Kraj Suhosina; što je sljedeće?
Već mnogo godina, Revno sam se koristila Suhosin sa svim implementacijama PHP5 na Apache2 ili PHP-FPM Nginx webserverima za odbranu od SQL injekcije i drugih uobičajenih web napada. Zapravo, PHP5 je bio tako katastrofalno, oba u smislu njegove osnovne sigurnosti, i njegove funkcije i module koje nikada nisam mogao začeti koristeći ga bez ikakvog značajnog otvrdnjavanje koje Suhosin pruža.
Kako je PHP5 amoritet i moji zaostavština programi su svi nestali, Meni je ostalo nekoliko implementacija PHP7 i nema dostupnih Suhosin zakrpa.
Iako, jos je tehnicki moguce dodati Suhosin u PHP 7.0 I 7.1 (pre-alfa – ne za proizvodnju), može se reći da je projekat odavno nestao i PHP7 je već dokazao da je može biti problematično Kao da je to bio njegov prethodnik.. Kao što razmišljam o novom dodatku WAF-u i jezgri sigurnosti PHP7, ovo su neka od rješenja sa koje sam došao:
Ometanje loših ili nepotrebnih funkcija
Postoje mnoge rizične funkcije izgrađene unutar PHP-a koje su potencijalno opasne i treba ih onemogućiti unutar 'php.ini' po defaultu. Config fajl možete pronaći koristeći dolje naredbu i onemogućiti funkcije putem vi ili nano.
php -i | grep "php.ini"MOLIMO VAS DA NAPOMENETE: Ako istovremeno vodite razne verzije PHP-a ili je program instaliran kao dio druge aplikacije treće strane, onda su šanse velike da imate instalirano više 'php.ini' i nije jasno koji je učitan od strane webservera. Uverite se da uređujete ispravnu verziju (php -v).
Dodaj dolje liniju na kraju 'php.ini' datoteke, uveri se da si sačuvao datoteku, i ponovo pokrenite webserver. O svakoj od ovih PHP funkcija možete saznati na ovoj adresi. Kao odmjerena akcija, možda ćete ih želeti dodati jednog po jednog da biste bili sigurni da to ne utiče negativno na vaše aplikacije.
disable_functions = popen, eval, leak, exec, shell_exec, curl_exec, curl_multi_exec, parse_ini_file, mysql_connect, system, phpinfo, escapeshellarg, escapeshellcmd, passthru, symlink, show_source, mail, sendmail, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuidDisabling Register Globals and Base64
Register Global je funkcija php-a koja omogućava pretvaranje ulaznih nizova u URL da se konvertuju u promenljivu unutar vašeg koda. Stoga, bilo koji potencijalno ranjivi kod može biti iskorišten od strane napadača koji može proći zlonamjerne nizove koristeći HTTP GET ili POST zahtjeve.
Register Globals se može lako onemogućiti dodavanjem dolje linije na kraju 'php.ini'. Ne zaboravite ponovo pokrenuti webserver kako bi izvršio promjene.
register_globals = OffBaš kao i Register Globals, Base64 je još jedna često nepotrebna osobina koja otvara vrata u zlonamjerna zadnja vrata. Možete onemogućiti Base64 dekoder trajno dodavanjem dolje linije na kraj 'php.ini'.
base64_decode = OffOdricanje od odgovornosti za post
Pogledi, Informacije, ili izražena mišljenja su isključivo mišljenja autora i ne predstavljaju nužno mišljenja njegovog poslodavca ili organizacija s kojima je povezan..
Informacije sadržane u ovom postu su samo u opšte informativne svrhe.. Informaciju pruža Farhad Mofidi i dok nastoji da informacije budu aktuelne i tačne., ne daje nikakve izjave ili garancije bilo koje vrste, eksplicitno ili implicitno, što se tiče kompletnosti, preciznost, Pouzdanosti, Dostupnost ili dostupnost web sajta. Farhad ne daje nikakve izjave ili garancije. ili bilo koje informacije, Proizvodi ili srodne grafike sadržane u bilo kojoj pošti za bilo koju svrhu.
Također, Veštačka inteligencija se može koristiti kao alat za davanje predloga i poboljšanje nekih sadržaja ili rečenica.. Ideje, Misli, Mišljenja, Finalni proizvodi su originalni i ljudski proizvedeni od strane autora..