلمة السر بالتحقق من مطابقة الهاش لكلمة السر الأساسية :
php :
password_verify()
لارافيل :
Hash::check()
حيث أن مبدأ التحقق ( مثلا أثناء تسجيل الدخول ) هو عمل هاش لكلمة السر الجديدة ضمن طلب تسجيل الدخول ، ومقارنة الهاش الجديد مع الهاش الموجود في قاعدة البيانات . فإذا تطابق الهاش فكلمات المرور متطابقة وصحيحة .
التزم دائما بقواعد البرمجة الآمنة
#dev #php #laravel
@ProjectSigmaTeam
www.php.net
PHP: Hypertext Preprocessor
PHP is a popular general-purpose scripting language that powers everything from your blog to the most popular websites in the world.