Краят на Сухосин; какво следва?
В продължение на много години, Ревностно съм използвал Сухосин с всички приложения на уеб сървърни сървъри на Apache2 или PHP-FPM NPM NPM за защита срещу SQL инжектиране и други често срещани уеб атаки. Всъщност, PHP5 беше толкова катастрофален, както по отношение на основните, и нейните функции и модули, които никога не бих могъл да зачене да го използва без значително втвърдяване, което Suhosin осигурява.
Тъй като PHP5 е амортизирана и моите наследени програми са изчезнали, Останах с няколко прилагането на PHP7 и няма налични Suhosin кръпки.
Въпреки, все още е технически възможно да добавите Suhosin към PHP 7.0 И 7.1 (предварително алфа – не за производство), справедливо е да се каже, че проектът отдавна е отишъл и PHP7 вече доказа, че може да бъде обезпокоителна Сякаш е бил негов предшественик. Като си мисля за ново допълнение към WAF и основната сигурност на PHP7, това са някои от решенията, с които:
Забраняване на лоши или ненужни функции
Има много рискови функции, вградени в PHP, които са потенциално опасни и трябва да бъдат деактивирани вътре "php.ini" по подразбиране. Можете да намерите конфигурационния файл, като използвате командата по-долу и деактивирайте функциите чрез vi или nano.
php -i | grep "php.ini"МОЛЯ, ОБЪРНЕТЕ ВНИМАНИЕ: Ако използвате различни версии на PHP едновременно или програмата е инсталирана като част от друго приложение на трети страни, след това шансовете са високи, че имате няколко "php.ini" инсталиран и не е ясно кой е зареден от уеб сървъра. Уверете се, че редактирате правилната версия (PHP -v).
Добавете долния ред в края на файла 'php.ini', уверете се, че сте записали файла, и рестартирайте уеб сървър. Можете да научите за всяка от тези PHP функции на този адрес. Като измерено действие, можете да ги добавите един по един, за да се уверите, че това не влияе негативно на вашите приложения.
disable_functions = popen, eval, leak, exec, shell_exec, curl_exec, curl_multi_exec, parse_ini_file, mysql_connect, system, phpinfo, escapeshellarg, escapeshellcmd, passthru, symlink, show_source, mail, sendmail, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuidЗабраняване на регистъра globals и Base64
Register Global е функция от PHP, която позволява входните масиви към URL адреса да бъдат преобразувани в променлива вътре в кода. Следователно, всеки потенциално уязвим код може да бъде използван от нападател, който може да премине злонамерени масиви с помощта на HTTP GET или POST заявки.
Регистрирайте се Globals може лесно да бъде деактивиран чрез добавяне на долния ред в края на "php.ini". Не забравяйте да рестартирате уеб сайта, за да изпълни промените.
register_globals = OffТочно като регистрирайте се, Base64 е друга често ненужна функция, която отваря вратите в злонамерени задни врати. Можете да деактивирате Base64 декодер за постоянно, като добавите долния ред в края на "php.ini".
base64_decode = OffPost Disclaimer
The views, information, or opinions expressed are solely those of the author and do not necessarily represent those of his employer or the organizations with which he is affiliated.
The information contained in this post is for general information purposes only. The information is provided by Farhad Mofidi and while he strives to keep the information current and accurate, he does not make any representations or warranties of any kind, express or implied, regarding the completeness, accuracy, reliability, suitability or availability of the website. Farhad makes no representations or warranties. or any information, products or related graphics contained in any Post for any purpose.
Also, AI may be employed as a tool to provide suggestions and improve some of the contents or sentences. The ideas, thoughts, opinions, and final products are original and human-made by the author.