Autor
|
Tema: [Pregunta]: ¿Composer genera una vulnerabilidad? (Leído 2,519 veces)
|
Leguim
Desconectado
Mensajes: 720
|
Básicamente te deja una carpeta en la aplicación que se llama "vendor" con una lista de archivos donde cualquiera podría acceder a ellos mediante la url, y ver lo que contienen estos archivos.
¿Algo de qué preocuparme?
|
|
|
En línea
|
|
|
|
|
#!drvy
|
¿¿¿Eh???
Sí tienes que preocuparte. Tienes que chapar el acceso a esa carpeta protegiendo el directorio para que solo pueda entrar localhost/127.0.0.1, es decir, la propia máquina o sacarlo fuera del DOCUMENT_ROOT. La mayoría de frameworks de PHP tienen una carpeta específica para DOCUMENT_ROOT y todo lo demás queda a un nivel superior que no debe ser accesible. Si no puedes hacerlo de esa forma, chapa el acceso a esa carpeta.
Además, cualquier librería que uses puede tener una vulnerabilidad desconocida que obviamente puede ser explotada.. para eso se recomiendan actualizaciones frecuentes.
Y siempre asegúrate a desplegar en producción con --no-dev para no desplegar paquetes de desarrollo.
Para cuando github te avisa de una vulnerabilidad, el disclousure está hecho y probablemente ya se está explotando en vivo. Confiar en que te avise para tomar acción es tonteria.
Saludos
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
JavaFX Composer
Java
|
mapers
|
0
|
2,030
|
31 Mayo 2012, 20:46 pm
por mapers
|
|
|
Pregunta: Como funciona una aplicacion que genera otra aplicacion?
Programación C/C++
|
inGnio
|
2
|
3,403
|
18 Octubre 2012, 04:48 am
por x64core
|
|
|
librerías instaladas con composer
Desarrollo Web
|
loml666
|
0
|
1,575
|
8 Mayo 2019, 21:58 pm
por loml666
|
|
|
[Pregunta]: ¿Acarrea alguna vulnerabilidad?
« 1 2 »
Desarrollo Web
|
Leguim
|
14
|
5,416
|
20 Diciembre 2019, 14:49 pm
por MinusFour
|
|
|
[Pregunta]: ¿Existe una vulnerabilidad de inyección en esta consulta?
Desarrollo Web
|
Leguim
|
3
|
3,083
|
12 Diciembre 2020, 20:37 pm
por Danielㅤ
|
|